Ta的论坛

{{ user_info.username }}

{{ user_info.brief }}

拉黑已拉黑关注已关注私信

头图
皮肤套装

使用

使用

主题(19) | 回帖(59) | 精华(1)

chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 2011-12-16 10:32 0 [讨论].NET程序保护 [QUOTE=chenxiaolu;1029795]这种思想就是压缩壳的基本思想，可以将EXE和其他文件作为资源，然后通过读取资源到byte[]数组，然后通过Assembly.Load加载进来就行了。有一款开源软件叫做.netZ befK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2S2k6r3g2T1K9i4c8K6i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2@1P5W2)9J5c8R3`.`. ("1cbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3#2S2k6r3g2T1K9i4c8K6i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2@1P5W2)9J5c8W2)9J5y4Y4q4#2i4K6u0W2i4K6u0W2i4K6u0W2i4K6g2n7i4K6u0r3f1g2g2a6g2p5g2Q4y4f1b7`. 谢谢你的指导。。。
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 2011-12-16 09:19 0 [讨论].NET程序保护我有个想法：但不知道是否可行？请教一下大侠们：将EXE文件和所有的文件压缩成一个自解压运行文件，但不解压到硬盘上，而是解压到虚拟内存上。但我不知道该如何运行在虚拟内存上的文件以及系统如何不去硬盘上查找所需要的DLL文件而去虚拟内存里查找？？谢谢！
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 2011-12-15 17:04 0 [讨论].NET程序保护那.NET的重点是什么？
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 2011-12-15 16:51 0 [讨论].NET程序保护 .NET的重点是什么呢?我的目的不是限制别人使用，而是不想让别人反编译研究我的程序。谢谢你。
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 2011-11-14 14:22 0 [原创]《可执行文件头的变形技术》电子版正式下载(增加了补充说明) 这么好的东西，现在才看到，真遗憾！
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 2011-10-19 09:20 0 [推荐]《C++反汇编与逆向分析技术揭秘》PDF试读先学习一下吧。。。
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 2011-9-20 09:23 0 [讨论]目录的权限问题谢谢提示，我学下这两个函数。
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 2011-4-1 12:01 0 [讨论]VB的DOUBLE类型数据的存储格式楼上说得很对。就是保存成浮点类型的。我已经查到了相关资料，并可以解读DOUBLE类型的内存存储格式了。浮点数的存储格式在IEEE 754标准中规定的，由IEEE(Institute of Electrical and Electronics Engineers)美国电气及电子工程师学会制定。标准名称叫做：二进制浮点数算术标准。由于涉及的内容较多，我就本例中的格式进行介绍。二进制浮点数是以符号数值表示法格式储存，将最高效位元指定为符号位元（sign bit）；“指数部份”，即次高效的e位元，为浮点数中，经指数偏差（exponent bias）处理过后的指数；“小数部份”，即剩下的f位元，为有效位数（significand）减掉有效位数本身的最高效位元。如下图所示： +-+--------+-----------------------+ \|S\| Exp \| Fraction \| +-+--------+-----------------------+ 再具体到64位双精度，规定是这个样子的： S EEEEEEEEEEE FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF 0 1 11 12 63 算法是： If E=2047 and F is nonzero, then V=NaN ("Not a number") If E=2047 and F is zero and S is 1, then V=-Infinity If E=2047 and F is zero and S is 0, then V=Infinity If 0<E<2047 then V=(-1)*S 2 ** (E-1023) * (1.F) where "1.F" is intended to represent the binary number created by prefixing F with an implicit leading 1 and a binary point. If E=0 and F is nonzero, then V=(-1)*S 2 ** (-1022) * (0.F) These are "unnormalized" values. If E=0 and F is zero and S is 1, then V=-0 If E=0 and F is zero and S is 0, then V=0 在本例中，再看看里头的数据： 0012F854 05 00 00 00 80 08 00 00 00 00 00 00 00 00 F0 3F 05表示DOUBLE类型，那么最后8个字节 00 00 00 00 00 00 F0 3F就是具体的数字了，十六进制的表示就是3FF0000000000000，转成二进制形式就是： 00111111 11110000 00000000 00000000 00000000 00000000 00000000 00000000 S=0，E=01111111111（十进制：1023） F=后面的全0 符合0<E<2047 的情况那么结果就是 (-1)*S 2 ** (E-1023) * (1.F)=(-1)*0 2 ** (1023-1023) * (1.0)=1.0，转换成整数就是：1。更深入的阅读请看： 128K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4A6Z5i4K6u0W2N6$3W2C8K9i4m8W2k6r3W2S2i4K6u0W2L8%4u0Y4i4K6u0r3N6$3W2C8K9g2)9J5c8V1W2q4c8f1g2Q4y4h3j5%4y4e0c8Q4x3U0x3$3y4q4)9J5k6f1f1@1i4K6u0W2b7V1c8Q4x3X3f1^5c8q4)9J5k6f1f1&6i4K6u0W2z5f1u0Q4x3X3f1&6z5g2)9J5k6f1f1%4i4K6u0W2b7U0u0Q4x3X3g2n7c8g2)9J5k6f1f1#2i4K6u0W2b7V1q4Q4x3X3g2m8y4R3`.`. 078K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4m8K6j5#2)9J5k6h3g2V1N6g2)9J5c8X3N6W2L8X3g2J5j5h3I4Q4x3V1k6K6L8$3k6@1N6$3q4J5k6g2)9J5c8Y4m8S2j5$3E0S2k6$3g2K6i4K6u0r3K9h3g2W2k6g2)9J5c8X3W2W2k6h3g2Q4x3X3g2H3K9s2l9`. cdfK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4#2K9i4W2A6L8X3N6X3k6h3&6Y4i4K6u0W2j5X3I4G2k6#2)9J5k6e0f1I4j5%4c8G2i4K6u0W2j5$3!0E0i4K6u0r3y4o6x3^5y4o6q4Q4x3V1j5$3y4U0j5&6i4K6u0r3
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 2011-3-22 18:04 0 [讨论]如何确定当前指令是从哪条指令过来的这个我已经解决了。我参考了http://bbs.pediy.com/showthread.php?t=73623 帖子中5楼的方法二思路，又学习了http://bbs.pediy.com/showthread.php?t=26029脚本知识。写了下面的脚本： /////////////////////////////////////////////////// Found Last EIP Author: chglyq Email : chglyq@qq.com OS : WinXP sp1,Ollydbg 1.1,OllyScript v0.92 Date : 2011-03-23 Action: Found Last EIP Config: N/A Note : If you have one or more question, email me please,thank you! /////////////////////////////////////////////////// var preEIP /preEIP记录当前指令的上一条指令的EIP/ mov preEIP,eip start: ESTI /F7/ cmp eip,75FF0000 jb ipcomp /有些段不用F7跟踪/ RTR /CHRL+F7/ mov preEIP,eip jmp start ipcomp: cmp eip,73393600 /就是要找73393600的上一条指令/ jne jixuzou log preEIP /找到打印/ pause jmp findover jixuzou: mov preEIP,eip jmp start findover: ret /==========这是我的第一个脚本============/
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 2011-3-21 23:44 0 [讨论]如何确定当前指令是从哪条指令过来的 [QUOTE=bzhkl;938594]23dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4g2F1M7r3q4U0K9#2)9J5k6h3y4F1i4K6u0r3N6X3W2W2N6%4c8Z5M7X3g2S2k6q4)9J5k6i4m8Z5M7q4)9K6c8Y4c8A6k6q4)9K6c8o6x3&6z5o6R3H3[/QUOTE] 是啥子东西啊？
chglyq 雪币： 73 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 19 回帖 59 粉丝 0 关注私信	chglyq 1 2011-3-14 11:43 0 [求助]学习天草中级班培训第11课碰到的问题 0040100B E8 B5A6A577 call RPCRT4.77E5B6C5-------->这里改成CreateMutexA 00401010 9D popfd 00401011 61 popad 00401012 - E9 7A13A677 jmp RPCRT4.77E62391-------->这里改成OpenMutexA ----UpK告诉我的，果然是这样。疏忽了。

{{ user_info.digests_3 }}

精华数

{{ user_info.rank }}

RANk

{{ user_info.golds == '' ? 0 : user_info.golds }}

雪币

{{ points }}

活跃值

关注数

粉丝数

{{ experience }}

课程经验

{{ score }}

学习收益

{{study_duration_fmt}}

学习时长

基本信息

荣誉称号： {{ honorary_title }}

能力排名： No.{{ rank_num }}

等级： LV{{ rank_lv-100 }}

活跃值

活跃值：

活跃值

在线值：

浏览人数：{{ visits }}

最近活跃：{{ last_active_time }}

注册时间：{{ user_info.create_date_jsonfmt }}

勋章兑换勋章

证书证书查询 >

能力值