摘要:
输入表、IAT表与输出表 ImportTable : 00002010 RVA to FOA 所以输入表在文件中的地址为 2010 - 2000 + 600 = 610 ImportAddressTable(IAT) : 00002000 IAT表在文件中的地址为: 2000 - 2000 + 60 阅读全文
摘要:
文章一:http://blog.csdn.net/wowolook/article/details/7607206 1.前言 在我跨入ollydbg的门的时候,就对ollydbg里面的各种断点充满了疑问,以前我总是不明白普通断点,内存断点,硬件断点有什么区别,他们为什么有些时候不能混用,他们的原理是 阅读全文
摘要:
一、运算结果标志位 1、进位标志CF(Carry Flag) 进位标志CF主要用来反映运算是否产生进位或借位。如果运算结果的最高位产生了一个进位或借位,那么,其值为1,否则其值为0。 使用该标志位的情况有:多字(字节)数的加减运算,无符号数的大小比较运算,移位操作,字(字节)之间移位,专门改变CF值 阅读全文
摘要:
C:\Users\RaiderJ\AppData\Roaming\VMware 打开preferences.ini 添加一行 mks.noBeep = "TRUE" 阅读全文
摘要:
一. Q: 1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 A: 这是因为 阅读全文
摘要:
命令行插件支持的命令 CALC 判断表达式 WATCH 添加监视表达式 AT 在指定地址进行反汇编 FOLLOW 跟随命令 ORIG 反汇编于 EIP DUMP 在指定地址进行转存 DA 转存为反汇编代码 DB 使用十六进制字节格式转存 DC 使用 ASCII 格式转存 DD 转存在堆栈格式 DU 阅读全文
摘要:
一. Q: 近call F7 进去 远call F8 跳过 A: 因为近call跳过的话, 很可能原程序也跑过了 二. Q: 为什么一直向下跳, 不能向上跳? A: 因为向上跳很可能是一个for或者while循环, 这样就很难跳出来了 三. Q: 为什么大跳转很大概率是OEP A: 因为跳过了壳的程 阅读全文
摘要:
F2:在需要的地方下断点(INT3型断点)F3:选择打开程序F4:运行到所选择的那一行F7:单步进入F8:单步跟踪F9:执行程序(运行程序) Ctrl+F9 运行至本程序的retn Alt+F9 运行至上层调用的下句Shift+F9 忽略异常运行 无论当前的OllyDbg窗口是什么,这些快捷键均有效 阅读全文
摘要:
注意ESP是指向栈顶元素, 而不是指向栈顶元素的上面一个空元素 call之前会将实参压入堆栈, call的时候会将当前IP,也就是返回地址压入堆栈,然后跳转 跳转到子程序后会, 先把ebp压栈, 然后mov ebp, esp 这样就可以通过ebp来取局部变量 执行完后会有一条leave指令,其实就是 阅读全文