摘要:
ZC: 如何确定被调试程序已经来到了 未加壳的程序中? ZC: 视频中是使用判断集中语言的特征 ZC: 我的方法:上面的方式 + ESP平衡 1、第1课 (1)、单步跟踪(原则:向下的跳转==>正常F8,向上的跳转==>F4跳过(或者用F2 达到相同效果)) 【930】【05:10】一般来说,很大跨 阅读全文
摘要:
ZC: 主要是 非代码的 分析结构 1、 1.1、DosHeader: PE从偏移0开始就是 1.2、NtHeader: 位于 紧接着DosHeader的后面(具体位置为: DosHeader的偏移[0] + DosHeader.e_lfanew) 1.2.1、NtFileHeader: NtHea 阅读全文
摘要:
1、 一套脱壳教程讲的十分详细\第18讲、ACProtect之寻找丢失的Stolen Code 1.1、这个,直接用 ESP定律法,程序就直接跑起来了... 1.2、用 定位了最后一次"int 3"异常(一共就断下一次"int 3"异常...),然后 用"CTRL+F7"(也就是 自动步入) 虚拟机 阅读全文
摘要:
1、(http://baike.baidu.com/subview/3747364/3747364.htm) cmp(compare)指令进行比较两个操作数的大小 例:cmpoprd1,oprd2 为第一个操作减去第二个操作数, 但不影响第两个操作数的值 它影响flag的 CF,ZF,OF,AF,P 阅读全文
摘要:
1、(http://baike.baidu.com/subview/1234/8387433.htm) 语法:TEST r/m,r/m/data 影响标志:C,O,P,Z,S(其中C与O两个标志会被设为0) Intel的技术手册上是这么写的: 2、 阅读全文
摘要:
ZC: 这个知识点需要整理一下 1、 比较指令: 指令 基于 描述 cmpb S2,S1 S1 – S2 比较字节,差关系 testb S2,S1 S1 & S2 测试字节,与关系 cmpw S2,S1 S1 – S2 比较字,差关系 testw S2,S1 S1 & S2 测试字,与关系 cmpl 阅读全文
摘要:
黑域基地脱壳破解全套教程_初级班 1、第1课 【08:38】推荐查壳工具 protection_id.exe (ZC: 视频里的版本信息为“PROTECTiON iD v0.6.4.0 JULY”),比PEID查的更准确一些 【11:28】“Import REConstructor 1.6” (视频 阅读全文
摘要:
1、 申请内存的地方在哪里?忘了...(应该是用的 malloc) 2、 键盘上按下一个键,处理的函数为:(所在的模块 应该是“CEGUIIrrlichtRenderer.dll”) ZC: (1)、injectKeyDown函数 是用于处理 回车 等的按键;(2)、injectChar函数 是用于 阅读全文
摘要:
1、代码位置: ZC: 上面的“大块局部变量区域” ESP从0012EBA0跳到了0012EAF0,其中有大量的遗留信息,OD同样会对它们作注释 可能会提示如下内容: (1)、CALL的返回地址 (提示信息类似于“返回到 ????????”) (2)、指向偏移 (提示信息类似于“OFFSET ??? 阅读全文
摘要:
1、CE 写入时的指令(CE 搜到的第一个地址,∵测试了一下 CE修改第1个地址指向的内容时,发送的就是修改后的内容。只修改 第2个地址的话 没效果) 1.1、输入的时候: 1.2、发送的时候: 1.3、 2、OD 找到的 按键时调用的CALL(此时 输入框是激活状态) 2.1、父CALL 2.2、 阅读全文