摘要:
在 cookie 检查中,必定先要取出初始的 cookie 值: 这个 cookie 值是属于用户进程的,在这里是 helloworld.exe 映像 现在我们来看看这个 cookie 值被初始化什么,在哪里初始化? 0:000:x86> uf 0xb21221helleworld!wWinMain 阅读全文
posted @ 2018-11-09 20:05 Ady Lee 阅读(2049) 评论(0) 推荐(0) 编辑
摘要:
载入HelloWorld.exe之后我们看看加载了哪些模块: 查看一下堆栈: 都是ntdll中的函数,我们想要运行到HelloWorld.exe的main函数中停下。 这么办: 使用!dh命令。 帮助文档中给出!dh的解释如下: The !dh extension displays the head 阅读全文
posted @ 2018-11-09 17:24 Ady Lee 阅读(373) 评论(0) 推荐(0) 编辑
摘要:
这里先介绍两个指令: sx指令: The sx* commands control the action that the debugger takes when an exception occurs in the application that is being debugged, or wh 阅读全文
posted @ 2018-11-09 17:23 Ady Lee 阅读(779) 评论(0) 推荐(0) 编辑
摘要:
Common Sections The .text section is where all general-purpose code emitted by the compiler or assembler ends up. Since PE files run in 32-bit mode an 阅读全文
posted @ 2018-11-09 17:18 Ady Lee 阅读(424) 评论(0) 推荐(0) 编辑
摘要:
恢复内容开始 The format of an operating system's executable file is in many ways a mirror of the operating system. Winnt.h是一个非常重要的头文件,其中定义了大部分windows下的内部结构。 阅读全文
posted @ 2018-11-09 17:17 Ady Lee 阅读(200) 评论(0) 推荐(0) 编辑
摘要:
Initializer C++ Primer上说:如果未初始化的Built-in type是定义在function外部的,那么它将自动被初始化为“0”;如果uninitialized的built-in type对象是定义在function内部的,那么它就是undefined的,那么,对它拷贝和访问就 阅读全文
posted @ 2018-11-09 17:15 Ady Lee 阅读(213) 评论(0) 推荐(0) 编辑
摘要:
我这里学习汇编语言的思路就是逆向C++源码。 先从最简单的一个程序入手: 为什么程序的开头两句总会是 push ebp mov ebp,esp ? 先来看一个程序: 这个程序调用fun()时,fun的汇编代码也是如此,开头调用这两句汇编: 其实,这里ebp中保存的是你当前的函数(main函数)的栈基 阅读全文
posted @ 2018-11-09 17:14 Ady Lee 阅读(289) 评论(0) 推荐(0) 编辑
摘要:
先贴一段代码: 跟踪后看到: 无论是给bool类型赋值为正整数 还是true,都会转变为1。 那么float和double类型如何转换为bool类型? 将bool类型赋值给int类型变量,就是借助了寄存器eax,将1byte的值放入eax,再从eax取出dword宽度的值即可。但是问题来了,程序在刚 阅读全文
posted @ 2018-11-09 17:14 Ady Lee 阅读(181) 评论(0) 推荐(0) 编辑
摘要:
Creates or opens a file or I/O device. The most commonly used I/O devices are as follows: file, file stream, directory, physical disk, volume, console 阅读全文
posted @ 2018-11-09 17:10 Ady Lee 阅读(461) 评论(0) 推荐(0) 编辑