摘要:
1.显示字符显示程序中 左上角 选择类别 代码表 选 中uinicode2. NSString s=@"\U0001F402"; //大写\U后带8位, 阅读全文
摘要:
1. 工具 http://www.dependencywalker.com/ 阅读全文
摘要:
ildasm round-tripping Reflector PEBrowseDbg 阅读全文
摘要:
IsDebuggerPresent NtQueryInformationProcess获得PEB NtGlobalFlag ThreadHideFromDebugger windows user mode debugging internals;windows native debugging internals; kernel user-mode debugging support o... 阅读全文
摘要:
1.防范算法求逆 2.抵御静态分析 a.花指令 b.SMC(Self-Modifying Code) c. 信息隐藏 d.简单的多态变形技术 3.文件完整性检验 磁盘文件校验;检验和;内存映像校验 4.代码与数据结合技术 使.text区块可写:a.LoadPE/Prodump改变区块属性为E0000020H b. VirtualProtect修改内存读写属性 注意: 1.尽量开发... 阅读全文
摘要:
RVA 相对于PE文件装入地址的偏移位置,也及 偏移量 虚拟地址(VA) = 基地址(ImageBase) +相对虚拟地址(RVA) 文件偏移地址(File Offset/RAW Offset),从PE文件第一个字节开始,起始值0,十六进制工具打开显示的地址就是。 X86平台一般用4kb(1000h)对齐。 Import Address Table (IAT):包含所要调用输入函数的地址 ... 阅读全文
摘要:
1.序列号保护方式 a.跟踪输入注册码之后的判断 GetWindowText,GetDlgItemText,GetDlgItemInt MessageBox,MessageBoxEx,DialogBoxParam,CreateDialogIndirectParam,DialogBoxIndirectParam,CreateDialogParam, MessageBoxIndirect,Sh... 阅读全文
摘要:
压缩引擎:aPLib,JCALG1,LZMA 压缩壳:UPX,ASPack,PECompact 加密壳:ASProtect,Armadillo(穿山甲),EXECryptor,Themida 虚拟机:VMProtect 脱壳: 1.保存入口参数:pushad/popad,pushfd/popfd 2.GetProcAddress,GetModuleHandle,LoadLibrary ... 阅读全文
摘要:
工具辅助构造区块: CFF Explorer, ZeroAdd,Topo 获得函数的调用: 1.修改输入表结构 (LoadPE) 2. 显示链接方式调用DLL相关函数(LoadLibrary/LoadLibraryEx,GetModuleHandle,GetProcAddress) 代码重定位: 代码的自定位:利用CALL指令执行时将返回地址push,然后pop取出地址 增加输出... 阅读全文