摘要: 加载调试程序 调试程序的第一步就是使用OllyDbg来加载程序,加载的过程是通过创建新进程来完成的。OllyDbg通过CreateProcess以调试的方式开启新进程。在创建调成程序前,OllyDbg需要进行一些必要的检查工作。 首先是针对快捷方式的检查。OllyDbg根据可执行程序的后缀名来判断分 阅读全文
posted @ 2020-06-03 10:44 拂树若生花 阅读(344) 评论(0) 推荐(0) 编辑
摘要: PE装载器作用: 会把保护检测做到PE装载器上,从而达到卸掉原程序的保护 PE模拟器装载的步骤 1 给PE装载器留出足够的空间来装载需要的可执行文件,这里需要手动修改装载的可执行文件名字和占用内存的大小,程序首选装载地址 2 检查加载的头部是否是PE的头文件格式 3 从原可执行文件中提取PE格式重要 阅读全文
posted @ 2020-06-03 10:41 拂树若生花 阅读(785) 评论(0) 推荐(0) 编辑
摘要: 单链表结构的缓冲区溢出攻击 代码环境是有一个8字节的缓冲区,和一个指向下一个结构体的链表,程序在构造完成链表后,有两次复写链表值的操作,利用这两次值的覆盖,第一次缓冲区溢出覆盖到下一个链表的指针为0018FEE8,在PE里事先做好了通用跳板的地址0x7798d7b,利用通用跳板,在程序执行到main 阅读全文
posted @ 2020-06-03 10:28 拂树若生花 阅读(424) 评论(0) 推荐(0) 编辑
摘要: VMP壳 :是用来保护关键的代码段的一种加密壳 原理:抽出局部代码,转变为中间码,虚拟机引擎对中间码进行解释,替代CPU解释执行代码,然后跳转回源地址,每次执行都解释执行一次代码,虚拟机有一套自己的反编译算法去解释执行代码: 比如 mov = 0xe8 ebx = 02 eax = 01 mov e 阅读全文
posted @ 2020-06-03 10:24 拂树若生花 阅读(4140) 评论(0) 推荐(1) 编辑
摘要: 8086指令系统概述 Intel 8086指令系统共有117条基本指令,可分成6个功能组 ① 数据传送类指令 :数据从哪里到哪里 ② 算术运算类指令 ③ 位操作类指令 ④ 串操作类指令 ⑤ 控制转移类指令 ⑥ 处理机控制类指令 数据传送类指令 一丶通用数据传送指令 1.MOV传送指令 mov 指令传 阅读全文
posted @ 2020-05-20 19:11 拂树若生花 阅读(3170) 评论(0) 推荐(0) 编辑
摘要: 描述符属性:DB位 情况一:对CS段的影响 D = 1 采用32位寻址方式 D = 0 采用16位寻址方式 前缀67 改变寻址方式 情况二:对SS段的影响 D = 1 隐式堆栈访问指令(如:PUSH POP CALL) 使用32位堆栈指针寄存器ESP D = 0 隐式堆栈访问指令(如:PUSH PO 阅读全文
posted @ 2020-05-04 20:20 拂树若生花 阅读(269) 评论(0) 推荐(0) 编辑