|
|
|
[求助]<<加密与解密>>第16章外壳编写基础中的区块融合一节的疑问,各位大侠,感激啊
尽信书不如无书。我也买了加密与解密,里面的代码我没怎么看。 但是从你贴出来的代码来看,这个代码确实写的很烂。 书里面的代码都是根据特定的例子写的,通用性很差。这个很容易验证,你用LoadPe工具修改一下数据,做个试验就知道了。 |
|
[求助]怎么从驱动往应用层反数据
如果要向本进程的用户层写数据直接Copy就行了。Memcpy( 0x401000, 0x90000000, 20 ); 如果是向其他进程的用户层写数据,就先调用KeAttachProcess附加目标进程,然后直接Copy。 在Copy时别忘了使用try |
|
[求助]<<加密与解密>>第16章外壳编写基础中的区块融合一节的疑问,各位大侠,感激啊
我刚才看错了,我以为C = A+e+B呢。你说的没错,确实会存在你说的问题。 |
|
[求助]KernelCallbackTable指点
底层通过KeUserModeCallback回调上层使用的函数地址表。里面存放的是函数地址数组。 |
|
[求助]写了个壳,但IAT表无法被win7自动修改
出现这种情况有两种可能 1. Win7已经修改了,但是你解密后把Win7改的东东覆盖回去了。 2. 你加密后,系统无法定位到IAT了。 加壳后的程序你可以用LoadPE 工具看一下导入表是否正常,如果正常就是第一种情况。 |
|
[求助]绕过KeUserModeCallback iat hook
想绕过IAT HOOK最好的方法是自己在驱动层写一个GetProcAddress类似的函数,直接得KeUserModeCallBack函数地址。 |
|
[原创][整理]lea指令与mov指令的区别(申请邀请码)
你以为激情吗这么好申请啊? |
|
[求助]基于进程的入侵检测
建议先看一下《Windows核心编程》 |
|
[求助]请问怎么过游戏保护tp
建议先尝试过Apex Protect |
|
[求助]如何加载驱动实现对进程的保护
通常加载驱动使用微软创建服务相关的函数:OpenSCManager,CreateService等。具体用法请Google |
|
[求助]<<加密与解密>>第16章外壳编写基础中的区块融合一节的疑问,各位大侠,感激啊
这个代码是你写的还是书上的例子啊?我先说几处编码错误 函数MergeSection中 1. if ((m_psecHeader->Characteristics & IMAGE_SCN_MEM_SHARED) != 0) 这个应该写成if ((psecHeader->Characteristics & IMAGE_SCN_MEM_SHARED) != 0) 2. nIndex变量是在for循环中声明的。出了循环体还在使用,虽然在VC2005以前的编译器中能编译通过,但是这很明显是一个语法错误。以后不要这样用了 3. 执行m_psecHeader->Misc.VirtualSize = nMergeVirtualSize;的时候,nMergeVirtualSize可能=0。逻辑不严谨。 4. nSectionNum - nIndex+1,这句应该写成nSectionNum - nIndex。 。。。。。。 另外回答你的问题: 1. 当psecHeader为merge_section_header时,能保证nSize包含first_section与second_section的全部真实数据吗? 答案是不一定。从MergeSection函数的逻辑来看,psecHeader->Misc.VirtualSize = first_section_header->Misc.VirtualSize + second_section_header->Misc.VirtualSize。 如果first_section_header->Misc.VirtualSize = 20,first_section_header->Misc.VirtualSize = 40(这种假设是可以成立的),由于VirtualSize 相加时没有内存页对齐psecHeader->Misc.VirtualSize = 20+40 = 60.这样就导致second_section_header的真实数据丢失。 2. 如果如上图,这个大小只能包含C区的大小,second_section的剩下部分岂不是得不到压缩,从而不能写入新文件?? C区剩下的是F区。F区是系统填充的无效数据,压不压缩不会受到影响。所以这个你不用担心。 请再贴代码的时候不要再贴像MergeSection这样函数的代码了,谢谢 |
|
[原创]PE结构中插入一段补丁程序
用汇编的童鞋你上不起啊。可阅读性太低了,不建议在C语言中嵌入大量的汇编,程序太陈杂也不利于维护 |
|
[求助]虚拟机保护,由汇编到字节码的编译问题,《加密解密》第三版源码
vpush 这些指令字节码都是自己定义的。如 vpush eax --> 0x90 那么 vpush eax 的字节码就是0x90 第17章源码见附件 |
|
|
|
[求助]关于绕过ntterminateprocess的ssdt hook
帮顶,没做过这个 |
|
[求助]setwindowtext 函数上是不是不可以下断
应该是调试器的问题。不过也有可能是你调试的那个软件问题,不让你在这个函数上下断点。你可以在这个函数中间下断点试试 |
|
[原创]Hook ExMapHandleToPointer,防止打开被保护进程和线程句柄
这么好的文章怎么就没人顶呢 |
|
[求助]setwindowtext 函数上是不是不可以下断
同问楼主。你的调试器是不是区分大小写啊?你都使用小写,调试器找不到该函数是吧? |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值