摘要：在最开始调试的时候毫无头绪,不知道从哪里找到main函数(忽略401000). 看了书上的地址之后,才能找到,现在将进入Main函数前的一些特征提取出来,以便将来调试C++程序时使用. 首先程序断在系统代码领空-- ntdll 处: 继续在系统领空执行: 在call ntdll.778C587F中( 阅读全文

摘要：Intel x86系列的CPU采用的是小端序,RISC系列的CPU采用采用的是大端序 小端序方便计算,大端序方便表示 记住下面的寄存器名字: EAX :(针对操作数和结果数据的)累加器 Accumulation,或用在函数返回值中 EBX:(DS段中的数据指针)基址寄存器 ECX:(字符串和循环操作 阅读全文

摘要：入口点:可执行文件的代码入口点,是应用程序最先执行的代码的起点,依赖于CPU. 通常,在执行程序之前会进行一系列的执行环境初始化 再进入Entry Point之后,还有C++的一系列自行添加的启动函数. 在401000处,里面有调用MessageBox的函数: 一般来说C++程序在运行到main函数 阅读全文

摘要：分析法有两种:静态分析法,动态分析法,要结合使用 学习的方法:慢就是快,少就是精. 最好以项目驱动的形式去学习,拿到一个例子,对其进行分析,基础的东西一定不能忽视,一定要理解并且掌握 阅读全文