摘要:
OEP就是程序入口点,脱壳就是寻找OEP。 可执行文件的文件格式 阅读全文
摘要:
程序起始地址:0x00401000 在一般的WIN32程序中文件头偏移被放在文件0X3C处,在那我们通常可看到00010000,由于数据存储时是低位在前,高位在后的,所以翻转过来实际就是00000100 每个函数都被中括号清晰的标识出来。 当发现断点检测时,可避开扫描区域(计算出区域范围),也可暴力 阅读全文
摘要:
你得知道有时候是不能下断点的,因为会被发现。 原理:当设置断点后,对应位置的机器码(第一个字节)被替换成0XCC(对应的汇编指令为int3),当cpu执行到此位置,会触发一个异常。 缺点:容易被检测到。 (示例代码来自网络) 1 FARPROC Uaddr; 2 BYTE Mark = 0; 3 ( 阅读全文
摘要:
首先,得知道断点怎么设置,还有怎么去调试。 其次,要知道怎么搜索关键字,还有学会看堆栈。 阅读全文