|
ASProtect的中奇怪的失效函数
最初由 kanxue 发布 明白了 |
|
ASProtect的中奇怪的失效函数
似乎不应该是花指令 是不是有哪条指令会影响标志位? 现在只是冒出这种想法,因为GetModuleHandle(NULL)查了MSDN似乎没什么影响内存数值的功能。 或者就是在执行中指令会被动态的替换掉(好像也不可能) 反正我是菜鸟一只,没有遇到过这样的失效函数 |
|
|
|
|
|
HOOK实现读取、存储远程进程的控件文本
感谢大家支持 |
|
一个老古董: 33行C代码实现bat病毒的又一方法。
当然,写这个程序不是为了实现病毒。 只是表明可以利用DEBUG导入的方法来实现和 rem +bincode 一样的功能。 上面说过,这个程序主要目标是为了在QQ下线(隐身)后传递文件;或者在某些不能上传文件的论坛上共享文件用的。 |
|
HOOK实现读取、存储远程进程的控件文本
顶一顶 那么,有谁给个VirtualAlloc+WriteProcessMemory+SendMessage改变 EDIT 或者STATIC文本的例子行吗?(list是成功了,edit和static怎么弄都不行) 谢谢 |
|
|
|
|
|
|
|
batch病毒之一
妙~ |
|
|
|
|
|
几个星期前写的容错处理库,希望能互相启发
最初由 北极星2003 发布 怪不得……吸取经验了 |
|
几个星期前写的容错处理库,希望能互相启发
函数的开头有个 push ebp,mov ebp,esp 我要取的调用这个函数的地址(在堆栈顶层)被ebp又盖了一层。 所以先把ebp释放出来,于是被调用的地址就在栈顶了。 然后就是把那个地址给读取出来,为了简便,我用出栈、进栈的方式,获得堆栈顶层的数据 push eax push esi push edi push ebx push ecx push edx 这几行是因为我忘记i386中保存所有寄存器的那条指令叫做什么了。所以只好手动多写几行(别笑话我) ----------------------- push 0B0C7B1B5h pop DWORD PTR szInjectedFileName push 0CCB3F8BDh pop DWORD PTR szInjectedFileName+4 push 02020203Ah pop DWORD PTR szInjectedFileName+8 push进去的那几组数据是字符串:"当前进程: " 我以前都是在DOS下才用汇编的。386以后可以直接用mov指令了.我的习惯还停留在8086阶段 其实用MOV代替更好。 push后的那些参数是按照DWORD把所有字节“高高低低”法则颠倒后的结果。(把一个汉字的编码倒回来)所以认不出本来面目了。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值