51CTO博客开发
记录链接。http://hi.baidu.com/xx375
还有些关于学习OD的日志就不贴过来了。放个链接记录下。http://hi.baidu.com/xx375/archive/tag/xx_%E5%9C%A8%E5%AD%A6%E4%B9%A0:%E8%84%B1%E5%A3%B3-%E7%A0%B4%E8%A7%A3-%E9%80%86%E5%90%91 最近学习脱壳 好多事知其然不知其所以然.、、、、脱壳只是一个小过程
这一篇讲的是函数参考同上结合一小软件进行讲解软件特点大概如下点一下“Check It”按钮试一下,没反应!再输个“78787878”试试,还是没反应。再试试输入字母或其它字符,输不进去。由此判断注册码应该都是数字,只有输入正确的注册码才有反应。这个状态下我们没有什么字符串可以参考的所以想到在API上下断点,让被调试的程序停在我们希望的地方。具体操作:在OllyDBG的反汇编窗口中右击,选择查找-&
OD字符参考 人家牵着手 一步一步跟人家走。。。主要是为了熟悉OD的功能重点不是破解(目前)学习字符参考个人理解 就是在反汇编程序中找需要破解的软件上出现的字符串比如输入注册码错误了会弹出MessageBox提示你什么什么的。。等等.. 找到这个字符在的位置后在其前前后后会找到需要输入注册码的地方断下分析即可有个简单的小软件拿来实验CFF Crackme #3,采用用户名/序列号保护
菜鸟学OD –初识OD简述OllyDbg, SoftICE, WinDbg, IDA Prod的区别以及各自特点:(摘自Pediy书呆彭)OllyDBG也是用户态调试器,具有一定的智能分析能力,但与IDA的分析能力相比,不是一个量级的。但它的调试器功能非常完善。所以通常用IDA来阅读代码,而用Olly来动态跟踪程序。IDA,智能反汇编分析器,主要用来对bin进行静态反汇编分析,也带有调试器功能,不
远程线程 注入、、注入有几个核心的API函数、、OpenProcess - 打开目标进程。VirtualAllocEx/VirtualFreeEx - 在目标进程中分配/释放内存空间。WriteProcessMemory - &nb
DLL注入工具(远程线程技术和简单的MFC CListCtrl控件知识)、DLL文件已经编写好、测试程序也很简单、现在就是解决将DLL注入到目标进程中、、这里采用远程线程注入技术、、本来WIN32控制台就可以、、为了学习下MFC就做了一个简单的MFC框架去实现注入、、DLL注入工具大概是这样:1 枚举出所有进程(没做到实时不过添加了一个刷新按钮)、、2 实现对所选中进程
HOOK --实现HOOK其他进程的Messagebox、、思路方法如下:1 DLL的编写(实现IAT hook)、2 DLL注入工具(远程线程技术和简单的MFC控件知识)、3简单的测试程序、1编写dll、之前有篇文章HOOK -- IAT HOOK本进程MessageBox、这里部分代码是相同的、毕竟均为IAT HOOK嘛、、DLL与跟exe有个main或者WinMain入口函数一样也有一个入口
2012年8月18日 12:26:25 目的 想实现 反HOOK功能:最终因与其他模块代码不兼容,没用到。不过还是记录一下。。 inline hook的思想是 修改API的前几个字节,变为 jmp 自己的函数。 这样的话 需要将原函数的前几个字节保存起来 放到一块内存上 作为跳板
/*********************************实现hook OpenProcess实现ring3保护进程、、C++完整代码、、************************************************/#include <windows.h>PIMAGE_IMPORT_BY_NAME pImportByName = NULL;PI
简单的HOOK OpenProcess函数、达到不让任务管理器使用OpenProcess来获取我们要保护的进程的句柄、从而达到使任务管理器使用TerminateProcess无法结束该进程的目的、、、当我们HOOK到OpenProcess的时候、我们要在自己的MyOpenProcess中、判断一下、所打开的进程是否为我们要保护的进程、如果是简单的返回错误码0、如果不是就在我们的MyOpenProc
结合网上资料、使用IAT HOOK截获MessageBox函数、、、步骤如下1..写一个自己的MessageBox函数注意调用约定为__stdcall、、2..定义一MessageBox函数指针如下 typedef int (__stdcall *pOldMBox)(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption,UINT uT
先看一下输入表结构:typedef struct _IMAGE_IMPORT_DESCRIPTOR{union{ DWORD Characteristics; //这个union子结构只是给OriginalFirstThunk添了个别名 DWORDOriginalFirstThunk; };DWORD TimeDateStamp; D
最近想学HOOK方面的知识、看了一些代码、发现PE的知识忘了好多、尤其是导入表导出表那块(其实之前学PE 这块也是主学、其他大概了解、)看了以前的笔记发现还是挺详细的、好多东西还是可以帮我速度的回忆起来、、好像有一大阵不写C++程序了、、学了一阵汇编为了脱壳逆向嘎嘎、、不过壳脱的还行、逆向这个不怎么样接着努力、、说实话偶还是比较喜欢编程的哦、、尤其是底层、、嘎嘎、、底层是神马、、貌似木有接触过、哎
在自己新加的节中 用c++写的比较简单的方法实现了简单的调用winapi函数messagebox()上回是实现了简单的取反加密 这次是在此基础上 实现的思路大致如下为了调用api函数 我在网上搜到好多资料 基本上全部都是汇编的而汇编我很陌生 所以好多看不懂是什么意思 不过有文章解释 大概是这样的思路Win32PE 程序 其PE头中有一个导入函数表 对应的代码段中 所用到的a
主要目的 熟悉PE文件 创建句柄 映射pe文件到地址空间 创建文件视图 得到文件的首地址 PIMAGE 然后对各个结构进行初始化主要代码导入表void GETIMPORT(PVOID PIMAGE){ PBYTE PBIMAGE = (PBYTE)PIMAGE; DWORD IMPORTRAW = 0; DWORD CNTDLL=0; DWORD IMPORTRVA = pe.DATA
利用pe添加节的方法添加代码 实现简单的加壳大致流程如下要达到的目的是 添加一个新节 在新节中添加自己的代码 让程序运行时 先运行自己的代码而自己的代码就是为了解开之前对程序进行的加密执行完后 再继续运行原程序的路线。详细步骤第一步先写程序将 采用文件映射的方法将待修改的exe加载进来 获取所有我们需要的信息CreateFile CreateFileMapping &nb
前几年的在bd空间的日志,移到这里。为了方便查阅。 c/c++小知识点汇编语言脱壳-破解-逆向各种hook知识pe文件初入驱动编程各种api知识病毒分析专项欣赏文章泛泛小知识
如题。
能否连接的关键在于是否安装了WMP11,盗版XP因无法通过验证而不能安装,附件中的WMP11可免验证安装,但要开启系统自动更新;步骤一:进入控制界面,找到安全中心,开启自动更新;(全部步骤完成后可以关闭)步骤二:下载附件中的免验证WMP11,解压安装http://pan.baidu.com/share/link?shareid=219522&uk=2080552277步骤三:手机数据线连接
导读: 从本篇文章开始,将全面阐述__try,__except,__finally,__leave异常模型机制,它也即是Windows系列操作系统平台上提供的SEH模型。主人公阿愚将在这里与大家分享SEH的学习过程和经验总结。 SEH有两项非常强大的功能。当然,首先是异常处理模型了,因此,这篇文章首先深入阐述SEH提供的异常处理模型。另外,SEH还有一个特别强大的功能,这将在下一篇文章中进行详
用telnet,用法:开始-运行-cmd,输入telnet IP 端口;解决方法是: 依次打开“开始”→“控制面板”→“程序和功能”→“打开或关闭Windows功能”,在打开的窗口处,寻找并勾选“Telnet客户端”,然后点击“确定”。再在运行下输入此命令,就OK了
#include <windows.h>#include <stdio.h>#define O_O 0x80000000#define T_T &n
//两种方法实现去掉一个int数的最高位#include <stdio.h>#include <stdlib.h>int fun(int num){ int i,k; for (k=10;k<=num;k*=10) i=num%k; return i;}int fun2(int num){ char buf[200];
简单的使用writefile写文件、#include <windows.h>#include <stdio.h>int main( ){ //调用CreateFile函数以只写方式打开一个文件 HANDLE hFile=CreateFile("c:\
病毒是一段程序,不同种类的病毒,它们的代码千差万别,任何人都不可能预测明天将会出现什么新病毒。但有一点可以肯定,只要出现了一项新的计算机技术,充分利用这项新技术编制的新病毒就一定离我们不远了。而由于软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。所以,虽然有些人利用病毒某些共有的操作(如驻内存,改中断)这种共性,制作了声称可查所有病毒的程序,但这种方法对病毒进行检测
提起病毒,往往会想到两个方面,人体病毒和计算机病毒,两者我都在行,不过今天要说的是计算机病毒。 最初的所谓的计算机病毒是25年前美国一个小孩子的恶作剧,只是想通过恶意程序然乱电脑的正常工作而炫耀自己的编程能力。但是当电脑与人们的私人信息联系越来越紧密的时候,病毒也渐渐成为人们的重点防范对象。其实说来病毒并不是想象中那样可怕,只要能够了
INLINE HOOK过简单驱动保护的理论知识和大概思路、、 这里的简单驱动保护就是 简单的 HOOK 掉内核API的现象、、、找到被HOOK的函数的当前地址在此地址处先修改页面保护属性然后写入5个字节、5个字节就是一个简单的JMP指令、这里说一下JMP、如下、、001 JMP 002 这样我们就会跳到001 (在此地址写入JMP指令)+ 002(我们要写
SSDT 表的初步学习、、 1 理论知识、、大概思路和理论知识、、首先明白应用层到 内核层 会通过一张SSDT 表、、我们要根据SSDT结构和索引号来获取函数的当前地址 如果检测一下这个函数有木有被HOOK我们要在获取这个函数的起源地址 对比一下即可知道、、 1 读取SSDT表函数当
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号