- 博客(7)
- 收藏
- 关注
RSS订阅原创 hook API系列---理解内核hook
hook分为应用层hook 和内核级hook, 应用层的hook在这里不做讨论。 内核级的hook分为 1. ssdt hook 2. inline hook 关于这两种hook举个比较形象的例子。 假如我是第一次进入A2大楼去财务科找小赵办手续, 在A2门口有一张大楼位置表 写着: 321 : 财务科 我的办事顺序是: 1. 去位置表
2009-02-18 22:24:00
1227
原创 我的逆向汇编系列---if else结构
在汇编代码中识别if else结构 通常是: start: cmp **, ** jge else .... jmp //往下跳 else: .... 秘诀是:cmp 是一个跳转语句,然后执行一段时
2009-02-18 19:28:00
625
原创 我学汇编之逆向系列---之 for循环
int c = 0;int i = 0;for(i =0 ; i{ c += i; } 转化成汇编如下: mov [ebp - 4], 0 //0000001mov [ebb - 8], 0 //0000002mov [ebp - 4], 0 //0000
2009-02-17 22:59:00
349
原创 我学汇编之逆向系列
test eax , eax je ******* 翻译成高级语言// if(eax != 0 ){ } mov eax , 1 test eax ,eax je ////////////////// while(1){ }
2009-02-16 23:34:00
296
原创 呼呼,王爽的汇编看的真过瘾。。。。
原来,天底下还有这么好的汇编教材,我当时上学的时候咋就没有呢。。。。否则我的汇编水平肯定比现在高不少。。用来一天的时间把这本书看了个遍。。。。记下让我“哦”的地方吧。。。将来也许有用 。。。 1. 汇编语言的组成:a. 指令: 有对应的机器码。b. 伪指令: 没有对应的机器码,编译器执行,计算机不执行。。 2. 指令和数据是应用层的概念,在内存中都是01组成的二进制信
2009-02-15 20:30:00
532
原创 用windbg内核模式调试用户态程序
很激动。。解决我一个调试驱动非常头痛的问题。。。。 在这个过程中拜读了 znsoft的文章和高端调试的 文章,的确很牛。。。。 链接如下:http://bbs.driverdevelop.com/htm_data/125/0901/115354.html http://advdbg.org/blogs/advdbg_system/articles/1492.aspx
2009-02-10 21:51:00
713
转载 windows映像劫持技术
今天看windows创建进程的过程,第一个阶段怎么看都看明白,里面说要查看什么注册表,看看有debugger值什么的。后来查了下百度,原来就启动一个进程的一个小阶段被病毒广泛利用,也就是下面说的映像劫持技术。看来microsoft也有考虑不周的地方啊 ==========================================================window
2009-01-15 23:44:00
686
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人