08 2014 档案
金山2007逆向分析挑战赛第一阶段第二题详解
摘要:题目:一、将_text,_rdata,_data合并成一个EXE文件,重建一个PE头二、在第一步的基础上加入一个菜单三、加入点击菜单调用MessageBox*************************************************************因为最终结果是一个用W...
阅读全文
WinHex分析PE格式(2)&& 如何手动添加区段并运行区段
摘要:由于这次文章内容比较多所以写成DOC文档为了复习所学的知识,我在原本的软件里试者手动加入区段,并写给大家分享,还试试者用LordPE加区段发现竟然失败了,还是自己动手比较实在,完美运行。利用OD的汇编功能可以在新的区段为所欲为哈哈修改前的PE信息修改后的PE信息摘自:http://bbs.pediy...
阅读全文
WinHex分析PE格式(1)
摘要:最近在一直努力学习破解,但是发现我的基础太差了,就想学习一下PE结构。可是PE结构里的结构关系太复杂,看这老罗的WiN32汇编最后一章翻两页又合上了。。把自己的信心都搞没了。感觉自己的理解能力不行,实践一下也许会好一点,可是怎么实践,进看雪搜一下发现了不少帖子的手写PE太牛了。。,心想咱们手写不行看...
阅读全文
PE工具
摘要:PE编辑工具Stud_PE v. 2.4.0.1PE工具,用来学习PE格式十分方便。http://www.cgsoftlabs.ro/汉化版:http://bbs.pediy.com/showthread.php?s=&threadid=22840 LordPE DLX增强版(2008.5.31)2...
阅读全文
PE文件结构详解(六)重定位
摘要:前面两篇PE文件结构详解(四)PE导入表和PE文件结构详解(五)延迟导入表介绍了PE文件中比较常用的两种导入方式,不知道大家有没有注意到,在调用导入函数时系统生成的代码是像下面这样的:在这里,IE的iexplorer.exe导入了Kernel32.dll的GetCommandLineA函数,可以看到...
阅读全文
PE文件结构详解(五)延迟导入表
摘要:PE文件结构详解(四)PE导入表讲 了一般的PE导入表,这次我们来看一下另外一种导入表:延迟导入(Delay Import)。看名字就知道,这种导入机制导入其他DLL的时机比较“迟”,为什么要迟呢?因为有些导入函数可能使用的频率比较低,或者在某些特定的场 合才会用到,而有些函数可能要在程序运行一段...
阅读全文
PE文件结构详解(四)PE导入表
摘要:PE文件结构详解(二)可执行文件头的最后展示了一个数组,PE文件结构详解(三)PE导出表中解释了其中第一项的格式,本篇文章来揭示这个数组中的第二项:IMAGE_DIRECTORY_ENTRY_IMPORT,即导入表。也许大家注意到过,在IMAGE_DATA_DIRECTORY中,有几项的名字都和导入...
阅读全文
PE文件结构详解(三)PE导出表
摘要:上篇文章PE文件结构详解(二)可执行文件头的结尾出现了一个大数组,这个数组中的每一项都是一个特定的结构,通过函数获取数组中的项可以用RtlImageDirectoryEntryToData函数,DataDirectory中的每一项都可以用这个函数获取,函数原型如下:PVOID NTAPI RtlIm...
阅读全文
PE文件结构详解(二)可执行文件头
摘要:在PE文件结构详解(一)基本概念里,解释了一些PE文件的一些基本概念,从这篇开始,将详细讲解PE文件中的重要结构。了解一个文件的格式,最应该首先了解的就是这个文件的文件头的含义,因为几乎所有的文件格式,重要的信息都包含在头部,顺着头部的信息,可以引导系统解析整个文件。所以,我们先来认识一下PE文件的...
阅读全文
PE文件结构详解(一)基本概念
摘要:PE(Portable Execute) 文件是Windows下可执行文件的总称,常见的有DLL,EXE,OCX,SYS等,事实上,一个文件是否是PE文件与其扩展名无关,PE文件可以是任 何扩展名。那Windows是怎么区分可执行文件和非可执行文件的呢?我们调用LoadLibrary传递了一个文件名...
阅读全文
汇编中Enter与Leave指令
摘要:Enter的作用相当==push ebp和mov ebp,esp这后面两句大家很熟悉吧?函数开始一般都是这两句Leave的作用相当==mov esp,ebp和pop ebp而这后面这两句也很常见,函数调用完后一般的用到以上的Enter和leave的作用分别函数开始和结束Win32汇编中局部变量的使用...
阅读全文
代码优化常识
摘要:32位代码优化常识原作者: Benny/29A 翻译改写:hume/冷雨飘心 [注意:这不是鹦鹉学舌的翻译,我尽量以我的理解传达原文的本意] 关于代码优化的文章实在太多了,遗憾的是大部分我都没有看,尽管他们就摆在我的床边(每当我要看的时候就忍不住打哈欠...嘿嘿).这篇文章较短所以翻了一下....
阅读全文
汇编语言中"[]"的用法
摘要:"[]"的用法在"常见问题"已经有所说明,引用如下:1、push dword ptr [024c1100] 压栈024c1100值的双字 2、cmp eax,[ebp+14] eax-ebp+14的有效值,不保留值,主要看标志位 3、cmp byte ptr [eax],46 字节型ea...
阅读全文
加解密入门基础知识
摘要:很多人都想学习解密,这东西刚入门时会让人沉迷进去,可以饭不吃、觉不睡。出现这种现像,也许是解密满足了人们的猎奇心里吧。但掌握这方面技术,对自身的 提高确实有好处。可以通过跟踪软件,提高自己的调试技能,并且能了解他人程序思路,使自己写出更好的程序。研究解密技术有助于掌握一些系统底层知识,系统 底层知识...
阅读全文
脱壳基础知识入门
摘要:现在加解密发展己形成2个分支了,一个就是传统的算法,另一个就是加密壳。越来越多的软件采用了密码学相关算法,现在要做出一个软件注册机己不象前几年那 么容易,这就要求解密者必须要有一定的数学功底和密码学知识,而这些在短时间内是不容易掌握的。除了密码学的应用,越来越多的软件加壳了,因此要求解密者 必须...
阅读全文
补码的运算
摘要:在计算机系统中,数据的表示与存储都是以0或1的形式,而表示这些0或1,我们可以将外部数据通过数字电路进行编码,对于有符号数,在计算机系统中有三种编码,即我们通常所了解的编码:原码,反码,补码,而无符号数没有原码,反码,补码之分,况且,我觉得在计算机存储系统领域讨论无符号数是没什么意义的原码:正数原码...
阅读全文
二补数
摘要:二补数二补数(2's complement)是一种用二进制表示有号数的方法,也是一种将数字的正负号变号的方式,常在计算机科学中使用。在中国大陆称作补码,台湾和香港称为二补数。一个数字的二补数就是将该数字作比特反相运算(即一补数或反码),再将结果加 1。在二补数系统中,一个负数就是用其对应正数的二补数...
阅读全文
原码 & 反码 & 补码 & 详解
摘要:本篇文章讲解了计算机的原码, 反码和补码. 并且进行了深入探求了为何要使用反码和补码, 以及更进一步的论证了为何可以用反码, 补码的加法计算原码的减法. 论证部分如有不对的地方请各位牛人帮忙指正! 希望本文对大家学习计算机基础有所帮助!一. 机器数和真值在学习原码, 反码和补码之前, 需要先了解机器...
阅读全文
中国黑客传说:周景平——我是超级黑
摘要:“你认识黑哥吗?” “谁啊?没听说过。” “哦,你可以回去了。” ——阿里巴巴信息安全部面试题 这道题当然是杜撰的。但我还在阿里时,曾经有段时间,确实想过用类似的题目来考核面试者,看他是否对行业内保持着最基本的关注。正如我们在校招时,曾经出的最成功的一道笔试题 ——“0day是什么?”。...
阅读全文
VB程序破解之API断点[bp __vbaVarTstEq]
摘要:软件名称:风云足彩1.7软件大小:2.1M下载地址:http://free.ys168.com/?zhinengxuanhao软件保护:注册码编写软件:Microsoft Visual Basic 5.0 / 6.0 [Debug]破解工具:PEiD,OD破解作者:WildCatIII[D.4s] ...
阅读全文
各类程序之破解大法
摘要:拦截窗口:bp CreateWindow 创建窗口bp CreateWindowEx(A) 创建窗口bp ShowWindow 显示窗口bp UpdateWindow 更新窗口bp GetWindowText(A) 获取窗口文本拦截消息框:bp MessageBox(A) 创建消息框bp Messa...
阅读全文
LEA指令
摘要:LEA是微机8086/8088系列的一条指令,取自英语Load effect address——取有效地址,也就是取偏移地址。在微机8086/8088中有20位物理地址,由16位段基址向左偏移4位再与偏移地址之和得到。地址传送指令之一。取偏移地址指令指令格式如下:LEA reg16,memLEA指令...
阅读全文
逻辑地址与物理地址
摘要:逻辑地址(Logical Address) 是指由程序产生的与段相关的偏移地址部分。例如,你在进行C语言指针编程中,可以读取指针变量本身值(&操作),实际上这个值就是逻辑地址,它是相对于你当前进程数据段的地址,不和绝对物理地址相干。只有在Intel实模式下,逻辑地址才和物理地址相等(因为实模式没有分...
阅读全文
物理地址 = 段地址*10H + 偏移地址
摘要:程序如何执行: CPU先找到程序在内存中的入口地址 -- 地址总线 (8086有20根地址总线,每一根可以某一时传0或1, 20位的二进制数字可以表示的不同的数字的个数是2^20=1048576 1048576 byte/1024=1024 KB (注:8bit(位)=1Byte(字节)1024By...
阅读全文
BT5之Metasploit[MSF]连接postgresql数据库
摘要:1,先查看postgresql的端口,默认是自动开启的,端口7337 。root@bt:~# netstat -tnpl |grep postgrestcp 0 0 127.0.0.1:7337 0.0.0.0:* LISTEN 1100/postgrestcp6 0 0 ::1:7337 :::*...
阅读全文
堆栈与内存
摘要:堆 & 栈的区别一 英文名称堆和栈是C/C++编程中经常遇到的两个基本概念。先看一下它们的英文表示:堆――heap栈――stack二 从数据结构和系统两个层次理解在具体的C/C++编程框架中,这两个概念并不是并行的。深入到汇编级进行研究就会发现,栈是机器系统提供的数据结构,而堆是由C/C++函数库提...
阅读全文
大端序与小端序
摘要:何为大端序,小端序?简单点说,就是字节的存储顺序,如果数据都是单字节的,那怎么存储无所谓了,但是对于多字节数据,比如int,double等,就要考虑存储的顺序 了。注意字节序是硬件层面的东西,对于软件来说通常是透明的。再说白一点,字节序通常只和你使用的处理器架构有关,而和编程语言无关,比如常见的 I...
阅读全文
中断分类
摘要:中断是处理器处理外部突发事件的一个重要技术。它能使处理器在运行过程中对外部事件发出的中断请求及时地进行处理,处理完成后又立即返回断点,继续进行处理器原来的工作。引起中断的原因或者说发出中断请求的来源叫做中断源。根据中断源的不同,可以把中断分为硬件中断和软件中断两大类,而硬件中断又可以分为外部中断和内...
阅读全文
PHP开发框架[国内框架]
摘要:1.Thinkphp http://thinkphp.cn/2.Brophp http://www.brophp.com/zf/由LAMP兄弟连打造3.WindFramework http://phpwind.github.com/windframework/framework.html著名论坛程序...
阅读全文
PHP开发框架[流行度排名]
摘要:在PHP开发中,选择合适的框架有助于加快软件开发,节约宝贵的项目时间,让开发者专注于功能的实现上。Sitepoint网站做了一个小的调查,结果显示最流行的PHP框架前三甲为:Laravel、Phalcon、Symfony2。在项目开发中,一些架构和代码都是重复的,为了避免重复劳动,于是各种各样的框架...
阅读全文
恶意代码分析实战
摘要:恶意代码分析实战(最权威的恶意代码分析指南,理论实践分析并重,业内人手一册的宝典)【美】Michael Sikorski(迈克尔.斯科尔斯基), Andrew Honig(安德鲁.哈尼克)著 《恶意代码分析实战》是一本内容全面的恶意代码分析技术指南,其内容兼顾理论,重在实践,从不同方面为读者讲解恶意...
阅读全文
逆向工程核心原理
摘要:致亲爱的中国读者:大家好 !我是《逆向工程核心原理》 作者 李承远(ReverseCore)。(韩文博客地址:www.reversecore.com)首先,很高兴我的《逆向工程核心原理》-书在中国IT强国出版。我以前是C/C++开发工程师,后来有机会加入安全公司并从事恶意代码分析工作,从此开始对逆向...
阅读全文
EBP的妙用[无法使用ESP定律时]
摘要:1.了解EBP寄存器在寄存器里面有很多寄存器虽然他们的功能和使用没有任何的区别,但是在长期的编程和使用 中,在程序员习惯中已经默认的给每个寄存器赋上了特殊的含义,比如:EAX一般用来做返回值,ECX用于记数等等。在win32的环境下EBP寄存器用与 存放在进入call以后的ESP的值,便于退出的时候...
阅读全文
基于EBP的栈帧
摘要:程序的OEP,一开始以 push ebp 和mov ebp esp这两句开始。原因:c程序的开始是以一个主函数main()为开始的,而函数在访问的过程中最重要的事情就是要确保堆栈的平衡,而在win32的环境下保持平衡的办法是这样的:1.让EBP保存ESP的值。2.在程序运行完毕的时候调用mov es...
阅读全文
EBP与ESP寄存器的使用
摘要:push ebpmov esp,ebp esp是堆栈指针 ebp是基址指针 这两条指令的意思是将栈顶指向ebp的地址 --------------------------------------------------------------- 例如:push ebp ...
阅读全文
C++代码反汇编后的堆栈寄存器EBP和ESP
摘要:最近在分析一个进程崩溃的严重问题,其中有些过程分析需要对ebp, esp 有清晰的理解,对于ebp 和esp 相信大家都很熟悉了,但是为了使本文自成体系,我还是解释一下。ebp--栈底指针esp--栈顶指针如图所示,简化后的代码调用过程如下:void Layer02(){ int b = 2;}vo...
阅读全文
C && C++ 内存分配示意图
摘要:《Unix环境系统高级编程》中的C语言内存分布示意图1.C内存分布 BSS段: 用来存放程序中未初始化的全局变量。BSS是英文Block Started by Symbol的简称。BSS段属于静态内存分配。 数据段:用来存放程序中已初始化的全局变量。数据段属于静态内存分配。 代码段:用来存放程序执行...
阅读全文
检测php网站是否已经被攻破的方法
摘要:0x01 查看访问日志看是否有文件上传操作(POST方法),IPREMOVED--[01/Mar/2013:06:16:48-0600]"POST/uploads/monthly_10_2012/view.php HTTP/1.1"20036"-""Mozilla/5.0"IPREMOVED--[0...
阅读全文
