摘要： 阅读全文

摘要： 好几天没有写了，不过不是忘却同样的也不是偷懒而是向好的方向而发展，最近忙着做一个服务反馈系统。实在是没的时间啊，虽然工程不大，但我已经熬了两晚上了（我最不喜欢熬夜了），还好马上就可以完工了，之后就得好好休息下。其实做完这个我还是很兴奋的，毕竟是我独自完成的第一个系统，挺有成就感的。好了，不多写了，继续战斗了，不然晚上还得熬夜。 阅读全文

摘要： 以下是自己的一点小心得算是学习笔记：在跟踪时要大块大块地跟踪，也就是说每次遇到调用CALL指令、重复操作指令REP.循环操作LOOP指令以及中断调用INT指令等，一般不要跟踪进去，而是根据执行结果分析该段程序的功能CMP = 比较 (如 CMP EAX, EBX) <- 比较EAX和EBXJE = 如果相等就跳转JNE = 如果不相等就跳转JL = 如果小于就跳转JLE = 如果小于等于就跳转JA = 如果大于就跳转JAE = 如果大于等于就跳转JMP = 无条件跳转 另外，记录点WIN 32 API函数的知识：1、 Hmemcpy函数void hmemcpy(hpvDest, hpvS 阅读全文

摘要： 今天主要是深入的了解汇编语言，要想反编译没这个可是不行的啊。当然，这也不是一天两天可以成功的，继续努力。一.如何分辨加密壳:壳分为加密壳和压缩壳,压缩壳目的是减少软件的体积便于在网上传播,而加密壳目的是防止软件被脱壳和破解,所以加密壳全部有反跟踪代码，会有许多SEH陷阱使OD调试时产生异常.也就是说在跟踪过程中很容易导致程序运行,使你无法跟踪分析.而压缩壳相对比较容易,脱壳也比较简单,一般没异常出现.二.脱加密壳的相关知识要点:在加密壳中,变形CALL比较多,遇到变形call要F7代过,区别是否是变形Jmp的一个简单方法是比较call的目标地址和当前地址，如果两者离的很近，一般就是变形Jmp了 阅读全文

摘要： 1.PUSHAD :（压栈） 代表程序的入口点2.POPAD :（出栈） 代表程序的出口点，与PUSHAD想对应.看到这个,就说明快到OEP了.3.OEP:程序的入口点,软件加壳就是隐藏OEP.而我们脱壳就是为了找OEP. 二.脱壳调试过程中辨认快到OEP的简单方法下面二个条件是快到OEP的共同现象:若出现下面情况时,说明OEP就要到了:1. OD跟踪过程中如果发现:popad popfd 或popad2.同时,紧接着,有retn ,jmp等其它跳转指令,发生跨段跳跃时.说明OEP马上到了. 三.脱壳必需牢记的要领1.单步往前走,不要让程序向上走,遇到向上跳时,在下一句按F4,运行到所选.2. 阅读全文

摘要： 脱壳工具：1.查壳工具: PEID ,FI ,PE-SCAN 等2.脱壳跟踪工具: ollydbg3.脱壳工具: OD自带脱壳插件,LordPE.4.修复工具:Import REConstructor 1.6第一步:查壳用到工具:PEID ,FI ,PE-SCAN第二步:跟踪调试找程序的OEP用到工具:ollydbg第三步:找到OEP后脱壳1.用OD自带的脱壳插件脱: 方法就是右键脱壳之2.LordPE:选择所调试进程右键,完整脱壳.第四步:修复用到工具:Import REConstructor 1.6ollydbg脱壳中常用快捷键介绍：F2: 下断点.F4:运行到所选择的那一行.-----遇 阅读全文

摘要： 09.2.25就差那么点今天就要坚持不下去了，难以想象今天才是第二天，看来我的持久性真得加强了。客观原因几是打完篮球回来已经晚上9点了，然后洗个澡洗完衣服不知不觉间已经10点了。真累啊，差点就直接上床睡觉了，好了，有这段话做开头我也有了干劲，开始学习了……今天没有做网吧管理系统，继续学习网吧企业人事管理系统。现在是10：30我已经看不进了，旁边的人看着电视我实在是静不下心来啊》》》想玩下实况了…… 阅读全文

摘要： 我从来不认为自己是个安分的人，在我的脑海中不时会有各种“伟大”的想法激荡不已。但同大多数还在迷茫中挣扎的人一样每个计划都不会坚持太长时间便因种种原因流产了，因此不断的制订更宏伟的计划与不停的再次食言组成了我生活的一部分。听说写BLOG能够使自己更容易的坚持自己的信念，因此，我也加入了写博大军中，只是在写下这些的同时我不知道还能坚持多长时间，就在这里留下一个开始吧09年2月24日，也是我的22岁生日。或许，这个举动能成为我人生人生的一个转折点也不一定。是另一个开始还是再一次的结束，所有的这一切在不久的将来就能知晓了。今天继续对一个软件进行修改：该软件是一个C/S模式的网吧管理系统，服务端是用AS 阅读全文

摘要： 曾经去过不少论坛，转过头来还是发现这个最完整，人气也挺旺的。 阅读全文