|
|
|
|
|
[原创]虚拟机、虚拟环境与代码动态变形技术(2009中国软件安全峰会演讲PPT)
我下载不了。。只下到一个attchment.php |
|
|
|
[求助]关于DEBUG中的一些概念问题
建议楼主去学一下汇编的基础知识 |
|
如何获得进程名
msdn:Null-terminated string that contains the path and file name of the executable file for the process 我以前还真没注意到这里。。等待答案 |
|
修改软件监听端口的问题
哦明白了。 我突然想通了,我在4楼所说的。直接CTRL+G到结构体定义的地方时不能修改sin_port的值的 因为在定义结构体的时候还没有初始化。、所以要在对结构体初始化的时候修改 也就是xdklzy在6楼说的地方 。 |
|
修改软件监听端口的问题
额,我只是随便找的一个软件来代替,举一反三就行了, 还有我曾经直接对ntohs函数下过断点,不过OD识别不了这个函数, xdklzy你是怎么定位到这段代码的? 从你给出的代码我发现有两个方法可以定位到ntohs函数, 一是对bind下断二是对Socket下断,不知你是不是这样定位的 谢谢你给出的代码 |
|
|
|
修改软件监听端口的问题
我说下我的思路 因为端口绑定是用bind函数。 所以bp bind->运行。 然后ALT+F9->返回 向上找几行找到pSockAddr参数F2下断 重新加载并F9运行。让程序断在pSockAddr上 看ecx保存着pSockAddr的地址 ctrl+g转到地址。 其中。pSockAddr这是一个结构体 struct socketaddr_in{ unsigned short int sin_family; uint16_t sin_port; struct in_addr sin_addr; unsigned char sin_zero[8]; }; 其中sin_port就是端口号 所以我们只要修改sin_port就可以了 我在网上随便找了个聊天工具研究了下(自己懒得写)。 但我ctrl+g转到的时候 看到这些 0012FDD4 0200 add al, byte ptr [eax] 0012FDD6 17 pop ss 0012FDD7 70 00 jo short 0012FDD9 0012FDD9 0000 add byte ptr [eax], al 0012FDDB 00CC add ah, cl 我以为是OD对程序进行了分析 就按右键-分析,没有看到从模块中删除分析选项 只有一个扫描目标文件 我就按了一下,程序马上就崩溃了 不知道是不是我找的程序有问题 还是我的思路有问题。 大家指点下 睡了先、、、、 |
|
请问:VirtualAllocEx可以申请多大的内存空间?貌似太大了可以编译,运行出错.
MSDN: Reserves or commits a region of memory within the virtual address space of a specified process. 函数是在一个进程的虚拟空间中申请空间,系统为每个进程分配4GB虚拟空间(包括2GB系统控制的空间) 所以理论上VirtualAllocEx最多可以申请到4GB空间 但由于程序本身要占用内存所以程序本身占用的空间和申请的空间不能大于4GB 至于内存中的空隙由于系统采用了虚拟内存,所以不用考虑 总结:能分配到的最大内存与目标程序占用内存的大小有关 以上只是本人的理解,而且也只是理论上的,本人还没有实际证实过m如有 错误,大家可以指出来讨论下 |
|
|
|
[必读]新人导航和报到贴(报到时勿另发帖)
暂时浦一下头 |
|
|
|
|
|
|
|
|
|
[求助]谁能引导我破解入门?
自己在论坛找写资料学 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值