2010年03月_yuzl32

08月 07月 06月 04月 03月 02月

原创逆向分析NtDLL.dll!RtlUnwind函数

引言：RtlUnwind是Kernel32.dll!_except_handler3中的全局展开函数。7C957A40 ; int __stdcall RtlUnwind(PVOID TargetFrame, PVOID TargetIp, 7C957A40 PEXCEPTION_RECORD ExceptionRecord, PVOID ReturnValue)7C957A

2010-03-22 22:52:00 5422 1

原创逆向分析kernel32.dll!_global_unwind2函数

引言：__global_unwind2函数是结构化异常处理的全局展开函数.7C80DE94 ;int __cdecl _global_unwind2(_EXCEPTION_REGISTRATION *EstablisherFrame)7C80DE94 __global_unwind2 proc near ; CODE XREF: __except_handler3+70p7C80

2010-03-22 15:41:00 1099

原创逆向分析kernel32.dll!__local_unwind2函数

引言：__local_unwind2函数是结构化异常处理的局部展开函数.7C80DF7F int __cdecl _local_unwind2(int argEstablisherFrame, int argTryLevel); CODE XREF: sub_7C80DF44+22p7C80DF7F ; BasepGetTempPa

2010-03-18 10:57:00 1770

原创 GDI+实现图片格式转换(bmp、jpeg、gif、tiff、png)

引言：通过GDI+我们可以很方便的对bmp、jpeg、gif、tiff、png格式的图片进行转换。步骤：1) 通过GdiplusStartup初始化GDI+，以便后续的GDI+函数可以成功调用。2) 通过GetImageEncodersSize获取GDI+支持的图像格式编码器种类数numEncoders以及ImageCodecInfo数组的存放大小size。3)

2010-03-17 16:57:00 9401 3

原创逆向分析kernel32.dll!_except_handler3函数

引言：_except_handler3是BaseProcessStart的异常处理函数。7C839AF0 ; int __cdecl _except_handler3(EXCEPTION_RECORD *argExceptionRecord,7C839AF0 _EXCEPTION_REGISTRATION *argEstablisherFrame, _CONTEXT *argContex

2010-03-15 22:58:00 3434 2

原创逆向分析Kernel32.dll!BaseProcessStart函数

Kernel32.dll!BaseProcessStart汇编代码如下:7C817054 ; __stdcall BaseProcessStart(x)7C817054 _BaseProcessStart@4 proc near ; CODE XREF: BaseProcessStartThunk(x,x)+5j7C8170547C817054 ms_exc = CPPEH_RE

2010-03-12 10:40:00 4757 1

在学习《Win32 结构化异常处理(SEH)揭秘》的过程中，里面有一段示例代码(ShowSEHFrames.cpp)在试验中没有得到预期的结果，追踪过程中发现，VS2005内置的C/C++编译器的异常处理函数是_except_handler4而非_except_handler3，而且ScopeTable也被简单加密处理过，就是这样才导致示例程序pScopeTableEntry的所有指向均出错(如:

2010-03-09 22:03:00 1769

转载 Win32 结构化异常处理（SEH）探秘

Win32 结构化异常处理（SEH）探秘原著：Matt Pietrek编译：VCKBASE转至：http://www.vckbase.com/document/viewdoc/?id=1867原文出处：A Crash Course on the Depths of Win32? Structured Exception Handling本文假设你熟悉 C++，Win32

2010-03-04 22:20:00 2425

原创结构化异常处理的1个重要的数据结构

简述这几天都在学习结构化异常处理，在逆向_except_handler4方面出了点问题，还没什么头绪。看来修为还是不够，至少一些关键性的结构没有弄清楚。唉。正文当发生异常的时候，系统从fs:[0]中提取EXCEPTION_REGISTRATION结构的信息，调用其成员handler进行处理。EXCEPTION_REGISTRATION定义如下：// 操作系统定义的基本异常帧st

2010-03-03 18:36:00 877

原创 WINDOWS核心编程第5版》随笔记录24

条目1、由CPU抛出的异常都是硬件异常，由操作系统和应用程序抛出的异常通常被称为软件异常。(P638) 条目2、异常处理程序的语法结构：(P638)__try{ //Guarded body //..}__except(Exception filter){ //Exception handler //..} 任何一个try，后面必须跟着final

2010-03-01 11:40:00 571