123456

摘要： 一般来讲GUI程序不能使用STDIN和STDOUT，但是有时有些特殊需要，希望GUI程序也有控制台，如：一个程序，既可以以GUI方式运行，又可以如果用户在控制台里打程序名的话，就以控制台程序的方式运行。通过AllocConsole() 和 AttachConsole() 这两个WIN API就能实现上面的需求。这两个API分别是在GUI（MFC）程序中分配一个控制台和将程序附着到一个控制台上。用法举例： AttachConsole(ATTACH_PARENT_PROCESS); // 将当前程序附着到父进程上，因为是从控制台启动的，所以当前程序的父进程就是那个控制台。freopen(" 阅读全文

摘要： LoadStdProfileSettings -- 加载MRU2010-01-17 14:49:40|分类：C++　Relation |标签：|字号大中小订阅 This method is called from within the InitInstance method to enable and load the list of most recently used (MRU) files and last preview state. IfnMaxMRU is zero, no MRU list will be maintained.最近文件列表可以让你很方便地打开你以前曾经打开过的文 阅读全文

摘要： 这几天做MDT时，总是会遇到x86\x64\ia64这几个文件夹。前两者很常见，自从Win7系统出现之后，经常会遇到。于是猜想ia64应该也是CPU的某种架构或版本。现对三者做了下总结。x86或80x86是英特尔Intel首先开发制造的一种微处理器体系结构的泛称。该系列较早期的处理器名称是以数字来表示，并以“86”作为结尾，包括Intel 8086、80186、80286、80386以及80486，因此其架构被称为“x86”。x86架构于1978年推出的Intel 8086中央处理器中首度出现，它是从Intel 8008处理器中发展而来的，而8008则是发展自Intel 4004的。8086在 阅读全文

摘要： 打开IDA，拖拽一个EXE文件进去，首先会弹出如下窗口:Kernel option1、Kernel option2、Processor option这三个选项会控制反汇编引擎的工作状态，一般按默认即可，大多数情况下，分析选项的默认值在准确性和方便性之间提供一个折中参数，如果IDA分析出有问题的代码时，把Kernel option1中的选项Make final analysis pass选项关闭是很好的方法：在某些情况下，一些代码因不在预计的位置而不被确认，尝试把Kernel option2中的Coagulate data segments in the final pass选上是有帮助的(注意 阅读全文

摘要： 1.目标文件已完全被Dump，另存为一个文件2.目标文件必须正在运行中3.事先找到目标程序真正的入口(OEP)或IAT的偏移与大小以加壳RebPE.exe为例，首先OD加载：调试到00413001，设置硬件断点hr espF9断下来，单步调到OEP处:这时启用LoadPE工具，找到对应的进程，右键先执行"correct ImageSize”，再执行"dump full",保存为dumped.exe运行ImportREC，选择RebPE.exe进程:在右下角OEP处埴上正确的OEP的RVA值，这里填1130，默认时，ImportREC重建输入表时会同时用此值修正入口 阅读全文

摘要： BP表达式 [,条件]在指定地址设置INT3断点 BP EAX+10BP 410010, EAX==WM_CLOSEBP Kernel32.GetProcAddressBPX 标签在当前模块每一个对外部标签的调用设置断点 BPX CreateFileABC 表达式删除指定地址的断点 BC 410010MR 表达式1 [,表达式2]设置指定范围的内存访问断点MW 表达式1 [,表达式2]设置指定范围的内存写断点SetMD 移除内存断点HR 表达式设置1字节的硬断点，当访问该地址时中断HW 表达式设置1字节的硬断点，当写该地址时中断HE 表达式设置硬断点，当执行该地址时中断HD [表达式]移除指定 阅读全文

摘要： PEiD能检测大多数编译语言.、病毒和加密的壳，它主要利用查特征串搜索来完成识别工作的，各种开发语言都有固定的启动代码部分，利用这点可识别是何种语言编译的，被加壳程序处理过的程序，在壳里会留下相关加壳软件的信息，利用这点就可识别是保种壳所加密的，它提供了一个扩展接口文件userdb.txt ，用启可以自定义一些特征码，这样可以识别出新的文件类型，签名的制作可以用插件Add Signature来完成PEID的扫描模式正常扫描模式：可在PE文档的入口点扫描所有记录的签名深度扫描模式：可深度扫描所有记录的签名，这种模式要比上一种的扫描范围更广，更深入核心扫描模式：可完整的扫描整个PE文档，但相对有点 阅读全文

摘要： OD运行CrackHead.exe，菜单Shit--Try it，点击Check it，发现怎么都没反映首先Ctrl+N切到当前模块的名称(标签)选中API GetWindowTextA:右键，选择在每个参考上设置断点:点击后，OD左下角会出现:点击Check It按钮，断下：把断点都删除，在00401328处加个断点，再运行，可以直接看到算法 阅读全文

摘要： OD加载CrackMe3.exe运行,点击Register now!，会弹出一个对话框:那么"Wrong Serial, try again"可以做为参考字符串，OK，重新运行这个程序：我们在反汇编窗口中右击，弹出一个窗口点击All referenced text strings(所有参考文本字串)之后出现以下界面:在此窗口右击，选择Search for text输入Wrong来查找:找到一处，选中这一行，右击，选择反汇编窗口中跟随:这意思是就是跳转到反汇编窗口的00440F79这一行:为了看看是否还有其他的参考，可以通过右键选择查找参考->立即数:Initial C 阅读全文

摘要： Run trace可以把被调试程序执行过的指令保存下来，了解以前发生的事件，它能把地址、寄存器的内容、消息等记录到Run trace缓冲区中，在运行Run trace前，要把缓冲区设置大些，否则执行的指令太多造成缓冲区溢出：如果要把Run trace的数据保存到文件，在跟踪之前，打开Run trace窗口，鼠标右击执行Log to file即会弹出个文件保存框需要运行Run trace，单击菜单Debug/Open or clear run trace，在打开Run trace缓冲区后，OD会记录在反汇编窗口显示的是被调试程序领空，在反汇编窗口的快捷菜单中选择Run trace/Add ent 阅读全文