摘要:
对象不使用默认析构函数 class Test { public: char cNum1; int iNum2; int* pInt; }; Test _ReturnObject() { Test stLocalObject; stLocalObject.cNum1 = 0; stLocalObjec 阅读全文
摘要:
MDI程序的框架 客户窗口是一个预定义的窗口类(MDICLIENT),它是框架窗口的子窗口同时也是各个子文档窗口的父窗口。框架窗口和各个子文档窗口都是自定义的窗口类。 MDI程序中的一些要点 窗口中的菜单资源是属于框架窗口,也就是说如果要改变菜单需要面向框架窗口操作。如果需要更改菜单可以向客户窗口发 阅读全文
摘要:
编译与链接过程 编译过程是源程序先被编译器编译为汇编程序,然后再由汇编器将汇编程序汇编成目标文件。 链接过程是链接器将目标文件与需要使用的库文件链接成可执行程序。 静态链接和动态链接 静态链接 静态链接是说在链接器链接目标文件与库文件时将目标代码与所引用的库文件中的导出函数代码都整合到可执行文件中, 阅读全文
摘要:
操作系统中为了解决进程间同步问题提出了用信号量机制,信号量可分为四种类型分别是互斥型信号量,记录型信号量,AND型信号量,信号量集。 互斥型信号量 互斥型信号量是资源数量为1的特殊的记录型信号量。表示对于一类资源且这类资源的数量为1,也就是说任何时候只能有一个进程得到这个资源,其余进程想要获得此资源 阅读全文
摘要:
写在前面 在恶意代码分析时需要建造一个封闭隔离的较为安全的环境,不能让恶意代码感染我们的宿主机器。而一般恶意代码在运行时又会访问互联网,为了更为准确的分析恶意代码我们需要建造一个与宿主机器隔离的局域网络,并且这个局域网络并不连接宿主机器。这样恶意代码既可以连接到网络又不会感染到我们的宿主机器。但是我 阅读全文
摘要:
OD的DBGHELP模块 检测DBGHELP模块,此模块是用来加载调试符号的,所以一般加载此模块的进程的进程就是调试器。绕过方法也很简单,将DBGHELP.DLL改名。 #include <Windows.h> #include <TlHelp32.h> int main(int argc, cha 阅读全文
摘要:
写在前面 在逆向工程中为了防止破解者调试软件,通常都会在软件中采用一些反调试技术来防破解。下面就是一些在逆向工程中常见的反调试技巧与示例。 BeingDebuged 利用调试器加载程序时调试器会通过CreateProcess()创建调试进程,同时会创建调试内核对象并保存在当前线程环境块的DbgSsR 阅读全文
摘要:
一步直达法 所谓的一步直达法就是利用壳的特征。壳一般在执行完壳代码之后需要跳转到OEP处,而这个跳转指令一般是call ,jmp ,push retn类型的指令,而且因为壳代码所在的区段和OEP代码所在的区段一般属于不同的区段,所以我们可以通过搜索这些特殊指令的机器码并查看其跳转范围,如果跳转范围较 阅读全文
摘要:
前言 对于脱DLL文件的壳时需要注意对重定位表的操作,在重建重定位表的时候需要注意壳代码是否对原程序中需要重定位的数据进行了加密。也就是在dump文件时不能单纯的nop过壳的重定位代码,因为有可能重定位数据被加密了。如果直接nop过此壳的重定位处理代码,那么dump的文件中的需要重定位的数据是错误的 阅读全文
摘要:
前言 结合脱dll壳的基本思路,对看雪加密解密里的一个ASPack壳保护的dll进行脱壳分析。 脱壳详细过程 寻找程序的OEP 先将目标DLL拖入OD,来到壳的入口处。 然后利用堆栈平衡原理在pushad后,对栈顶下硬件访问断点。 之后我们直接运行程序,当程序popad后会被断下,观察得出OEP的R 阅读全文