随笔分类 -  逆向学习

IA-32指令
摘要:指令格式 【指令前缀】【操作码】【ModR/M】【SIB】【位移】【立即数】 【Prefixes】【Opcode】【ModR/M】【SIB】【Displacement】【Immediate】 ModR/M 辅助说明操作码的操作数,可选。7-6 Mod 5-3 Reg/Opcode 2-0 R/M S 阅读全文
posted @ 2019-08-02 17:24 s1lenc3 阅读(722) 评论(0) 推荐(0)
逆向学习-DLL注入
摘要:DLL注入技术,可以实现钩取API,改进程序,修复Bug。 DLL注入指的是向运行中的其他进程强制插入特定的DLL文件。 DLL注入命令进程自行调用LoadLibrary()API,加载用户指定的DLL文件。 DLL(Dynamic Linked Library,动态链接库) DLL被加载到进程后自 阅读全文
posted @ 2019-04-30 22:26 s1lenc3 阅读(850) 评论(0) 推荐(0)
逆向学习-Windows消息钩取
摘要:钩子 Hook,就是钩子。偷看或截取信息时所用的手段或工具。 消息钩子 常规Windows流: 1.发生键盘输入事件时,WM_KEYDOWN消息被添加到【OS message queue】。 2.OS判断哪个应用程序中发生了事件,然后从【OS message queue】取出消息,添加到相应应用程序 阅读全文
posted @ 2019-04-29 22:57 s1lenc3 阅读(476) 评论(0) 推荐(0)
逆向学习-内嵌补丁(洞穴代码)
摘要:查看第一节区头。 Size Of Raw Data 为400, Virtual Size为280,尺寸为400,只用了280,所以680-800区域都是NULL。我们将会在此区域设置补丁代码。 节区的Virtual Size为280,这不是实际大小,要以SectionAlignment 的倍数扩展。 阅读全文
posted @ 2019-04-27 21:31 s1lenc3 阅读(194) 评论(0) 推荐(0)
逆向学习-Upack的PE文见头分析
摘要:重叠文件头 MZ文件头与PE文件头重叠。 offest 0 e_magic:magic number = 4D5A('MZ') offest 3C e_lfanew:File address of new exe header IMAGE_FILE_HEADER.SizeOfOptionalHead 阅读全文
posted @ 2019-04-26 23:04 s1lenc3 阅读(410) 评论(0) 推荐(0)
逆向学习-PE文件格式
摘要:从DOS头到节区头是PE头部分,其下的节区合称PE体。文件中使用偏移(offset),内存中使用VA(Virtual Address,虚拟地址)来表示位置。文件加载到内存时,情况就会发生变化(节区的大小、位置等)。文件的内容一般可分为代码(.text)、数据(.data)、资源(,rsrc)节,分别 阅读全文
posted @ 2019-04-26 21:25 s1lenc3 阅读(679) 评论(0) 推荐(0)
逆向工程核心原理-IA-32寄存器
摘要:IA-32由四类寄存器组成:通用寄存器,段寄存器,程序状态与控制寄存器,指令指针寄存器。 通用寄存器:用于传送和暂存数据,也可参与算数逻辑运算,并保存运算结果。 EAX(0-31) 32位 AX (0-15) EAX的低16位 AH (8-15) AX的高8位 AL(0-7) AX的低8位 EAX: 阅读全文
posted @ 2019-04-23 23:18 s1lenc3 阅读(463) 评论(0) 推荐(0)