malloc _malloc 0037E8C0 8B FF mov edi,edi 0037E8C2 55 push ebp 0037E8C3 8B EC mov ebp,esp 0037E8C5 6A 00 push 0 0037E8C7 6A 00 push 0 0037E8C9 6A 01 p ...
分类:
编程语言 时间:
2020-01-08 22:38:07
阅读次数:
89
书中内容: 代码逆向: 1. CONTEXT是保存之前的函数(RaiseException)状态 2. 在逆向上一个函数时产生一个疑问:EXCEPTION_RECORD.ExceptionAddress 为什么仅填写了一个偏移? 答案:在该函数中,填写成 [ebp+4],上一个函数的返回地址。 ...
分类:
其他好文 时间:
2019-11-16 00:17:52
阅读次数:
90
用户模拟异常的记录 我们现在来分析一下用户模拟异常 1. 测试代码 二、分析过程 1. 使用 visual Studio 在 "throw 1"处下断点启动调试 throw 1; 00D91808 mov dword ptr [ebp-0C8h],1 00D91812 push offset __T ...
分类:
其他好文 时间:
2019-11-01 16:08:58
阅读次数:
97
if语句的反汇编判断 if语句的反汇编判断基本是围绕JCC指令的,如果想要有深刻的理解,可以自行练习JCC指令 执行各类影响标志位的指令 jxx xxxx 1、案例一 mov eax,dword ptr [ebp+8] 分析:cmp指令 影响标志位 cmp eax,dword ptr [ebp+0C ...
分类:
其他好文 时间:
2019-10-04 09:48:31
阅读次数:
238
x86-64的所有寄存器都是与机器字长(数据总线位宽)相同,即64位的,x86-64将x86的8个32位通用寄存器扩展为64位(eax、ebx、ecx、edx、eci、edi、ebp、esp),并且增加了8个新的64位寄存器(r8-r15),在命名方式上,也从”exx”变为”rxx”,但仍保留”ex ...
分类:
其他好文 时间:
2019-09-09 19:27:12
阅读次数:
148
文件名:ebCTF-Teaser-BIN100-Dice.exe 话不多说 用PEID一看没壳 拖进OD 让我们摇出31337这五个数字才能拿到正确的flag cmp dword ptr ss:[ebp-0x5C],0x3 原来就是用我们摇出的数字和 他要的数字做比较 如果结果不相等 标志位ZF就= ...
分类:
其他好文 时间:
2019-09-07 22:20:43
阅读次数:
121
简单介绍了,JMP指令按市面上的意思来说是跳转到指定地址,但我这里不这么说,JMP, CALL, RET三个指令均为修改EIP值的指令,EAX, ECX, EBX, EDX, ESP, EBP, ESI, EDI,这8个寄存器的值均可以用mov指令来修改里面的值,EIP行不行呢?我们实际测试一下。 ...
分类:
其他好文 时间:
2019-09-06 01:19:52
阅读次数:
148
1.32位通用寄存器: EAX ESP ECX EBP EDX ESI EBX EDI 2.MOV指令 立即数到寄存器 寄存器到寄存器 ...
分类:
其他好文 时间:
2019-09-04 09:54:00
阅读次数:
61
x86-64的所有寄存器都是与机器字长(数据总线位宽)相同,即64位的,x86-64将x86的8个32位通用寄存器扩展为64位(eax、ebx、ecx、edx、eci、edi、ebp、esp),并且增加了8个新的64位寄存器(r8-r15),在命名方式上,也从”exx”变为”rxx”,但仍保留”ex ...
分类:
其他好文 时间:
2019-08-30 09:43:01
阅读次数:
142
堆栈模型: 函数调用: EBP:ESP EBP当前调用函数的栈底; ESP当前调用函数的栈顶; 参考及图: https://blog.csdn.net/hoi0714/article/details/7658100 ...
分类:
系统相关 时间:
2019-08-03 13:05:56
阅读次数:
86