2010年4月19日
用VC做内联汇编的例子
摘要: 汇编很重要,C很方便,所以内联汇编很重要,哈哈哈,下面是自己写的示例代码 代码Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/--#include<iostream.h>#include<windows.h>//汇编写函数intji... 阅读全文
posted @ 2010-04-19 17:12 认真做人,认真做事 阅读(594) 评论(0) 推荐(0) 编辑
2010年4月16日
关于代码重定位的疑惑解答
摘要: 转载看雪上的一个讨论问:在罗聪的网站(当然在很多地方都能看到)我看到关于代码重定位的代码,即callnStartnStart:popebpsubebp,offsetnStart;对这句代码我有一点疑惑是这样的,call执行的操作应当是将call的下一条指令(在此处即为"popebx")的地址压入堆栈,然后jmp到nStart,之后执行popebp,那么现在ebp中的内容就应当是"popebp"这句... 阅读全文
posted @ 2010-04-16 10:51 认真做人,认真做事 阅读(580) 评论(0) 推荐(0) 编辑
2010年4月7日
重读PE文件(3)
摘要: 上一篇讲到16个IMAGE_DATA_DIRECTORY字段,这16个字段如下:0:IMAGE_DIRECTORY_ENTRY_EXPORT-导出表1:IMAGE_DIRECTORY_ENTRY_IMPORT-导入表2:IMAGE_DIRECTORY_ENTRY_RESOURCE-资源3:IMAGE_DIRECTORY_ENTRY_EXCEPTION-异常(具体资料不详)4:IMAGE_DIREC... 阅读全文
posted @ 2010-04-07 16:54 认真做人,认真做事 阅读(399) 评论(0) 推荐(0) 编辑
2010年4月1日
重读PE文件(2)
摘要: 上一篇讲到_IMAGE_OPTIONAL_HEADER结构了,结构的定义如下: 代码 Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/--typedefstruct_IMAGE_OPTIONAL_HEADER{////Standardfields.//WO... 阅读全文
posted @ 2010-04-01 16:47 认真做人,认真做事 阅读(473) 评论(0) 推荐(0) 编辑
2010年3月31日
重读PE文件格式
摘要: 感觉很有必要重新研究PE格式,所以重读了PE格式的相关文档,心得如下:1.对于DOS头,其定义如下:代码Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/--typedefstruct_IMAGE_DOS_HEADER{//DOS.EXEheaderWORD... 阅读全文
posted @ 2010-03-31 11:20 认真做人,认真做事 阅读(588) 评论(0) 推荐(0) 编辑
2010年3月29日
读取PE文件头的一段小程序
摘要: 给自己定一个目标,要实现一个能复制自己的小程序,所以,首先,要认真学习PE文件结构,一下的程序读取一个EXE文件的文件头信息代码Code highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/--#include<iostream.h>#include<... 阅读全文
posted @ 2010-03-29 16:31 认真做人,认真做事 阅读(1210) 评论(0) 推荐(0) 编辑
2010年3月19日
一个用汇编写的crackme分析,隐藏函数调用方面做的很好,很喜欢这个CM
摘要: 隐藏函数调用的crackme这个CM的隐藏函数调用做的很好,很喜欢,所以分析的时候心情也是非常激动啊!哈哈哈哈哈~废话不多说,OD载入,查找当前模块中的名称(ctrl+n),很囧地发现只有user32.DialogBoxParamA kernel32.ExitProcess Kernel32.GetModuleHandleA三个函数调用,黑人一大跳,F8一步一步跟进吧,看了大概有三五遍,终于大概知... 阅读全文
posted @ 2010-03-19 10:55 认真做人,认真做事 阅读(571) 评论(0) 推荐(0) 编辑
2010年3月18日
一个通过异常处理进行验证的crackme分析
摘要: crackme2同样是看雪上的一个小crackme,同样是MFC做的,分析的思路:1.查看OnInit函数中是否有用户自定义的初始化代码。2.查看OnInitDialog函数中是否用用户自定义的初始化代码。3.查看确定按钮的响应函数都做了什么。OK,let's go!1.加载程序,查看OnInit函数中是否有用户自定义代码。OnInit函数的位置可以用上篇文章中提到的找DoModal函数的方法,这... 阅读全文
posted @ 2010-03-18 15:08 认真做人,认真做事 阅读(607) 评论(0) 推荐(0) 编辑
怎样找到MFC中的初始化函数
摘要: MFC中的初始化函数会出现在两个MFC的函数中,一个是OnInit()函数,一个是OnInitDialog()函数,下面分别说一下找到各自处理函数的方法。对于OnInit()函数,只要在MFC的DoModal函数处下断点,从这个函数往上的那个call一般就是自定义的处理函数对于OnInitDialog()函数,更简单,只要在OnInitDialog函数处断点,这个函数的的call以下就是用户自定义... 阅读全文
posted @ 2010-03-18 11:35 认真做人,认真做事 阅读(1061) 评论(0) 推荐(0) 编辑
2010年3月16日
怎么样找到消息处理函数
摘要: MLGB,博士考完了,基本没戏,但是终于有时间弄点自己的东西了。还是上篇的crack,留下个疑问,timer的消息响应函数一直没有找到,虽然用改变timer时间的方法去掉了anti,但是总是不够完美。总的思路是这样的,我想,只要是涉及到windows系统的消息就肯定离不开sendmessage和translatemessage两个函数,对于timer而言,对sendmessage下断点应该是断不到... 阅读全文
posted @ 2010-03-16 19:23 认真做人,认真做事 阅读(403) 评论(0) 推荐(0) 编辑