- 博客(37)
- 资源 (2)
- 收藏
- 关注
RSS订阅转载 手工把一个PE文件装载起来了
前面分析了LoadLibrary函数,今天根据前面分析的原理,居然手工把PE文件装载成功了。当然为了减少工作量,我还是利用了巧妙的方法。其实只要充分理解了虚拟地址,基地址,还有那些乱起八糟的PE表。回想起来也不是难的不可战胜。最后的结果是看不到执行模块的的一段内存区域开始执行代码咯。。如果再把一些PE文件标示去除掉,甚至使用完就release掉,再狠点代码加密启动SEH机制动态解密代码,甚至再强悍
2014-02-12 21:26:22
1127
转载 VB6逆向工程浅析
VB6逆向工程浅析 2007-12-03 10:55:27| 分类: 破解|举报|字号 订阅前言 VB的编译有两种方式,一种是P-Code方式,一种是本机代码。P_Code方式是VB从早期版本保留下来的,也是比较难逆向的一种。而本机代码方式编译的程序已经和VC很接近了。这里只探讨以本机代码方式编译的程序。由于微软在VB的实现方面的
2014-01-22 14:50:26
4292
转载 VB快速逆向法(特征码法)
标 题: VB快速逆向法作 者: nbw时 间: 2005-03-17,13:20链 接: http://bbs.pediy.com/showthread.php?t=12133VB快速逆向法作者:nbw原作:B. Kathras一般来说VB程序很难入手分析,除了利用一些已经被分析出来的VB库导出函数,在很少有入口去进行分析了。我看了B. Kathras写的文章,觉
2014-01-22 13:53:17
3508
转载 加密与解密二版菜鸟学习笔记(2) - SEH 结构化异常处理
标 题: 【原创】加密与解密二版菜鸟学习笔记(2) - SEH 结构化异常处理作 者: ytcswb时 间: 2005-02-01,16:40:24链 接: http://bbs.pediy.com/showthread.php?t=10651看学加密与解密二版学习笔记(2) - SEH 结构化异常处理[ 工 具 ] flyod1.10[ 目 的 ] 学习SEH
2013-11-02 21:57:58
1897
转载 A Crash Course on the Depths of Win32 Structured Exception Handling
A Crash Course on the Depths of Win32 Structured Exception HandlingMatt Pietrek 著 董岩 译在所有 Win32 操作系统提供的机制中,使用最广泛的未公开的机制恐怕就要数结构化异常处理(structured exception handling,SEH)了。一提到结构化异常处理,可能就会令人想起 _
2013-11-02 21:48:58
730
转载 SEH in ASM 研究
SEH in ASM 研究(一)By Hume/冷雨飘心为什么老调重弹: SEH出现已绝非一日,但很多人可能还不彻底了解Seh的运行机制;有关seh的知识资料不是很多,asm级的详细资料就更少!seh不仅可以简化程序错误处理,使你的程序更加健壮,还被广泛应用于反跟踪以及加解密中,因此,了解seh非常必要但遗憾的是关于seh详细介绍的中文资料非常少,在实践
2013-11-02 21:44:12
1234
转载 Ollydbg手动脱壳得几点小结
手动脱壳Ollydbg手动脱壳得几点小结: 一般认为手动脱壳的关键是找到软件的真正入口OEP,但是用ollydbg脱壳知道软件的真正入口OEP并不能解决问题,因为ollydbg的工作原理和softice、trw2000等的有所不同,在OEP未解压以前是不能在OEP设断上的,因此用ollydbg脱壳的关键是让程序中断在OEP,一旦中断在OEP脱壳就告完成。
2013-11-02 09:22:50
3544
转载 PE文件加载和修改
一、 Windows加载器加载器读取一个PE文件的过程如下:1. 先读入PE文件的DOS头,PE头和Section头。2. 然后根据PE头里的ImageBase所定义的加载地址是否可用,如果已被其他模块占用,则重新分配一块空间。3. 根据Section头部的信息,把文件的各个Section映射到分配的空间,并根据各个Section定义的数据来修改所映射的页的属性。
2013-11-01 22:29:56
1114
转载 PE文件结构及其加载机制
PE文件结构及其加载机制(一)一、PE文件结构PE即Portable Executable,是win32环境自身所带的执行体文件格式,其部分特性继承自Unix的COFF(Common Object File Format)文件格式。PE表示该文件格式是跨win32平台的,即使Windows运行在非Intel的CPU上,任何Win32平台的PE装载器也能识别和使用该文
2013-11-01 22:20:19
1875
转载 OD常用断点
OD常用断点,里面有VB绝对万能断点,杀VB程序专用OD常用断点之我收集,里面有VB绝对万能断点,杀VB程序专用常用断点(OD中)拦截窗口:bp CreateWindow 创建窗口 bp CreateWindowEx(A) 创建窗口 bp ShowWindow 显示窗口 bp UpdateWindow 更新窗口 bp GetWindowText(A)
2013-09-29 12:41:41
1222
原创 关于去掉vb中的nag窗口
1、用vbexplore打开exe文件,在属性窗口查看nag窗口的timer空间的interval属性,记录下来,比如是7000,转换为16进制后为1B58。2、用WinHex打开exe文件,搜索581B(注意要把高低位颠倒来搜)。找到了注意看其前面是否有timer字符(ascii模式下),若有,十有八九,这就是vb的exe中存timer的interval的位置,我破解的exe文件摘抄一段如下
2013-09-22 18:16:31
1301
转载 打不开chm文件怎么办~~
打不开chm文件怎么办~~(2010-03-17 09:18:31)转载http://blog.sina.com.cn/carol0425今天又一次打开某 CHM 文档的时候,发生了同样的问题。这次有时间。试了一下,几乎所有 CHM 文件都打不开了。看样子是打开过程(指的是系统中的操作过程,非人为操作过程)中的某个关键步骤出了问题。CHM 的实质是通过几个特殊的协议访问压缩
2013-09-21 09:06:54
798
转载 VB下的插件开发
摘要 :本文从一个具体例子出发阐述了在Visual Basic 5.0环境下进行外接程序(Add-Ins)开发的原理、关键技术和注意事项,并对其相关技术,如ActiveX、多态性与接口、事件变量等VB5新引进的编程概念也做了必要的分析和描述。 关键词:外接程序(Add-Ins),ActiveX,接口,多态,事件变量一、 概述Visual Basic下的Add-Ins,即外接
2013-09-17 09:02:40
1750
转载 气体高压点火器
电源电压经过限流电阻R1后由二极管倍压整流。这时的输出电压可达500V左右。雪崩二极管VS1,可控硅VS2和阻容网络R2C4构成驰张震荡器。按下开关Q1时,电容C4开始充电,一旦电压达到一定电平,雪崩二极管VS1和可控硅VS2都导通。电容C2和 C3通过变压器T1的初级绕组迅速放电。在电容C2和 C3充电之后,这一过程重复进行。对应图中所示元件数值,重复频率约为10-30HZ,于是在放电间歇F
2013-04-15 16:17:37
1063
转载 电蚊拍原理与制作
电蚊拍原理与制作 市场上盛行的电子高压灭蚊手拍(简称“电蚊拍”),以其实用、灭蚊效果好、无化学污染、安全卫生等优点,普遍受到人们的欢迎。其实这种电灭蚊拍线路简单,具有一定电子制作能力的青少年朋友,在业余条件下就能够仿造出来,而且造价仅为市售成品价格的1/3至1/5。 现在正是蚊子猖狂的夏天,同学们放暑假有的是时间,何不马上行动起来自己动手制做一把“电蚊拍”?有了它
2013-04-15 16:12:43
2731
原创 关于为什么不能减小rb来消除截止失真
看了华成英教授的模电第6讲里面43分钟时候说这个电路只能用增大VBB的方法来消除截至失真,不能用减小Rb的方法,为什么呢?经过网友的分析,我认为此网友分析得很透彻。最后,再加上我自己的分析。我的分析:也就是说截止失真是因为ui的幅度大于vbb-uon,所以如图所示不改变vbb就无法根本解决问题。参考自:http://www.amobbs.com/thread-4545119-1-1
2013-03-02 18:09:59
17254
4
转载 RTLCOPYMEMORY与RTLMOVEMEMORY
RTLCOPYMEMORY与RTLMOVEMEMORY RtlCopyMemory和RtlMoveMemory都是内存复制。其区别是,RtlCopyMemory非重叠复制,而RtlMoveMemory是重叠复制,具体解释如下: ABCD分别代表三段内存的起始地址和终止地址。如果需要将A到C段的内存复制到B到D段内存上,这是B到C段的内存就是重叠部分。RtlCop
2013-02-28 13:16:56
1271
转载 应用程序与驱动通信的若干方式
////////////////////////////////////////////////////////////////////////////////// 栀子花驿站:http://www.zhizihua.com// 栀子博客 :http://www.zhizihua.com/blog// 作者 :goodone//////////////////////////
2013-02-25 13:42:39
584
转载 (精华)Ring3与Ring0通信方法若干
本人在[(原创)应用程序与驱动通信的若干方式]文章中阐述了,上下层通信的技术实现部分,但没有结合应用,下面的文章就具体应用给大家展示了使用方法,希望能够大家一些启发。 Ring3与Ring0同步是很有用的手段,在此做一个简要的整理,希望对开发这方面程序的朋友有帮助,好了,开始吧。 1 同步的策略 初写驱动的朋友都知道,通过Dev
2013-02-25 13:40:55
1990
转载 阴沟里翻船之KeSetEvent
阴沟里翻船之KeSetEventKeSetEvent是个使用频率很高的内核支持函数,但经常使用未必意味着确实了解它。上周就曾遇到一件怪事,系统线程在调用KeSetEvent后线程IRQL竟然从PASSIVE_LEVEL提升至DISPATCH_LEVEL,以至后续的操作出错:Bug Check 0xA: IRQL_NOT_LESS_OR_EQUAL。先看看它的函数声明:
2013-02-25 13:37:32
9823
原创 关于DO_POWER_INRUSH 和DO_POWER_INRUSH 同时设置问题
Beginning with Windows Vista, driverscan set boththe DO_POWER_PAGABLE flag and the DO_POWER_INRUSH flag. In Windows Server 2003, Windows XP, and Windows 2000, drivers cannot set both the D
2013-02-25 12:23:45
1129
转载 硬盘的数据结构
硬盘的数据结构 1.MBR区 MBR(Main Boot Record 主引导记录区)位于整个硬盘的0磁道0柱面1扇区。不过,在总共512字节的主引导扇区中,MBR只占用了其中的446个字节,另外的64个字节交给了DPT(Disk Partition Table硬盘分区表)(见表),最后两个字节“55,AA”是分区的结束标志。这个整体构成了硬盘的主引导扇区。(图) 主引导记
2013-02-19 11:43:23
2871
转载 IRP的传递与完成
在Windows分层驱动模型中,设备栈中的设备一般都是通过对上层传来的IRP做相应的处理来实现驱动的功能。这里对常用的几种IRP传递及完成的方式进行归纳和总结:1. 在本层驱动中完成1.1 在本层驱动中以同步方式完成在本层同步完成一般做完相应处理后,设置Irp->IoStatus.Status和Irp->IoStatus.Information,调用IoCompleteRequ
2013-02-09 13:50:29
954
转载 关于NT驱动irp pending的注意事项
关于NT驱动irp pending的注意事项发布时间:2008-04-02 20:38:30 在NT内核中,有时候不能立马完成一个irp,需要pending它,这个时候有一些微妙的地方需要注意,因为NT得代码没有真正公开,详细搞清楚NT处理IRP的过程很不容易,以前网上有两篇文章讨论过,但我觉得还是讲的不是很清楚.现在win2k得代码泻了很久了,里面也
2013-02-09 13:38:36
1564
转载 《寒江独钓》键盘过滤部分程序修改
《寒江独钓》键盘过滤部分程序修改 看书的时候,发现书里第四章的键盘过滤程序并不能实现打印出扫描码详细信息的功能。我将程序修改了一下以后,可以实现该功能。以下是我的修改之处:void __stdcall print_keystroke(UCHAR sch,USHORT stch){ UCHAR ch = 0; int off = 0; if (!s
2013-02-09 11:50:15
695
转载 漫谈兼容内核之十二: Windows的APC机制(毛德操)
前两篇漫谈中讲到,除ntdll.dll外,在启动一个新进程运行时,PE格式DLL映像的装入和动态连接是由ntdll.dll中的函数LdrInitializeThunk()作为APC函数执行而完成的。这就牵涉到了Windows的APC机制,APC是“异步过程调用(Asyncroneus Procedure Call)”的缩写。从大体上说,Windows的APC机制相当于Linux的Signal机制,
2013-02-07 21:12:43
2338
转载 总结:使用IoMarkPending的原因及原理
为了使系统吞吐量最大化,I/O管理器希望驱动程序推迟其耗时IRP的完成。驱动程序通过在某个派遣例程中调用IoMarkIrpPending函数并返回STATUS_PENDING来表示完成操作被推迟。(注意:以下讨论未加说明均指在操作被推迟情况下)I/O管理器的原始调用者通常希望在继续执行之前等待操作完成,所以I/O管理器在处理推迟完成时有下面类似的逻辑(不代表真正的Microsoft源代码):
2013-02-07 21:07:15
448
转载 IoMarkIrpPending
IoMarkIrpPending IoMarkIrpPending例程用于标记指定的IRP,标志着某个驱动的分发例程(分发函数)因需要被其他的驱动程序进一步处理最终返回STATUS_PENDING状态。 VOID IoMarkIrpPending( IN OUT PIRP Irp ); 参数:Irp 将被标记
2013-02-07 20:53:02
535
转载 irp概述
一、简述任何内核模式程序在创建一个IRP时,都同时创建了一个与之关联的IO_STACK_LOCATION结构数组:数组中的每个堆栈单元都对应一个将处理该IRP的驱动程序,另外还有一个堆栈单元供IRP的创建者使用。堆栈单元中包含该IRP的类型代码和参数信息以及完成函数的地址。IRP的CurrentLocation为当前IO堆栈单元的索引,IRP的Tail.Overlay.CurrentStack
2013-02-07 14:34:07
514
转载 IoSetCompletionRoutine
IoSetCompletionRoutine宏注册一个IO完成例程,这个完成例程将会在调用此函数的驱动的下一层驱动完成IRP指定的操作请求时被调用。 void IoSetCompletionRoutine( IN PIRP Irp, IN PIO_COMPLETION_ROUTINE CompletionRoutine, IN PVOID Cont
2013-02-07 14:12:35
551
转载 UNICODE_STRING 总结
UNICODE_STRING:typedef struct _UNICODE_STRING { USHORT Length; //UNICODE占用的内存字节数,个数*2; USHORT MaximumLength; PWSTR Buffer;} UNICODE_STRING ,*PUNICODE_STRING;参数定义:Length-----buf
2013-01-31 17:10:49
907
转载 VMware 虚拟机中添加新硬盘的方法
随着在虚拟机中存储的东西的逐渐的增加,虚拟机的硬盘也逐渐告急,因此急需拓展一块新的虚拟磁盘。以下便是在VMware 中添加新的虚拟磁盘的方法: 一、VMware新增磁盘的设置步骤(建议:在设置虚拟的时候,不要运行虚拟机的系统,不然添加了新的虚拟磁盘则要重启虚拟机)1、选择“VM”----“setting”并打开,将光标定位在hard Disk这一选项,然后点击下方的Add按钮
2013-01-30 21:33:52
604
转载 内核符号表
在进行Windows Driver开发调试中,内核符号表是个问题。由于网络不稳定,利用windbg下载不了,在WDK的documentation中查找到下载然后本地运用的地址,贴上来:http://msdn.microsoft.com/en-us/windows/hardware/gg463028.aspx在里面选择所需要调试系统版本的内核符号表,下载即可。附上原有的方法:将 srv*c:\sym
2013-01-30 13:06:41
1685
转载 MDL(内存描述符表) 详解
以下的虚拟内存可以理解成逻辑内存,因为我觉得只有这样才能讲通下面所有的东西。以下的“未分页”指没有为页进行编码。以下为MDL结构体(我很郁闷,我在MSDN上没有找到这个结构体)typedef struct _MDL { struct _MDL *Next; //下一个MDL CSHORT Size; //大小 CSHORT MdlFlags;
2013-01-25 18:07:31
4378
转载 文件系统驱动(IFS DDK)学习笔记 (转)
文件系统驱动是windows系统中最复杂的驱动种类之一。它的全称 IFS DDK 是指可安装文件系统 设备驱动程序开发工具。这方面的资料非常少,我从网上找到的资料大都是文档,都是一些在学习文件系统驱动的人自己写的,几乎没有这方面的专门书籍,更不用说中文资料了。而且ifs ddk中的帮助文档没多大意义,文件系统相关的ddk帮助极其简略,很多重要的部分仅仅轻描淡写的带过。下图是我们的IFS D
2013-01-24 22:09:44
1007
转载 文件系统过滤基础知识
一、何谓文件系统过滤驱动? 文件系统过滤驱动是一种可选的,为文件系统提供具有附加值功能的驱动程序。文件系统过滤驱动是一种核心模式组件,它作为Windows NT执行体的一部分运行。 文件系统过滤驱动可以过滤一个或多个文件系统或文件系统卷的I/O操作。按不同的种类划分,文件系统过滤驱动可以分成日志记录、系统监测、数据修改或事件预防几类。通常,以文件系统过滤驱动为核心的
2013-01-24 22:04:43
537
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人