摘要： 实例下载 有很多介绍PE文件的文章，但是我打算写一篇关于输入表的文章，因为它对于破解很有用。 我想解释它的最好的方法是举一个例子，你可以跟着我逐步深入，一步一步的思考，最后你将完全明白，我选择了一个我刚下载下来的小程序，它是用TASM编译的，有一个比较小的输入表，所以我想它应该是个不错的范例。 好了，让我们开始吧。首先我们得找到输入表，它的地址放在PE文件头偏移80处，所以我们用... 阅读全文

摘要： 先来看一个可执行文件的实例：本例程打开一PE文件，将所有引入dll和对应的函数名读入一编辑控件，同时显示 IMAGE_IMPORT_DESCRIPTOR 结构各域值。 C:\QQDownload\blah.EXE ================[ IMAGE_IMPORT_DESCRIPTOR ]============= OriginalFirstThunk = 303C... 阅读全文

摘要： 我们已经学了许多关于 DOS header 和 PE header 的知识。接下来就该轮到 section table（节表）了。节表其实就是紧挨着 PE header 的一结构数组。该数组成员的数目由 file header (IMAGE_FILE_HEADER) 结构中 NumberOfSections 域的域值来决定。节表结构又命名为 IMAGE_SECTION_HEADER。 IMA... 阅读全文

摘要： PE header 的正式命名是 IMAGE_NT_HEADERS。再来回忆一下这个结构。 IMAGE_NT_HEADERS STRUCT Signature dd ? FileHeader IMAGE_FILE_HEADER OptionalHeader IMAGE_OPTIONAL_HEADER32 IMAGE_NT_HEADERS ENDS Signa... 阅读全文

摘要： “ PE 的意思就是 Portable Executable（可移植的执行体）。它是 Win32环境自身所带的执行体文件格式。它的一些特性继承自 Unix的 Coff (common object file format)文件格式。"portable executable"（可移植的执行体）意味着此文件格式是跨win32平台的 :即使Windows运行在非Intel的CPU上，任何wi... 阅读全文

摘要： 首先提供软件下载地址/Files/mfm11111/TestWin.rar（是一个共享的窗口化的小软件） 1. 首先，用peid查看，发现是UltraProtect 1.x -> RISCO Software Inc.壳，如下图所示： 2. 用od载入后，显示壳的入口信息如下： 00461000 窗口化. 60 pushad 00461001... 阅读全文

摘要： 消息循环 1. 消息循环的一般形式 程序中的以下代码就是通常的消息循环： .while TRUE invoke GetMessage,addr @stMsg,NULL,0,0 .break .if eax == 0 invoke TranslateMessage,addr @stMsg ... 阅读全文

摘要： 模块和句柄 1. 模块的概念 一个模块代表的是一个运行中的exe文件或dll文件，用来代表这个文件中所有的代码和资源，磁盘上的文件不是模块，装入内存后运行时就叫做模块。一个应用程序调用其他DLL中的API时，这些DLL文件被装入内存，就产生了不同的模块，为了区分地址空间中的不同模块，每个模块都有一个惟一的模块句柄来标识。 很多API函数中都要用到程序的模块句柄，以便利用程序中的各种资源，所以... 阅读全文

摘要： 不能免俗，还是从Hello world来谈起 CodeCode highlighting produced by Actipro CodeHighlighter (freeware)http://www.CodeHighlighter.com/--> .386 .model flat,stdcall option casemap:none;>>>>>>>>>>>>>>>>>>>>... 阅读全文

摘要： 可以看到，MASM编译器对这些条件分支伪指令优化得相当好，看到这些反汇编后的指令，惟一的感觉是好像又回到了DOS汇编时代分支指令堆中，从这里可以发现，这些伪指令把汇编程序的可读性基本上提高到了高级语言的水平。 分析反汇编代码可以发现，在不同的条件满足之后，先是执行满足条件后需要执行的指令，如上面的mov esi，0001和mov esi,0002等指令，这些指令执行后，后面都有一句直接跳转的... 阅读全文