摘要:
[TOC] 公式 1. RVA = 内存地址 ImageBase 2. 判断RVA在哪一个节上: 1. RVA =节n.VirtualAddress 2. RVA char str[] = "ABC"; int main() { printf("Address: %p\n", &str); prin 阅读全文
摘要:
PE结构 PE文件的数据结构大部分都定义在VC98\Include\WINNT.H这个文件里。 MS-DOS 文件头 IMAGE_DOS_HEADER,一共64字节。 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic 阅读全文
摘要:
还没学到PE,所以先使用硬编码地址,在MessageBox下断点跟进MessageBoxA函数里。 上面一大段都是检查参数是否合法的,从五个push开始是传参数,到最后一个call是真正调用MessageBox函数,地址就是0x77D5085C,所以函数指针要有五个参数,赋值为0x77D5085C, 阅读全文
摘要:
调用check函数前先把004010F1(call下一条要执行的地址)压入堆栈中,当前的ESP为0012FF30,EBP为0012FF80,check函数的地址为00401005。F11单步跟进函数。 因为压入了call下一步的返回地址,所以ESP减4变为0012FF2C,到下面的push原ebp到 阅读全文
摘要:
获取小程序的源码 我使用的是 "wxappUnpacker" ,但是在我写的时候已经在10天前就提交了rm分支上去。 但是master分支没有删除,所以我们还是可以恢复的。 先把wxappUnpacker的源码拉下来。 切换分支到master,就可以看到多了很多文件了。 照着README.md敲,缺 阅读全文