- 博客(6)
- 资源 (48)
- 收藏
- 关注
原创 IDA图形视图
IDA的图形视图在分析程序行为时很方便、很直观。但是会有人为因素在汇编代码中插入数据定义,这段代码就不能创建函数,进而不能使用方便的图形视图。比如下面这个例子:main2标签处,很明显是一个函数,创建函数时给出以下提示:.text:00401518: The function has undefined instruction/data at the specified address.Your ...
2018-07-12 17:59:26 3669 5
原创 对esp的几种操作方法
在函数的前3行代码常常是下面这种形式1、push ebp2、mov ebp,esp3,sub esp, 0x0C // 为函数栈开辟空间其中1、2行在不保存栈基址的函数中就没有。看下图中的特殊情况:add esp, 0xFFFFFF68 也是为函数栈分配空间,只不过换了另外一种形式。还有一种情况:第4行已经分配了栈空间了,第3行的and(不是add哦)是要干嘛?这个操作是怎...
2018-07-08 12:15:47 3907
原创 带借位的减法指令sbb
先看下面一段一段指令左边的eax值很明显是0,那右边的eax值是多少呢?第一反应应该不是0,否则不会做test判断(经过右边的两次sbb运算eax的值为1或者-1)分析过程:第一种情况cf=11、sbb eax,eax 结果:eax=0xFFFFFFFF(-1) cf=12、sbb eax,0xFFFFFFFF 结果:eax=0xFFFF...
2018-07-08 11:20:58 4796
原创 ida逆向:变量、函数标注;反编译代码修改
分析dll文件中的2个函数中变量、函数进行标注,以及反汇编代码修改,(遵循一些约定俗称的规定+自己爱好=形成自己风格)方便以后很快的阅读。函数1:DllEntryPoint()汇编窗口栈窗口反编译窗口函数2:Init1( )汇编窗口没有栈窗口反编译窗口清楚的标注,方便以后快速识别样本如何执行。
2018-07-04 09:38:19 11283
原创 虚拟服务器INetSim的安装,以及配置
INetSim官网给出的安装方法:http://www.inetsim.org/packages.html总结一下是4条指令:1、# echo "deb http://www.inetsim.org/debian/ binary/" > /etc/apt/sources.list.d/inetsim.list2、# wget -O - http://www.inetsim.org/inets...
2018-07-04 09:36:51 3797 1
原创 函数的2种主要调用方式
2种方式:__cdecl __stdcall相同点:调用方按从右向左的顺序把函数参数放入栈中,导致结果函数的第一个参数始终在栈顶(第一个参数在栈顶,并不意味着:函数访问第二个参数,第一个参数就要出栈,通过内存地址访问)不同点:__cdecl方式的参数数量可变,调用方清楚知道参数个数,按理来说被调用方也知道参数个数,有可能是规定由调用方清理参数(在函数外面add esp,一个参数的时候发现编...
2018-07-04 09:17:33 1435
0day第11.7节作者没有提供的漏洞程序收集.zip
2020-06-05
cuckoo主机分析机通信行为分析.zip
2020-05-19
us-14-Kamlyuk-Kamluk-Computrace-Backdoor-Revisited.pdf
2020-01-18
dex2jarAndjd-gui.7z
2021-08-12
VirtualFunction.zip
2020-04-08
windbg_app.7z
2019-07-09
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人