随笔分类 -  逆向调试

摘要：SEH("Structured Exception Handling"),即结构化异常处理.是(windows)操作系统提供给程序设计者的强有力的处理程序错误或异常的武器。 在VISUAL C++中你或许已经熟悉了_try{} _finally{} 和_try{} _except {} 结构,这些并不是编译程序本身所固有的,本质上只不过是对windows内在提供的结构化异常处理的包装,不用这些高级语言编译器所提供的包装 ,照样可以利用系统提供的强大seh处理功能,在后面你将可以看到,用系统本身提供seh结构和规则以及ASM语言,我们将对SEH的机制以及实现有一个彻底的了解. 阅读全文

摘要：0 空1 头标开始2 正文开始3 正文结束4 传输结束5 查询6 确认7 震铃8 backspace9 水平制表符10 换行/新行11 竖直制表符12 换页/新页13 回车14 移出15 移入16 数据链路转意17 设备控制 118 设备控制 219 设备控制 320 设备控制 421 反确认22 同步空闲23 传输块结束24 取消25 媒体结束26 替换27 转意28 文件分隔符29 组分隔符30 记录分隔符31 单元分隔符 阅读全文

摘要：第一步：从节表中删除 先纪录这几个节的起始位置，几个节的Raw是从0000D000到0009E000-1 LordPE中PE编辑器中在这几个节点右键选“清除区段”。 第二步：调整节表属性 只是删除了节表项目和文件中内容还不行，还要设置好节属性。 可以通过编程实现资源节的RVA调整，使RVA偏移等于文件偏移，较麻烦，且.mackt存有输入表信息很多RVA值不好改动。 我们用简单的办法，不动它的RVA地址，只改变它的文件偏移。 用PE编辑器中，打开区段，选择.rsrc节，编辑，因为删除的节首的ROffset为0000D000，所以现在.rsrc节的节首ROffset为0000D000，更改！ .. 阅读全文

摘要：1、限制程序功能函数 5、注册表处理函数2、对话框函数 6、时间处理函数3、磁盘处理函数 7、进程函数4、文件处理函数 8、断点设置列表 1、限制程序功能函数1、EnableMenuItem 允许、禁止或变灰指定的菜单条目2、EnableWindow 允许或禁止鼠标和键盘控制指定窗口和条目（禁止时菜单变灰） 2、对话框函数CreateDialog 从资源模板建立一非模态对话窗CreateDialogParam 从资源模板建立一非模态对话窗CreateDialogInd... 阅读全文

摘要：打开一个新的可执行程序 (F3)重新运行当前调试的程序 (Ctrl+F2)当前调试的程序 (Alt+F2)运行选定的程序进行调试 (F9)暂时停止被调试程序的执行 (F12)单步进入被调试程序的 Call 中 (F7)步过被调试程序的 Call (F8)跟入被调试程序的 Call 中 (Ctrl+F11)跟踪时跳过被调试程序的 Call (Ctrl+F12)执行直到返回 (Ctrl+F9)显示记录窗口 (Alt+L)显示模块窗口 (Alt+E)显示内存窗口 (Alt+M)显示 CPU 窗口 (Alt+C)显示补丁窗口 (Ctrl+P)显示呼叫堆栈 (Alt+K)显示断点窗口 (Alt+B)打开 阅读全文