摘要： 一、数据传输指令───────────────────────────────────────它们在存贮器和寄存器、寄存器和输入输出端口之间传送数据.1. 通用数据传送指令.MOV 传送字或字节.MOVSX 先符号扩展,再传送.MOVZX 先零扩展,再传送.PUSH 把字压入堆栈.POP 把字弹出堆... 阅读全文

摘要： 阅读全文

摘要： Borland Delphi 6.0 - 7.000509CB0 > $ 55 PUSH EBP00509CB1 . 8BEC MOV EBP,ESP00509CB3 . 83C4 EC ADD ESP,-1400509CB6 . 53 PUSH EBX00509CB7 . 56 PUSH ESI0... 阅读全文

摘要： API HOOK技术是一种用于改变API执行结果的技术，Microsoft 自身也在Windows操作系统里面使用了这个技术，如Windows兼容模式等。 API HOOK 技术并不是计算机病毒专有技术，但是计算机病毒经常使用这个技术来达到隐藏自己的目的。API HOOK解释在windows系统下编... 阅读全文

摘要： 【文章标题】汇编ring3下实现HOOKAPI【文章作者】nohacks(非安全,hacker0058)【作者主页】hacker0058.ys168.com【文章出处】看雪论坛(bbs.pediy.com)==================[汇编ring3下实现HOOKAPI]==========... 阅读全文

摘要： 第4章断点和单步执行断点和单步执行是两个经常使用的调试功能，也是调试器的核心功能。本章我们将介绍IA-32 CPU是如何支持断点和单步执行功能的。前两节将分别介绍软件断点和硬件断点，第4.3节介绍用于实现单步执行功能的陷阱标志。在前三节的基础上，第 4.4节将分析一个真实的调试器程序，看它是如何实现... 阅读全文

摘要： Delphi反汇编内部字符串处理函数/过程不完全列表名称参数返回值作用等价形式 / 备注_PStrCatEAX ：目标字符串EDX ：源字符串EAX连接两个 Pascal 字符串s:=copy(s+s1,1,255)_PStrNCatEAX ：目标字符串EDX ：源字符串CL ：结果字符串最大长度E... 阅读全文

摘要： 【标题】XoftSpy4.13的注册算法分析【作者】forever[RCT]【语言】VC【工具】ida4.6,ollydbg1.1【正文】这个软件的算法很简单，正好拿来做逆向分析。我就会捏软柿子。呵呵。因为这个软件注册失败会弹出一个对话框来提示您，所以在ollydbg中在函数MessageBox上下... 阅读全文

摘要： 在调试一些病毒程序的时候，可能会碰到一些反调试技术，也就是说，被调试的程序可以检测到自己是否被调试器附加了，如果探知自己正在被调试，肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术，首先我们来看看反调试技术。 一、Windows API方法Win32提供了两个API, IsDeb... 阅读全文

摘要： ①jmp是不负责任的调度，不保存任何信息，不考虑会回头。跳过去就什么也不管了。②call，保存eip等，以便程序重新跳回。ret是call的逆过程，是回头的过程。这都是cpu固有指令，因此要保存的信息，不用我们自己保存。我们直接使用指令即可③同一任务内特权级转移，跟 ②差不多，不过要准备个tss，并... 阅读全文