摘要:
## 一. call指令 1. 将call指令下一跳指令压入栈中 2. jmp跳转到call指令的地址 一个特殊的运用是call $+5 首先要清楚$是intel汇编格式中的一个预定义符号,表示当前指令所在的地址偏移,那么$+5就表示是当前地址加5,加上call指令的长度一般为5,即$+5就是下一条 阅读全文
摘要:
现在我们已经学完了PE文件格式,但是尚还停留在纸上谈兵的阶段,作为Windows系统上的可执行文件格式,PE文件结构总是和结构体,指针等紧密联系在一起的。理解它的最好方法就是通过写一个类似LordPE的程序来帮助我们理解PE文件结构的底层实现逻辑。计算机到底是如何实现对于PE文件结构的读取和分析的, 阅读全文
摘要:
一. 待解决问题 这个恶意代码执行了什么功能? 通过什么方式实现其功能? 如何实现长久驻留? 有什么关键特征,或者说这一类恶意代码有什么关键特征? 如何清除该恶意代码造成的影响? 二. 分析流程 这个恶意代码是通过调用组件模型实现其功能,但是在开始的时候走错了方向,花了一个下午的时间来动态调试,不停 阅读全文
摘要:
## 1. 如何以带参数的方式调试程序 在载入程序后找到“文件——改变命令行”,点击运行,然后按照如```"path\to\aaa.exe" "arg1" "arg2" "arg3"```的方式修改命令行即可。 如图: 在x86汇编语言中的作用是将一个有效地址(即一个内存地址或寄存器地址的偏移量)加载到目标寄存器中,而不是加载一个实际的内存值。 lea指令的使用场景通常有以下几种: 1. 计算数组元素的地址: 假设有一个数组arr,每个元素大小为4个字节 阅读全文
摘要:
# 引言 PE文件格式是Windows操作系统下的可执行文件的格式,包括.exe文件和.dll文件,通过PE文件格式的学习,可以帮助我们更加熟悉有关Windows系统下的逆向分析和PC端病毒的学习,同时PE文件格式也是HOOK,加壳等知识的基础,在这里分享一下自己的有关PE文件格式学习的收获和如何编 阅读全文