摘要:
## 一. call指令 1. 将call指令下一跳指令压入栈中 2. jmp跳转到call指令的地址 一个特殊的运用是call $+5 首先要清楚$是intel汇编格式中的一个预定义符号,表示当前指令所在的地址偏移,那么$+5就表示是当前地址加5,加上call指令的长度一般为5,即$+5就是下一条 阅读全文
posted @ 2023-08-15 09:54
ONE_ZJ
阅读(368)
评论(0)
推荐(0)
摘要:
现在我们已经学完了PE文件格式,但是尚还停留在纸上谈兵的阶段,作为Windows系统上的可执行文件格式,PE文件结构总是和结构体,指针等紧密联系在一起的。理解它的最好方法就是通过写一个类似LordPE的程序来帮助我们理解PE文件结构的底层实现逻辑。计算机到底是如何实现对于PE文件结构的读取和分析的, 阅读全文
posted @ 2023-08-02 09:42
ONE_ZJ
阅读(52)
评论(0)
推荐(0)
摘要:
一. 待解决问题 这个恶意代码执行了什么功能? 通过什么方式实现其功能? 如何实现长久驻留? 有什么关键特征,或者说这一类恶意代码有什么关键特征? 如何清除该恶意代码造成的影响? 二. 分析流程 这个恶意代码是通过调用组件模型实现其功能,但是在开始的时候走错了方向,花了一个下午的时间来动态调试,不停 阅读全文
posted @ 2023-07-30 21:10
ONE_ZJ
阅读(36)
评论(0)
推荐(0)
摘要:
## 1. 如何以带参数的方式调试程序 在载入程序后找到“文件——改变命令行”,点击运行,然后按照如```"path\to\aaa.exe" "arg1" "arg2" "arg3"```的方式修改命令行即可。 如图: 
评论(0)
推荐(0)
摘要:
通过替换Kernel32.dll来实现的后门功能的恶意代码。 该恶意代码存在一个exe可执行文件和一个dll动态链接库,需要分别进行分析 一.待解决问题 这个恶意代码执行了什么功能? 通过什么方式实现其功能? 如何实现长久驻留? 有什么关键特征,或者说这一类恶意代码有什么关键特征? 如何清除该恶意代 阅读全文
posted @ 2023-07-30 11:34
ONE_ZJ
阅读(153)
评论(0)
推荐(0)
摘要:
1. CreateFileA, CreateMappingA 和 MapViewOfFile 是Windows操作系统中的API函数,用于文件的创建、映射和视图的获取。 CreateFileA:这个函数用于在指定路径下创建一个或多个文件。如果文件已经存在,那么它的访问权限将被改变。 CreateMa 阅读全文
posted @ 2023-07-30 08:42
ONE_ZJ
阅读(32)
评论(0)
推荐(0)
摘要:
1. shift+F12 展示所有的字符串; 2. ctrl+x查找某一字符串出现的所有位置; 3. F5反编译,查看伪代码; 4. *可以查看数组元素的起始位置和每个元素所占空间是多少; 5. y可修改数据类型; 6. n可修改变量名; 7. shift+E可导出数据(先用y修改数据类型,再根据数 阅读全文
posted @ 2023-07-30 08:29
ONE_ZJ
阅读(1147)
评论(0)
推荐(0)
摘要:
##lea指令(Load Effective Address)在x86汇编语言中的作用是将一个有效地址(即一个内存地址或寄存器地址的偏移量)加载到目标寄存器中,而不是加载一个实际的内存值。 lea指令的使用场景通常有以下几种: 1. 计算数组元素的地址: 假设有一个数组arr,每个元素大小为4个字节 阅读全文
posted @ 2023-07-28 17:53
ONE_ZJ
阅读(921)
评论(0)
推荐(0)
摘要:
# 引言 PE文件格式是Windows操作系统下的可执行文件的格式,包括.exe文件和.dll文件,通过PE文件格式的学习,可以帮助我们更加熟悉有关Windows系统下的逆向分析和PC端病毒的学习,同时PE文件格式也是HOOK,加壳等知识的基础,在这里分享一下自己的有关PE文件格式学习的收获和如何编 阅读全文
posted @ 2023-07-27 16:18
ONE_ZJ
阅读(99)
评论(0)
推荐(0)
浙公网安备 33010602011771号