上一页 1 ··· 3 4 5 6 7
摘要:PE结构 PE文件的数据结构大部分都定义在VC98\Include\WINNT.H这个文件里。 MS-DOS 文件头 IMAGE_DOS_HEADER,一共64字节。 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic 阅读全文
posted @ 2020-01-16 10:49 三米前有蕉皮 阅读(20) 评论(0) 推荐(0) 编辑
摘要:还没学到PE,所以先使用硬编码地址,在MessageBox下断点跟进MessageBoxA函数里。 上面一大段都是检查参数是否合法的,从五个push开始是传参数,到最后一个call是真正调用MessageBox函数,地址就是0x77D5085C,所以函数指针要有五个参数,赋值为0x77D5085C, 阅读全文
posted @ 2020-01-12 11:12 三米前有蕉皮 阅读(77) 评论(0) 推荐(0) 编辑
摘要:调用check函数前先把004010F1(call下一条要执行的地址)压入堆栈中,当前的ESP为0012FF30,EBP为0012FF80,check函数的地址为00401005。F11单步跟进函数。 因为压入了call下一步的返回地址,所以ESP减4变为0012FF2C,到下面的push原ebp到 阅读全文
posted @ 2020-01-11 22:54 三米前有蕉皮 阅读(62) 评论(0) 推荐(0) 编辑
摘要:获取小程序的源码 我使用的是 "wxappUnpacker" ,但是在我写的时候已经在10天前就提交了rm分支上去。 但是master分支没有删除,所以我们还是可以恢复的。 先把wxappUnpacker的源码拉下来。 切换分支到master,就可以看到多了很多文件了。 照着README.md敲,缺 阅读全文
posted @ 2020-01-06 09:58 三米前有蕉皮 阅读(280) 评论(0) 推荐(0) 编辑
摘要:前言 昨晚在朋友圈看到国外一篇文章利用U盘锁笔记本电脑,刚好有一个坏的金士顿U盘,所以就折腾了一下。 准备 USB设备 1 Arch系统 1 走过的坑 因为systemd udevd带起来的进程是root权限的,环境里各种变量也不是当前桌面用户的,所以在Arch的Wiki里找到了调用外部脚本来通知用 阅读全文
posted @ 2020-01-04 17:19 三米前有蕉皮 阅读(90) 评论(0) 推荐(0) 编辑
上一页 1 ··· 3 4 5 6 7