|
求助dll地定位
[QUOTE=tomtomtom;731984]可能是我没把问题说清楚。是这样的 我在OD里打开了A.exe, A.exe加载了AA.DLL,我在调试时跟到了AA.DLL的下面这个函数 003A5478 |. FF15 BCE73B00 CALL DWORD PTR DS:[<&WS2_32.#16__recv@16>; ...[/QUOTE] 楼主 ,你用od的时候直接找 003Be7cb 地址存的 四个字节内容 就是 WS2_32.#16__recv@16函数的地址,然后跳那去,把这个函数的代码copy出来,自己分析,如果要用IDA分析,见3楼 |
|
如何获得另外的进程的寄存器的值,比如ESI的值
额,不明白你想做什么, 用createprocess函数带上 DEBUG_PROCESS参数,再用WaitForDebugEvent函数进行处理,想得到目标程序每一步执行的寄存器值都不是问题吧(更简单的,直接用olldbg来调试目标进程) |
|
CMD 重定向到 socket,不能通过 socket发送命令让cmd执行
非常感谢楼上的各位 我 跟踪了下 netcat,发现 socket发送的命令格式是:"命令的ascci码"+0A 发送dir命令,即是 "64 69 72 0A ",能顺利得到回显结果 终于搞定,自己debug软件能力不到家,还要多学学,友情送分了--! |
|
字符串函数的汇编代码是怎样的
举例说明下把,一个简单程序源代码如下 .data? szBuffer db 1024 dup (?) sdBuffer db 1024 dup (?) .code start: invoke lstrcpy,offset szBuffer,offset sdBuffer invoke ExitProcess,NULL end start 编译后生成的汇编代码如下: 00401000 >/$ 68 00344000 push 00403400 00401005 |? 68 00304000 push 00403000 0040100A |? E8 0D000000 call <jmp.&kernel32.lstrcpyA> 0040100F |. 6A 00 push 0 00401011 |? E8 00000000 call <jmp.&kernel32.ExitProcess> 00401016 |?- FF25 04204000 jmp dword ptr [<&kernel32.ExitProces>; kernel32.ExitProcess 0040101C |?- FF25 00204000 jmp dword ptr [<&kernel32.lstrcpyA>] ; kernel32.lstrcpyA 很清晰把,你在源程序中调用 lstrcpy函数,生成的汇编码没有把 lstrcpy的实现代码全部插这里来,只是做了一个跳转,跳转到kernel32.dll中的lstrcpy实现代码处去执行. |
|
CMD 重定向到 socket,不能通过 socket发送命令让cmd执行
olldbg了下cmd程序,cmd的输入 是:" unicode字符串"+0D 00 +0A 00 (1) socket发送的命令是 :"ascci字符串"+0D+0A 把发送命令修改成 格式(1)后 发送 dir命令(64 00 69 00 72 00 0D 00 0A 00) ,cmd有回显了,但可惜 不是想要的输出结果,它给我返回了一个 "more?" 郁闷錒,又卡住了 |
|
CMD 重定向到 socket,不能通过 socket发送命令让cmd执行
我没说你的bat,我是说debug cmd程序,弄清它的输入命令格式 |
|
CMD 重定向到 socket,不能通过 socket发送命令让cmd执行
输入的命令格式有问题?自己olldbg cmd 程序吧--! |
|
|
|
PE感染成功原程序能运行但有障碍
楼上的,一起学习 |
|
PE感染成功原程序能运行但有障碍
额,方向错了,对被感染的pe的相关操作都是正确的,问题出在新增节的感染代码上。谢谢各位关注。谁来接分。送分錒 |
|
高手们帮忙看下*.exe不是有效win32程序的问题
感谢楼上的几位朋友,的确是新增加的节后面没有用0填充,导致SizeOfRawData与实际的不符。但若像tbc把sizeofRawdata改成5d9,不填充,同样也行。 不过按照SizeOfRawData的定义:指出节在磁盘文件中所占的大小,这个数值等于VirtualSize字段的值按照FileAlignment的值对齐后的大小 我还是采用怀特迈恩 的方法。 |
|
WriteFile出现的怪事-
在writefile函数执行时,它的输入参数之一[ecx].Misc.VirtualSize是C0h?你能确定?建议仔细查看下 |
|
请问怎么在固定的位置申请内存
见过虚拟内存管理函数中的VirtualAlloc可以指定保留或提交的地址空间的位置,不知道是不是适合你所说的场景,不懂HOOK |
|
[新手求助]WH_CALLWNDPROC为啥不能截获鼠标消息
invoke CallNextHookEx,hHook,dwCode,wParam,lParam xor ebx,ebx mov ebx,lParam assume ebx:ptr CWPSTRUCT .if [ebx].wParam == WM_KEYDOWN invoke SendMessage,hWnd,dwMessage,[ebx].wParam,[ebx].lParam .endif 好像也不行 |
|
[新手求助]WH_CALLWNDPROC为啥不能截获鼠标消息
是不是 键盘\鼠标 消息 根本不用sendmessage()函数发送 ? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值