2012年8月9日
关于VirtualAlloc
摘要: 感觉windows分配内存就和人订酒店一样,你和前台说我要预订一个房间,不过我现在不住,这就是MEM_RESERVE。你和前台我现在要开个房间,现在就住这就是MEM_COMMIT. 阅读全文
posted @ 2012-08-09 01:38 shremie 阅读(102) 评论(0) 推荐(0) 编辑
2012年8月3日
分析Delphi程序的一些技巧
摘要: Delphi程序中一般会包含很多delphi的库函数,这些库函数往往是又臭又长的,用OD调试Delphi程序又不知道哪个call是库函数的call,哪个才是有用的call。怎么办?用ida加载下,然后选择合适的SIG文件(点下工具栏红色的小花),ida会标注库函数的名字,然后我们导出map文件,再用OD加载这个map文件,这样我们调试delphi程序就会省事许多了。 阅读全文
posted @ 2012-08-03 23:49 shremie 阅读(291) 评论(0) 推荐(0) 编辑
2012年7月25日
OrdinalFirstThunk
摘要: typedef struct _IMAGE_THUNK_DATA32 { union { PBYTE ForwarderString; PDWORD Function; DWORD Ordinal; PIMAGE_IMPORT_BY_NAME AddressOfData; } u1;} IMAGE_THUNK_DATA32;对于OrdinalFirstTunk有两种情况,Ordinal和AddressOfData,如果OridinalFirstThunk(是RVA还得转成RAW)指向的DWORD数据的最高位是1的话,表明是... 阅读全文
posted @ 2012-07-25 00:49 shremie 阅读(354) 评论(0) 推荐(0) 编辑
2012年7月24日
PEtools
摘要: 改了改输出格式,之前的那个格式太乱了,今天改了改,发现不会控制输出格式啊。好看多了哈。Export Directory RVA:0x00000000 SIZE:0x00000000Import Directory RVA:0x000EBD7C SIZE:0x00000140Resource Directory RVA:0x000FC000 SIZE:0x00013BE4Exception Directory RVA:0x00000000 SIZE:0x00000000S... 阅读全文
posted @ 2012-07-24 23:28 shremie 阅读(264) 评论(0) 推荐(0) 编辑
2012年7月22日
最近在写一个PE工具
摘要: 这东西很多人都已经写的不想写了,对于我来说,才是第一次啊现在已经完成了IsPeFile(判断一个文件是否为PE文件) ,ShowPeInfo(显示出IMAGE_DOS_HEADE\IMAGE_FILE_HEADER\IMAGE_OPTIONAL_HEADER的各个成员的值),RVA2Offset(相对虚拟地址转化为文件偏移),PrintfImportTable(打印处输入表的信息)写的过程中出现问题比较多的是忘记转化指针,导致输出的内容完全乱七八糟。下面贴一段RVA2Offset的代码,写的不好,求指点。DWORD RVA2Offset(LPVOID lpAddress,DWORD RVA){ 阅读全文
posted @ 2012-07-22 00:51 shremie 阅读(393) 评论(0) 推荐(0) 编辑
2012年7月20日
FFI中壳的特征码结构
摘要: 今天心血来潮,想看下FFI是怎么判断一个EXE加的什么壳的,流程到底是怎样的呢?很明显的一点就是FFI最后是要把结果显示出来的,所以我们可以尝试下段SetWindowText函数,然后看栈中的数据,如果有MD5 ASPack等字符出现的时候那么说明判断壳流程的那个函数就在附近,根据这点就能找到关键代码了。我这里的是00410830。找到之后略微跟踪了下,不小心把特征码的结构给看出来了,无心插柳啊。跟踪的过程中在内存数据区发现了很多特征码的结构。现在就列出ASPack v2.12的特征码结构。00D80970 02 00 00 00 8C 09 D8 00 A4 09 D8 00 AC 09 . 阅读全文
posted @ 2012-07-20 02:08 shremie 阅读(344) 评论(0) 推荐(0) 编辑
2012年7月17日
一些指令
摘要: stc是set carry flag的简写,它会设置CF标志位为1,stc一般与jb指令配合相当于一个jmp。clc是clear carry flag的简写,它会清零CF标志位,cls指令一般与jnb指令配合相当于一个jmp。这两个指令我壳中见的比较多。 阅读全文
posted @ 2012-07-17 14:47 shremie 阅读(122) 评论(0) 推荐(0) 编辑
asprotect的stolen code
摘要: 最近研究asprotect的壳,真是我的一块心病啊,这asprotect,真心不好搞。01280253 68 26AE4500 push 45AE26 ; 40152401280258 66:9C pushfw0128025A 52 push edx0128025B 035424 18 add edx, dword ptr [esp+18]0128025F C1DA E7 rcr edx, 0E70128... 阅读全文
posted @ 2012-07-17 01:45 shremie 阅读(396) 评论(0) 推荐(0) 编辑
2012年7月15日
最近看了一个FakeQQ样本
摘要: 收信地址为:173.252.194.248:1000,盗取的账号和密码发送的格式:ID=92|账号|密码刚又看了一个盗qq的,用的技术还是FakeQQ,收信地址为:http://173.252.1240/wj/user/mail.asp?ID=143-账号-密码100.bbaiduu123.bbaiduu123.com 阅读全文
posted @ 2012-07-15 05:22 shremie 阅读(229) 评论(0) 推荐(0) 编辑
2012年7月14日
Tengine
摘要: 一边分析样本,一般在土豆听歌,突然没声音了,一看网页,原来是502 Bad GateWay错误信息如下502 Bad GatewayThe proxy server received an invalid response from an upstream server. Sorry for the inconvenience.Please report this message and include the following information to us.Thank you very much!URL:http://www.tudou.com/programs/view/67VC0 阅读全文
posted @ 2012-07-14 13:50 shremie 阅读(465) 评论(0) 推荐(0) 编辑