...

摘要： 利用fastcall中ecx edx传递的特性，解决了ecx需要内嵌汇编才能实现hook thiscall函数的问题。 仅列出关键代码，其他不展示了，不懂的留言。 阅读全文

摘要： 单个服务器对多个客户端程序：一。简要说明二。查看效果三。编写思路四。程序源代码五。存在问题一。简要说明：程序名为：TcpSocketOneServerToMulClient程序功能：实现单个服务器对多个客户端通讯功能的小程序。PS: 这是继上次简单的 Tcp Windows Socket 编程后的再... 阅读全文

摘要： 一。前言： 在老师分配任务（“尝试利用IOCP模型写出服务端和客户端的代码”）给我时，脑子一片空白，并不知道什么是IOCP模型，会不会是像软件设计模式里面的工厂模式，装饰模式之类的那些呢？嘿嘿，不过好像是一个挺好玩的东西，挺好奇是什么东西来的，又是一个新知识啦~于是，开始去寻找一大堆的资料，为这个了... 阅读全文

摘要： 非阻塞模式（ioctlsocket） 阅读全文

摘要： 保护模式下的段寄存器 由 16位的选择器 与 64位的段描述符寄存器 构成段描述符寄存器： 存储段描述符选择器：存储段描述符的索引PS：原先实模式下的各个段寄存器作为保护模式下的段选择器，80486中有6个(即CS,SS,DS,ES,FS,GS)80位的段寄存器，同时提供6个段左右机器当前运行的地址... 阅读全文

摘要： delphi: 55 PUSH EBP 8BEC MOV EBP,ESP 83C4 F0 ADD ESP,-10 B8 A86F4B00 MOV EAX,PE.004B6FA8vc++ 55 PUSH EBP 8BEC MOV EBP,ESP 83EC 44 SUB ESP,44 56 PUSH ESIvc6.0 55 push ebp 8BEC mov ebp,esp 6A FF push -1vc7.0 6A 70 push 70 68 50110001 push hh.01001150 E8 1D020000 call hh.010017B0 33DB xor ebx,ebxvb:004 阅读全文

摘要： 文章中用到的demo下载地址：http://download.csdn.net/detail/ccnyou/4540254附件中包含demo以及文章word原稿用到工具:OllydbgLordPEImportREC这些工具请自行下载准备Dump原理这里也不多做描述，想要了解google it！常见的dump软件有LordPE，ProcDump，PETools等本文以LordPE为例首先，打开 LordPE，由于此时机器上只有一个汉化版，也懒得花时间去找原版了。我们打开选项，设置成如图样子：设置好后，在LordPE的进程窗口选择相关进程（这里以加了Aspack壳 的dumpDemo.exe为例） 阅读全文

摘要： 【文章标题】:纯手工编写的PE可执行程序【文章作者】:Kinney【下载地址】:自己搜索下载【使用工具】:C32【操作平台】:win7【作者声明】:只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!最近，学习PE结构的知识。之后深有感触，随即便萌发了不依赖任何开发环境和编译器，纯手工写一个小程序的念头。所以我打算就写一个弹出MessageBox的小程序吧（弹出“HelloKinney!ThisisthefirstPEprogram!”）。在这里，我们首先复习一下Win32可执行程序的大体结构，就是通常所说的PE结构。PE的意思就是PortableExecutable（可移植的执行体）。PE结 阅读全文

摘要： 前面讲了如何寻找OEP和脱壳，有的时候，Dump出来的时候不能正常运行，是因为还有一个输入表没有进行处理，一些加密壳会在IAT加密上面大做文章，用HOOK - API的外壳地址来代替真是的IAT的地址，让脱壳者无法正确的还原程序的原始IAT，使得程序不能被破解，所以我们处理这些被加密IAT的地址的办 阅读全文

摘要： 经过第一节的基础知识，我们都知道了，加壳程序首先解把原来压缩的代码解压，然后放到所对应的区块中，当外壳程序执行完毕后，跳回到OEP执行，我们都知道，OEP是放在代码段中，也就是当外壳程序处理完毕后，跳回到代码段来执行，那我们是不是可以利用壳的这个特点来进行脱壳呢？答案是肯定的，是可以的！有的时候紧紧在代码段下断是不够的，那怎么办呢？其实很简单，用两次内存断点就可以了，一般的壳会一堆对.text、.rdata、.data、rsrc区块进行解压，根据这个原理，我们可以在适当的时候，对其他的几个区段下断点，然后再在.text段下断点，来找到程序的OEP，进而进行脱壳！我是用Delphi7.0的加了A 阅读全文