暴雪对门

摘要： 输入表、IAT表与输出表 ImportTable : 00002010 RVA to FOA 所以输入表在文件中的地址为 2010 - 2000 + 600 = 610 ImportAddressTable(IAT) : 00002000 IAT表在文件中的地址为： 2000 - 2000 + 60 阅读全文

摘要： 文章一：http://blog.csdn.net/wowolook/article/details/7607206 1.前言 在我跨入ollydbg的门的时候，就对ollydbg里面的各种断点充满了疑问，以前我总是不明白普通断点，内存断点，硬件断点有什么区别，他们为什么有些时候不能混用，他们的原理是 阅读全文

摘要： 一、运算结果标志位 1、进位标志CF(Carry Flag) 进位标志CF主要用来反映运算是否产生进位或借位。如果运算结果的最高位产生了一个进位或借位，那么，其值为1，否则其值为0。 使用该标志位的情况有：多字(字节)数的加减运算，无符号数的大小比较运算，移位操作，字(字节)之间移位，专门改变CF值 阅读全文

摘要： C:\Users\RaiderJ\AppData\Roaming\VMware 打开preferences.ini 添加一行 mks.noBeep = "TRUE" 阅读全文

摘要： 下面以Helloworld.exe为例 阅读全文

摘要： 一. Q: 1.PUSHAD （压栈） 代表程序的入口点, 2.POPAD （出栈） 代表程序的出口点，与PUSHAD想对应，一般找到这个OEP就在附近 3.OEP：程序的入口点，软件加壳就是隐藏了OEP（或者用了假的OEP/FOEP），只要我们找到程序真正的OEP，就可以立刻脱壳。 A: 这是因为 阅读全文

摘要： 命令行插件支持的命令 CALC 判断表达式 WATCH 添加监视表达式 AT 在指定地址进行反汇编 FOLLOW 跟随命令 ORIG 反汇编于 EIP DUMP 在指定地址进行转存 DA 转存为反汇编代码 DB 使用十六进制字节格式转存 DC 使用 ASCII 格式转存 DD 转存在堆栈格式 DU 阅读全文

摘要： 一. Q: 近call F7 进去 远call F8 跳过 A: 因为近call跳过的话, 很可能原程序也跑过了 二. Q: 为什么一直向下跳, 不能向上跳? A: 因为向上跳很可能是一个for或者while循环, 这样就很难跳出来了 三. Q: 为什么大跳转很大概率是OEP A: 因为跳过了壳的程 阅读全文

摘要： F2：在需要的地方下断点（INT3型断点）F3：选择打开程序F4：运行到所选择的那一行F7：单步进入F8：单步跟踪F9：执行程序（运行程序） Ctrl+F9 运行至本程序的retn Alt+F9 运行至上层调用的下句Shift+F9 忽略异常运行 无论当前的OllyDbg窗口是什么，这些快捷键均有效 阅读全文

摘要： 注意ESP是指向栈顶元素, 而不是指向栈顶元素的上面一个空元素 call之前会将实参压入堆栈, call的时候会将当前IP,也就是返回地址压入堆栈,然后跳转 跳转到子程序后会, 先把ebp压栈, 然后mov ebp, esp 这样就可以通过ebp来取局部变量 执行完后会有一条leave指令,其实就是 阅读全文