Rev_omi

摘要： 一年前看过一次,但没有实实在在的理解,这次争取结合实际的PE文件再看看. 一般来说,很多文件为了提高使用率,都会使用一个"最小基本单位"的概念.PE文件中各节区的起始位置在某个最小单位的倍数上. 若不够,则空白区域用NULL填充. 相对虚拟地址(RVA):从某个基准地址开始的相对地址. 虚拟地址(V 阅读全文

摘要： 有分段机制. :d //可以是字符数字,或单词set /p a = 请输入时间(秒) //设置变量a, '/p'后,变量不再赋值,而是显示出来,然后等待用户输入数据赋给 a shutdown -s -f -t %a% //设置强制关机的时间 start //没跟参数代表打开cmd goto d // 阅读全文

摘要： md 1 2 3 4 在当前区域内创建 1,2,3,4一共四个文件夹. rd 1 2 3 4 删除当前区域内文件夹名为1 2 3 4 的文件夹. rd 文件夹 /s/q 在不提示(/q)的情况下删除文件夹及文件夹内的文件夹及内容(-s). cd ..\1 访问上个文件夹中文件夹名为1的文件夹 typ 阅读全文

摘要： 首先拿到程序,先跑一遍,看看大致的流程. 程序一启动会弹出一个NAG,要去除它. 一般来说,只要是启动窗口都会调用函数名字里有MessageBox的函数.于是在跨模块调用中搜索: 可以发现,这些函数都是user32.dll中的函数,属于系统函数,因为VB的特性,它最终会调用系统函数,所以在此处断应该 阅读全文

摘要： 交换机连接了一个局域网 IP地址 X.Y.Z.O 每一个值的范围为0-255 例子: IP : 192.168.1.0 掩码: 255.255.0.0 此地址的网段是: 192.168.0.0 , 主机位是1.0 主机位不能全为0或255,全为0是网段名,全为255则为广播地址 以前定义了五个网段( 阅读全文

摘要： VB文件的使用名为MSVBVN60.DLL,是VB的专用引擎.应注意,VB语言使用的是Unicode字符串 使用VB文件可以编译为本地代码(Native-Code)与伪代码(Pseudo-code). 本地代码使用易于调试器解析IA-32指令;伪指令是一种解释器(interpreter)语言,它使用 阅读全文

摘要： 在最开始调试的时候毫无头绪,不知道从哪里找到main函数(忽略401000). 看了书上的地址之后,才能找到,现在将进入Main函数前的一些特征提取出来,以便将来调试C++程序时使用. 首先程序断在系统代码领空-- ntdll 处: 继续在系统领空执行: 在call ntdll.778C587F中( 阅读全文

摘要： Intel x86系列的CPU采用的是小端序,RISC系列的CPU采用采用的是大端序 小端序方便计算,大端序方便表示 记住下面的寄存器名字: EAX :(针对操作数和结果数据的)累加器 Accumulation,或用在函数返回值中 EBX:(DS段中的数据指针)基址寄存器 ECX:(字符串和循环操作 阅读全文

摘要： 入口点:可执行文件的代码入口点,是应用程序最先执行的代码的起点,依赖于CPU. 通常,在执行程序之前会进行一系列的执行环境初始化 再进入Entry Point之后,还有C++的一系列自行添加的启动函数. 在401000处,里面有调用MessageBox的函数: 一般来说C++程序在运行到main函数 阅读全文

摘要： 分析法有两种:静态分析法,动态分析法,要结合使用 学习的方法:慢就是快,少就是精. 最好以项目驱动的形式去学习,拿到一个例子,对其进行分析,基础的东西一定不能忽视,一定要理解并且掌握 阅读全文