随笔分类 -  逆向工程

摘要：Dalvik opcodesDalvik opcodesAuthor: Gabor PallerVx values in the table denote aDalvik register. Depending on the instruction, 16, 256 or 64k registerscan be accessed. Operations on long and double values use tworegisters, e.g. a double value addressed in the V0 register occupiesthe V0 and V1 registe 阅读全文

摘要：Base InstructionsInstructionDescriptionStack Transition1addadd two values, returning a new value…, value1, value2à…, result2add.ovf.add integer value with overflow check…, value1, value2à…, result3andbitwise AND…, value1, value2 à…, result4arglistget argument list… à …, argListHa 阅读全文

摘要：今天偶得一文，发现了一套反调试机制，发现反调试就强行快速关机。而且其中有检测虚拟机的技巧，发现不错，就摘录一下。首先是强行关机，据说是使用的ZwShutdownSystem(2)实现的，看着这API够牛掰的--#include const unsigned int SE_SHUTDOWN_PRIVILEGE = 0x13;int main(){HMODULE hDll = ::LoadLibrary("ntdll.dll");typedef int (* type_RtlAdjustPrivilege)(int, bool, bool, int*);typedef int 阅读全文

摘要：dalvik字节码有两种类型，原始类型和引用类型。对象和数组是引用类型，其它都是原始类型。Vvoid，只能用于返回值类型ZbooleanBbyteSshortCcharIintJlong（64位）FfloatDdouble(64位)对象以Lpackage/name/ObjectName;的形式表示。前面的L表示这是一个对象类型，package/name/是该对象所在的包，ObjectName是对象的名字，“;”表示对象名称的结束。相当于java中的package.name.ObjectName。例如：Ljava/lang/String;相当于java.lang.String数组的表示形式[I 阅读全文

摘要：介绍在我的职业生涯中，我看到我们大多数都是使用Visual Studio来进行调试，而不是用其它许多免费的调试器。你可能有许多理由来使用这样的调试器，比如，在你家里的机器上没装开发环境，但是一个程序一次次的崩溃。其实根据堆栈的dump就可以判断出IE的崩溃是否是由于一个第三方的插件。对于WinDbg，我目前为止还没有发现很好的快速入门的教程。这篇文章结合实例讨论了WinDbg的使用。我首先假设你熟悉调试的基本概念：stepping in, stepping out,断点以及远程调试的基本概念。注意，这本来是座位一个入门的文档，你可以阅读并且开始使用WinDbg. 如果对于特定的命令有疑问，请查 阅读全文

摘要：//为无LIB的DLL制作LIB函数符号输入库 本文介绍了在VC中针对无LIB时的DLL隐式链接,制作可供VC++使用的LIB函数符号输入库。具体步骤如下： 一、使用VC++的工具DUMPBIN将DLL中的导出函数表导出到一定义(.DEF)文件 EXAMPLE： DUMPBIN VideoDeCoder.dll /EXPROTS /OUT:VideoDeCoder.def 二、将导出的.DEF文件整理为一符合.DEF个数的函数导出文件 EXAMPLE：VideoDeCoder.DEF 文件内容如下Dump of file VideoDeCoder.dll File Type: ... 阅读全文