摘要: 步骤如下:1.打开DLL,OD会提示是否要启动LOADDLL.EXE来加载DLL,选是,然后就停在了DLL的入口处,这里我随便找了一个DLL2.此时如果F8或者F7的话进的是DLL的主函数,如果不想跟这些主函数的话可以直接F9,然后OD会再停下来,在最下方的消息栏会提示DLL初始化完成,LIKE THIS3.点菜单栏的 调试-》调用DLL输出,会出现如下的对话框4.选择想调试的输出函数,比如本例中... 阅读全文
posted @ 2010-06-07 20:58 认真做人,认真做事 阅读(12977) 评论(2) 推荐(2) 编辑
摘要: FS寄存器非常强大!FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB结构地址(进程结构)034 上个错误... 阅读全文
posted @ 2010-05-21 17:07 认真做人,认真做事 阅读(2710) 评论(0) 推荐(0) 编辑
摘要: 百度上随便搜了一个外挂,想分析一下,很不幸,好像是VMP的壳!随便搜的外挂试试OD载入,发现载入不了,看雪上搜了一下,原因找到了可以看到,函数数量和函数名数量都是1,但是其实并没有输出函数,把这两个值改为0,就能用OD载入了。(这也是一个anti的思路)用OD载入然后发现不管怎么走,都会被发现调试器,很郁闷,看雪上继续搜一下,原来是TLS在作怪,看一下文件的TLS表果然是有TLS表。。。跟进去看看... 阅读全文
posted @ 2010-05-21 17:02 认真做人,认真做事 阅读(798) 评论(0) 推荐(0) 编辑
摘要: 自己写了一个win32控制台小程序,用ASPACK2.12加壳,然后用LORDPE和IMPORTREC脱壳。win32小程序的源码如下:[代码]功能就是输出当前MAIN函数的地址,很简单,用AS加密。这里是看雪上下的ASPACK这里是原程序、dump的程序、修复后的程序下面把做的过程说一下,很简单1.用OD载入加壳过的程序,加载完以后是这样的可以看到此时的ESP为12FFC4,用ESP定律,在12... 阅读全文
posted @ 2010-05-13 15:36 认真做人,认真做事 阅读(396) 评论(0) 推荐(0) 编辑
摘要: 代码Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/--#include<windows.h>#include<stdio.h>DWORDscratch;typedefstruct_MYCONTEXT{DWORDContextFla... 阅读全文
posted @ 2010-05-12 11:05 认真做人,认真做事 阅读(1346) 评论(0) 推荐(0) 编辑
摘要: A Crash Course on the Depths of Win32 Structured Exception HandlingMatt Pietrek 著 董岩 译原文:http://www.microsoft.com/msj/0197/exception/exception.aspx 在Win32操作系统提供的所有功能中,使用最广泛而又没有公开的恐怕要数结构化异常处理(Structure... 阅读全文
posted @ 2010-05-10 21:27 认真做人,认真做事 阅读(3091) 评论(0) 推荐(2) 编辑
摘要: C++的异常处理和windows的异常处理一点关系也没有,以下代码可以说明代码 Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/--#include<iostream.h>#include<windows.h>LONGWINAPIm... 阅读全文
posted @ 2010-05-09 21:26 认真做人,认真做事 阅读(450) 评论(0) 推荐(1) 编辑
摘要: 代码Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/--#include<iostream.h>#include<windows.h>voidmain(){DWORDp;_asm{calll1l1:popeaxmovp,eax//确... 阅读全文
posted @ 2010-05-04 11:29 认真做人,认真做事 阅读(1113) 评论(0) 推荐(0) 编辑
摘要: 花指令的作用是对付静态分析,以下面一段程序说明一下花指令的原理 代码 Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/--#include<iostream.h>#include<windows.h>voidmain(){_asm{... 阅读全文
posted @ 2010-05-03 21:44 认真做人,认真做事 阅读(6197) 评论(0) 推荐(0) 编辑
摘要: csdn上抄的一位同学的文章,完整的如下:代码Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/--也懒得写自己的话了,直接引用王双汇编8.5章,相信有一点点基础的都能看懂8.5指令要处理的数据有多长?8086CPU的指令,可以处理两种尺寸的数据,byte和... 阅读全文
posted @ 2010-04-21 09:24 认真做人,认真做事 阅读(2450) 评论(0) 推荐(0) 编辑