逻辑或 ||int i, j, k;i = 0x15;j = 0x41;k = i || j;反汇编代码如下:MOV DWORD PTR SS:[EBP-4], 15MOV DWORD PTR SS:[EBP-C], 41CMP DWORD PTR SS:[EBP-4], 0JNZ SHORT as...
分类:
其他好文 时间:
2014-10-18 11:02:17
阅读次数:
198
//___逻辑取反 !______________________________________________________非零值取反得到0, 0取反得到1int i, j;i = 0x8877;j = !i;反汇编代码:MOV DWORD PTR SS:[EBP-4], 0X4321XOR....
分类:
其他好文 时间:
2014-10-18 10:57:48
阅读次数:
230
一、先说一下写一个外挂需要什么条件 1、熟练的C语言知识 目前的外挂大部分都是用BC或者是vc写的,拥有熟练的C语言知识是写外挂的基本条件 2、具有很强的汇编基础 一般游戏都不可能有原代码的,必须靠反汇编或者跟踪的办法来探索其中的机理 ,所以有强的汇编基础也是必不可少的条件 3、熟练掌握跟踪和调试的...
分类:
其他好文 时间:
2014-10-17 10:03:22
阅读次数:
195
摘要:
原来的版本:http://blog.csdn.net/bigbug_zju/article/details/39892129
原版本中的问题主要在于调试过程中,蛮力的痕迹太重,没有很好地体现常用的调试准则;本文在原版本的基础上,融入参考文献中提及的调试原则,重新审视和操练该问题,希望尽量体现出调试中常用的思维法则。...
分类:
数据库 时间:
2014-10-15 16:07:50
阅读次数:
247
无论是对于反病毒工程师还是逆向分析爱好者来说,汇编都是他们必学的知识,可以说汇编是一切逆向研究的根本。不管是使用OllyDbg还是IDA Pro,又或者是其它的一些反汇编工具,我们进行逆向分析的时候,是只能查看目标程序的汇编代码的,通过分析其汇编代码,来推测程序的运行机理。因此从这个角度来说,想研究逆向,就一定要精通汇编。...
分类:
编程语言 时间:
2014-10-15 14:59:40
阅读次数:
248
_asm { // 注意反汇编后的代码都是16进制 // 后缀表示法 只能应用于汇编 mov eax,10b;// 2进制 mov eax,10o;// 8进制 mov eax,10d;// 10进制 d可以去掉 mov eax,10h;// 16进制 // 前缀表示法可以应用于汇编和C...
分类:
其他好文 时间:
2014-10-11 15:37:35
阅读次数:
158
https://code.google.com/p/android/issues/detail?id=73076http://my.unix-center.net/~Simon_fu/?p=527在移植Android过程中会遇到很多Crash的情况,尤其是启动Android过程中。一般这些问题都可以...
分类:
移动开发 时间:
2014-10-10 18:24:34
阅读次数:
208
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
基址重定位
链接器生成一个PE文件时,它会假设程序被装入时使用的默认ImageBase基地址(VC默认exe基地址00400000h,dll基地址10000000h),并且会把代码中所有指令中用到的地址都使用默认的基地址(例如 程序代码中 push 10001000,就是把10000000h当做了基地址,把push 10001000写入到文件中)。如果一个exe程序中一个dll装载时的地址与其它dll地址发生冲突(因为windo...
分类:
其他好文 时间:
2014-10-07 03:11:03
阅读次数:
313
PE文件结构(四)
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
输出表
一般来说输出表存在于dll中。输出表提供了 文件中函数的名字跟这些函数的地址, PE装载器通过输出表来修改IAT。
IMAGE_OPTIONAL_HEADER中的 DataDirectory[0] 提供了输出表的RVA。输出表是以一个IMAGE_EXPORT_DIRECTORY结构 开始的。
IMAGE_EXPORT_DIRECTORY结构:
typedef struct _IMAGE_EXP...
分类:
其他好文 时间:
2014-10-06 04:14:29
阅读次数:
279
PE文件结构(三)
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
输入表
输入函数,表示被程序调用但是它的代码不在程序代码中的,而在dll中的函数。对于这些函数,磁盘上的可执行文件只是保留相关的函数信息,如函数名,dll文件名等。在程序运行前,程序是没有保存这些函数在内存中的地址。当程序运行起来时,windows加载器会把相关的dll装入内存,并且将输入函数的指令与函数真在内存中正的地址联系起来。输入表(导入表)就是用来保存这些函数的信息的。
在 IMAGE_OPT...
分类:
其他好文 时间:
2014-10-03 12:24:34
阅读次数:
215
