摘要:
VB程序逆向常用的函数 1) 数据类型转换: a) __vbaI2Str 将一个字符串转为8 位(1个字节)的数值形式(范围在 0 至 255 之间) 或2 个字节的数值形式(范围在 -32,768 到 32,767 之间)。 b)__vbaI4Str 将一个字符串转为长整型(4个字节)的数值形式... 阅读全文
posted @ 2015-02-03 11:15
Acg!Check
阅读(707)
评论(0)
推荐(0)
摘要:
Delphi反汇编内部字符串处理函数/过程不完全列表名称参数返回值作用等价形式 / 备注_PStrCatEAX :目标字符串EDX :源字符串EAX连接两个 Pascal 字符串s:=copy(s+s1,1,255)_PStrNCatEAX :目标字符串EDX :源字符串CL :结果字符串最大长度E... 阅读全文
posted @ 2015-02-03 11:09
Acg!Check
阅读(1801)
评论(0)
推荐(0)
摘要:
本文为 第17章笔记中断和异常中断和异常概述中断和异常的作用是指示系统中的某个地方发生一些事件, 需要引起处理器(包括正在执行中的程序和任务)的注意. 当中断和异常发生时, 典型的结果是迫使处理器将控制从当前正在执行的程序或任务转移到另一个历程或任务中去. 该例程叫做中断处理程序, 或者异常处理程序... 阅读全文
posted @ 2015-02-03 11:08
Acg!Check
阅读(1168)
评论(0)
推荐(0)
摘要:
本文为 第16章笔记因为段的长度不定, 在分配内存时, 可能会发生内存中的空闲区域小于要加载的段, 或者空闲区域远远大于要加载的段. 在前一种情况下, 需要另外寻找合适的空闲区域; 在后一种情况下, 分配会成功, 但太过于浪费. 为了解决这个问题, 从80386处理器开始, 引入了分页机制. 分页功... 阅读全文
posted @ 2015-02-03 11:07
Acg!Check
阅读(473)
评论(0)
推荐(0)
摘要:
本文为 第15章笔记 由两种基本的任务切换方式, 一种是协同式额, 从一个任务切换到另一个任务, 需要当前任务主动地请求暂时放弃执行权, 或者在通过调用门请求操作系统服务时, 由操作系统"趁机"将控制转移到另一个任务. 这种方式依赖于每个任务的"自律"性, 当一个任务失控时, 其他任务可能得不到执行... 阅读全文
posted @ 2015-02-03 11:06
Acg!Check
阅读(663)
评论(0)
推荐(0)
摘要:
本文为 第14章笔记任务的隔离和特权级保护任务, 任务的LDT和TSS程序是记录在载体上的指令和数据, 总是为了完成某个特定的工作, 其正在执行中的一个副本, 叫做任务(Task). 这句话的意思是说, 如果一个程序有多个副本正在内存中运行, 那么, 它对应着多个任务, 每一个副本都是一个任务. 为... 阅读全文
posted @ 2015-02-03 11:04
Acg!Check
阅读(559)
评论(0)
推荐(0)
摘要:
本文为 第12章笔记别名技术我们都已经知道, 在保护模式下, 代码段是不可写入的. 所谓不可写入, 并非是说改变了内存的物理性质, 使得内存写不进去, 而是说, 通过该段的描述符来访问这个区域时, 处理器不允许向里面写入数据或者更改数据. 但是, 很多时候又需要修改代码段, 如调试时加入断点指令in... 阅读全文
posted @ 2015-02-03 11:03
Acg!Check
阅读(359)
评论(0)
推荐(0)
摘要:
本文为 第11章笔记以下图2, 图4和图5截自Intel手册全局描述符表全局描述符表中存放着段描述符, 每个段描述符8个字节.为了跟踪全局描述符表, 处理器内部有一个48位寄存器, 叫做全局描述符表寄存器(GDTR), GDTR分为两部分,分别为32位的线性地址和16的边界, 32位线性基地址部分保... 阅读全文
posted @ 2015-02-03 11:02
Acg!Check
阅读(675)
评论(0)
推荐(0)
摘要:
本文学习自:关于PE病毒的编写学习(一~六) by yangbostar代码也来源于此,经过一些修改,还不是很完善。如没有添加感染标记,检查感染的文件是否已被感染过。前置病毒,和资源感染类似,资源感染是病毒把宿主程序添加到程序的资源中,替换覆盖原程序,运行时将宿主程序释放成一个临时文件运行。前置病毒... 阅读全文
posted @ 2015-02-03 11:00
Acg!Check
阅读(437)
评论(0)
推荐(0)
摘要:
本文学习自:关于感染型病毒的那些事(三) by gaa_ra代码也来自gaa_ra资源感染,就是将宿主程序作为病毒程序的一个资源来保存,将附加了宿主程序的病毒程序覆盖原来的宿主程序,当打开病毒文件时,病毒发作并将宿主程序释放出来运行。进行资源感染后,打开感染文件的过程大致如下:CreateFile创... 阅读全文
posted @ 2015-02-03 10:58
Acg!Check
阅读(437)
评论(0)
推荐(0)
摘要:
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题首先看下我们内存加载引擎的流程。1.申请一段大小为dll映射内存后的映像大小的内存空间。2.移动各个区段的数据到申请的内存。2.修复引入表结构的地址表。4.通过... 阅读全文
posted @ 2015-02-03 10:57
Acg!Check
阅读(546)
评论(0)
推荐(0)
摘要:
原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题那么搜寻节空隙感染,最重要的就是找到我们节中存在的空隙。一般在病毒技术中,有两种方法。循环读取节表,然后分别在每个节中搜寻00机器码(因为默认编译器是用00机... 阅读全文
posted @ 2015-02-03 10:56
Acg!Check
阅读(281)
评论(0)
推荐(0)
摘要:
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题 今天我们的感染方式是扩展末尾节,因为它很简单、稳定、快捷。那么扩展末尾节顾名思义就是针对被感染对象的最后一个节的扩展。将尾部节的大小扩充,然后将我们的病毒代码... 阅读全文
posted @ 2015-02-03 10:54
Acg!Check
阅读(305)
评论(0)
推荐(0)
摘要:
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题 1> 变形PE头的原理: 这里的变形PE头的思路是用的比较方便的方法,就是将IMAGE_DOS_HEADER 和 IMAGE_NT_HEADER 结构融... 阅读全文
posted @ 2015-02-03 10:53
Acg!Check
阅读(773)
评论(0)
推荐(0)
摘要:
原文:http://www.pediy.com/kssd/index.html -- 病毒技术 -- 病毒知识 -- Anti Virus专题如何编写病毒代码? 首先我把最重要的两个方面列举出来。 1. 处理病毒各个绝对地址的重定位。 2. 所有需调用的api函数地址,均通过动态搜索来获得。 ... 阅读全文
posted @ 2015-02-03 10:52
Acg!Check
阅读(2224)
评论(0)
推荐(0)
摘要:
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题PE结构的学习原文中用fasm自己构造了一个pe,这里贴一个用masm的,其实是使用WriteFile API将编写的PE数据写成文件~也没啥好说的,PE结构在... 阅读全文
posted @ 2015-02-03 10:49
Acg!Check
阅读(938)
评论(0)
推荐(0)
摘要:
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题搜索获得api函数地址的实现我们的程序能正常的调用函数。那么这个动态链接库是如何输出函数来供我们的用户程序调用呢?它实际上是采用输出表结构来描述本dll需要导出... 阅读全文
posted @ 2015-02-03 10:45
Acg!Check
阅读(699)
评论(0)
推荐(0)
摘要:
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题第一种方法通过线程初始化时,获得esp堆栈指针中的ExitThread函数的地址,然后通过搜索获得kernel32.dll的基地址。线程在被初始化的时,其堆栈指... 阅读全文
posted @ 2015-02-03 10:43
Acg!Check
阅读(1723)
评论(0)
推荐(0)
摘要:
原文:http://www.pediy.com/kssd/index.html-- 病毒技术 -- 病毒知识 -- Anti Virus专题下面的代码都是内联汇编,较比较汇编会有些限制,可能写法上有时候会不一样。黑色是代码,红色是编译的汇编代码int g_nTest;__asm{call Dels0... 阅读全文
posted @ 2015-02-03 10:42
Acg!Check
阅读(721)
评论(0)
推荐(0)
浙公网安备 33010602011771号