Ta的论坛

[求助]关于PE的“AddressOfEntryPoint”
一个是程序的入口地址，一个是text节的加载地址。
你写的代码不一定会放在text节的开始，另外，就算你的main放在text节的开始，程序的入口地址也未必是你的main，很大可能是CRT的入口函数。

参见 http://bbs.pediy.com/showthread.php?t=134576

ronging

雪币： 113

活跃值： (100)

能力值：

( LV4，RANK：50 )

在线值：

发帖

18

回帖

451

粉丝

0

关注

私信

ronging 2011-5-30 10:38: 0

[求助]关于内存断点
MS是正确的啊，内存断点（软件）是这样，通过给页加上保护属性，使得对该内存的访问产生异常，调试器捕捉到，导致断点。这算是软件断点的一种实现方式吧。

ronging

雪币： 113

活跃值： (100)

能力值：

( LV4，RANK：50 )

在线值：

发帖

18

回帖

451

粉丝

0

关注

私信

ronging 2011-5-27 18:32: 0

[原创]跑在main之前
我讲的内容是“跑在main之前”，楼上说的是设置程序entrypoint，这有关系嘛？

ronging

雪币： 113

活跃值： (100)

能力值：

( LV4，RANK：50 )

在线值：

发帖

18

回帖

451

粉丝

0

关注

私信

ronging 2011-5-27 14:27: 0

[注意]邀请码发放公布（04.20~05.10）
今天才注意到短消息，刚刚过了15天，郁闷啊。

ronging

雪币： 113

活跃值： (100)

能力值：

( LV4，RANK：50 )

在线值：

发帖

18

回帖

451

粉丝

0

关注

私信

ronging 2011-5-25 12:05: 0

[原创]APC浅浅的说
谢谢LZ和楼上的帮忙回答问题。

ronging

雪币： 113

活跃值： (100)

能力值：

( LV4，RANK：50 )

在线值：

发帖

18

回帖

451

粉丝

0

关注

私信

ronging 2011-5-24 17:13: 0

DLL动态加载中的问题
LZ，先把帖子内容整理整理，字体颜色啊乱七八糟的。
这个问题象调用约定的问题，__cdecl, __stdcall之类的，所以导致了栈的不平衡。

ronging

雪币： 113

活跃值： (100)

能力值：

( LV4，RANK：50 )

在线值：

发帖

18

回帖

451

粉丝

0

关注

私信

ronging 2011-5-23 16:18: 0

[原创]Window下基于C/C++源码免杀理论及思路(新手篇)
有import的函数，为什么没有.idata节。

ronging

雪币： 113

活跃值： (100)

能力值：

( LV4，RANK：50 )

在线值：

发帖

18

回帖

451

粉丝

0

关注

私信

ronging 2011-5-23 10:27: 0

[原创]APC浅浅的说
谢谢LZ的回答，学到不少东西。

忽然有个想法，如果ReadFile设置了一个APC,然后while(1);进入循环，这样是不是APC就不会执行？因为目标线程不会进程内核。

另外，能稍微具体说下文中的这段嘛？

"另外，挂钩APC相关函数可以达到阻止结束目标进程(ZwTerminateProcess)、阻止创建远程线程(CreateRemoteThread)、阻止对其调用GetContext SetContext等。（但直接读写进程空间或者Attach操作是阻止不了的）。"

ronging

雪币： 113

活跃值： (100)

能力值：

( LV4，RANK：50 )

在线值：

发帖

18

回帖

451

粉丝

0

关注

私信

ronging 2011-5-23 09:50: 0

[求助]问个新手初学的汇编问题，
在win32下这样用，不会产生access_violation嘛？

ronging

雪币： 113

活跃值： (100)

能力值：

( LV4，RANK：50 )

在线值：

发帖

18

回帖

451

粉丝

0

关注

私信

ronging 2011-5-21 09:45: 0

[原创]APC浅浅的说
还是有问题，
执行APC的线程是不是系统线程？还是安装APC的线程？执行APC的时机或者说是check点是什么时候？

ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-6-14 21:56 0 汇编语言指令问题 NEG指令是求补指令，其数学上的意义实际上是求反。比如 2--> -2, -5 --> 5等等。详情可见 244K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4g2K6k6i4u0Q4x3X3g2I4P5X3!0F1k6g2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3x3K6p5%4x3K6p5%4x3o6g2Q4x3V1k6T1L8r3!0Y4i4K6u0r3x3e0x3H3x3K6p5&6z5e0j5H3x3H3`.`.
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-6-14 13:46 0 用OD如何搜索特定的汇编指令序列是这个，Ctrl+B不行吧？
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-6-14 09:52 0 IHTMLDocument 等等一些类动态的修改网页中的内容然后打开你是自己做的浏览器，还是做的插件，这2种做法大同小异，需要捕获一个事件，比如说DOCUMENTCOMPLETE，在事件处理中修改你需要的部分。完成后，你会在游览器中看到你需要的结果。
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-6-13 22:06 0 WinDbg如何实现双机调试我只试过实体机和VM之间的基于COM口的调试，你说的那几种，推荐你去看《软件调试》这本书，上面有详细的描述。
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-6-13 22:03 0 IHTMLDocument 等等一些类动态的修改网页中的内容然后打开不是很明白你的具体需求，有微软提供的DOM接口，有了IHTMLDocument2，一切皆有可能啊。你是想用脚本JS，还是使用C++，这2种方法本质上是一样的，都是COM调用。
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-6-13 21:55 0 请教如何获取传感器信息，例如CPU温度。比较高级的接口，一般都是WMI，如三楼说所的那样。楼主可以MSDN WMI中相关的类。
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-6-13 21:49 0 [原创]函数指针的值不是函数地址? 不好意思，链接错了，，是这个53bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4g2K6k6i4u0Q4x3X3g2I4P5X3!0F1k6g2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3x3K6p5%4x3K6p5%4x3o6g2Q4x3V1k6T1L8r3!0Y4i4K6u0r3x3e0x3H3x3U0R3#2z5e0f1^5y4l9`.`.，上文中已经纠正。
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-6-13 13:25 0 [调查]看看积分 me too
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-6-7 16:57 0 [求助]关于PE的“AddressOfEntryPoint” 一个是程序的入口地址，一个是text节的加载地址。你写的代码不一定会放在text节的开始，另外，就算你的main放在text节的开始，程序的入口地址也未必是你的main，很大可能是CRT的入口函数。参见 http://bbs.pediy.com/showthread.php?t=134576
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-5-30 10:38 0 [求助]关于内存断点 MS是正确的啊，内存断点（软件）是这样，通过给页加上保护属性，使得对该内存的访问产生异常，调试器捕捉到，导致断点。这算是软件断点的一种实现方式吧。
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-5-27 18:32 0 [原创]跑在main之前我讲的内容是“跑在main之前”，楼上说的是设置程序entrypoint，这有关系嘛？
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-5-27 14:27 0 [注意]邀请码发放公布（04.20~05.10）今天才注意到短消息，刚刚过了15天，郁闷啊。
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-5-25 12:05 0 [原创]APC浅浅的说谢谢LZ和楼上的帮忙回答问题。
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-5-24 17:13 0 DLL动态加载中的问题 LZ，先把帖子内容整理整理，字体颜色啊乱七八糟的。这个问题象调用约定的问题，__cdecl, __stdcall之类的，所以导致了栈的不平衡。
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-5-23 16:18 0 [原创]Window下基于C/C++源码免杀理论及思路(新手篇) 有import的函数，为什么没有.idata节。
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-5-23 10:27 0 [原创]APC浅浅的说谢谢LZ的回答，学到不少东西。忽然有个想法，如果ReadFile设置了一个APC,然后while(1);进入循环，这样是不是APC就不会执行？因为目标线程不会进程内核。另外，能稍微具体说下文中的这段嘛？ "另外，挂钩APC相关函数可以达到阻止结束目标进程(ZwTerminateProcess)、阻止创建远程线程(CreateRemoteThread)、阻止对其调用GetContext SetContext等。（但直接读写进程空间或者Attach操作是阻止不了的）。"
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-5-23 09:50 0 [求助]问个新手初学的汇编问题，在win32下这样用，不会产生access_violation嘛？
ronging 雪币： 113 活跃值： (100) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 451 粉丝 0 关注私信	ronging 2011-5-21 09:45 0 [原创]APC浅浅的说还是有问题，执行APC的线程是不是系统线程？还是安装APC的线程？执行APC的时机或者说是check点是什么时候？

{{ user_info.username }}