2014年7月29日
摘要:
Borland Delphi 6.0 - 7.000509CB0 > $ 55 PUSH EBP00509CB1 . 8BEC MOV EBP,ESP00509CB3 . 83C4 EC ADD ESP,-1400509CB6 . 53 PUSH EBX00509CB7 . 56 PUSH ESI0... 阅读全文
2014年7月29日
2014年7月28日
摘要:
API HOOK技术是一种用于改变API执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等。 API HOOK 技术并不是计算机病毒专有技术,但是计算机病毒经常使用这个技术来达到隐藏自己的目的。API HOOK解释在windows系统下编... 阅读全文
摘要:
【文章标题】汇编ring3下实现HOOKAPI【文章作者】nohacks(非安全,hacker0058)【作者主页】hacker0058.ys168.com【文章出处】看雪论坛(bbs.pediy.com)==================[汇编ring3下实现HOOKAPI]==========... 阅读全文
摘要:
第4章断点和单步执行断点和单步执行是两个经常使用的调试功能,也是调试器的核心功能。本章我们将介绍IA-32 CPU是如何支持断点和单步执行功能的。前两节将分别介绍软件断点和硬件断点,第4.3节介绍用于实现单步执行功能的陷阱标志。在前三节的基础上,第 4.4节将分析一个真实的调试器程序,看它是如何实现... 阅读全文
2014年7月27日
摘要:
Delphi反汇编内部字符串处理函数/过程不完全列表名称参数返回值作用等价形式 / 备注_PStrCatEAX :目标字符串EDX :源字符串EAX连接两个 Pascal 字符串s:=copy(s+s1,1,255)_PStrNCatEAX :目标字符串EDX :源字符串CL :结果字符串最大长度E... 阅读全文
摘要:
【标题】XoftSpy4.13的注册算法分析【作者】forever[RCT]【语言】VC【工具】ida4.6,ollydbg1.1【正文】这个软件的算法很简单,正好拿来做逆向分析。我就会捏软柿子。呵呵。因为这个软件注册失败会弹出一个对话框来提示您,所以在ollydbg中在函数MessageBox上下... 阅读全文
摘要:
在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。 一、Windows API方法Win32提供了两个API, IsDeb... 阅读全文
摘要:
①jmp是不负责任的调度,不保存任何信息,不考虑会回头。跳过去就什么也不管了。②call,保存eip等,以便程序重新跳回。ret是call的逆过程,是回头的过程。这都是cpu固有指令,因此要保存的信息,不用我们自己保存。我们直接使用指令即可③同一任务内特权级转移,跟 ②差不多,不过要准备个tss,并... 阅读全文
摘要:
对于jmp指令:(1)jmpshort标号相当于(ip)=(ip)+8位位移跳转范围是【-128,127】(2)jmpnearptr标号相当于(ip)=(ip)+16位位移跳转范围是【-32768,32767】(3)jmpfarptr标号相当于(CS)=标号所在段地址,(ip)=标号所在偏移地址前两... 阅读全文