三米前有蕉皮

摘要： [TOC] 公式 1. RVA = 内存地址 ImageBase 2. 判断RVA在哪一个节上： 1. RVA =节n.VirtualAddress 2. RVA char str[] = "ABC"; int main() { printf("Address: %p\n", &str); prin 阅读全文

摘要： PE结构 PE文件的数据结构大部分都定义在VC98\Include\WINNT.H这个文件里。 MS-DOS 文件头 IMAGE_DOS_HEADER，一共64字节。 typedef struct _IMAGE_DOS_HEADER { // DOS .EXE header WORD e_magic 阅读全文

摘要： 还没学到PE，所以先使用硬编码地址，在MessageBox下断点跟进MessageBoxA函数里。 上面一大段都是检查参数是否合法的，从五个push开始是传参数，到最后一个call是真正调用MessageBox函数，地址就是0x77D5085C，所以函数指针要有五个参数，赋值为0x77D5085C， 阅读全文

摘要： 调用check函数前先把004010F1(call下一条要执行的地址)压入堆栈中，当前的ESP为0012FF30，EBP为0012FF80，check函数的地址为00401005。F11单步跟进函数。 因为压入了call下一步的返回地址，所以ESP减4变为0012FF2C，到下面的push原ebp到 阅读全文

摘要： 获取小程序的源码 我使用的是 "wxappUnpacker" ，但是在我写的时候已经在10天前就提交了rm分支上去。 但是master分支没有删除，所以我们还是可以恢复的。 先把wxappUnpacker的源码拉下来。 切换分支到master，就可以看到多了很多文件了。 照着README.md敲，缺 阅读全文