Ta的论坛

[求助]微软的符号服务器怎么配置呢~~由于看的教程太老~~现在微软都不提供离线包了这一步就卡死了
windbg的这个框直接写“SRV*E:\Symbols*0e4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7$3c8D9i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3k6r3!0%4L8X3I4G2j5h3c8Q4x3V1k6K6P5h3#2T1L8$3I4K6i4@1f1J5i4K6R3H3i4K6W2p5i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1@1i4@1u0o6i4K6W2m8i4@1f1$3i4K6S2m8i4K6S2m8i4@1f1%4i4@1q4o6i4@1p5$3i4@1f1#2i4K6S2r3i4@1t1%4i4@1f1%4i4@1u0o6i4K6V1K6i4@1f1#2i4@1q4p5i4K6V1^5i4@1f1#2i4K6R3^5i4@1t1H3c8g2)9K6b7g2)9#2b7#2y4&6L8h3u0G2L8s2x3`.

或者直接配置环境变量，每次WINDBG会自动用这个路径不用你自己手动填

环境变量设置

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2019-4-20 17:36: 0

[已经解决]内存加载PE，遇到个小问题

zhatian 这是个大问题。要初始化在 dllmain就行，具体看你的代码如何写的。

了解一下PE文件的TLS表的作用。

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2019-4-10 12:24: 0

[求助]请问这个是跟编译器有关系吗，如果不想让它开辟栈空间呢

打开就得到你想要的结果了。

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2019-4-10 12:06: 0

[求助]汇编编写pusha指令，实际编译成pushaw，请问pushaw跟pusha有什么关系和区别？
你需要手册。

原因是，虽然OpCode是一样的，但是不同的【助记符】的对ML来讲，含义是不一样的。

你用了pusha，ML会以为你要push word寄存器，然而32位默认的 OperandSize 是32位，所以会给你加上OperandSize切换前缀。

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2019-4-10 11:52: 0

[分享]C++11比较实现的用法原生字符串可不用\r\n 再也不头疼 " 路径中的 \

holing 然而CString并不是C++标准中的东西

这段代码重点不在CString，重点在C++11 的raw string，用法代码示例已经很清楚了，R"(字符串)"，其中括号并不是字符串的内容但必须包含。原代码等号只是只是触发了CString的拷贝构造，并不代表R"()"是CString的东西。

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2019-3-14 10:20: 1

[原创]开源一个获取 windows’s PE 的符号 Url 的工具
dumpbin /headers 里的debug header了解一下？

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2019-1-22 17:35: 0

[讨论]再给某博士写的书提个BUG，还是关于NTFS解析的
6

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2019-1-21 10:03: 0

[求助] vs2017+wdk10 windows driver 的新建项目模块被放到了test模块下面

嘿嘿

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2019-1-10 13:13: 1

关于PE文件.data节的问题
VirtualSize只是一个数值而已，这个数值就是告诉windows，映射这个区段的时候给我多大的内存，你也可以改的更大（但是改小可能会出现问题，因为编译出来的VirtualSize的明确的，表示程序至少需要这么多的内存）。相当于静态分配内存。我猜你没见过VirtualSize为0或者RawSize为0的情况。。。

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2018-11-21 09:43: 0

[求助]64位fastcall 栈回溯怎么实现
如果是编译器产生的代码，实际上在正式进入函数之前，是会有把寄存器保存到栈中的操作的（你可以F11跟一下汇编代码就明白了），栈帧从形式上来讲和32位没有区别。（我说的是VS，其他的编译器没有研究）

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2018-10-21 10:35: 0

[讨论]恭喜您成为看雪书友会成员！！！收的书的朋友来顶个贴。

kanxue 一书一码，扫码赠送1000雪币

我去，难怪印刷这么困难呢，每本书都有唯一的ID啊。。。

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2018-9-26 10:14: 0

[求助]X86Asm编译自动生成函数头？
只要你写PROC就是这样的，我之前也没有找到去掉的方法。一种方法是你不写头部的栈帧建立代码，直接写实际的逻辑代码。。。

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2018-9-26 09:48: 0

[求助] Windows驱动签名问题
inf2cat不是签名啊，是根据inf生成安全目录的cat文件啊。。至于失败，没试过。。

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2018-9-25 17:55: 0

[原创]修改微信余额显示
作者字都没打完 /滑稽 /嘿嘿

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2018-9-25 17:50: 0

[求助]HookNtOpenProces 出现蓝屏
调用者进行call NtOpenProcess时候，跳转到InLineNtOpenProcess之前已经push了调用号，jmp eax你又push了调用号，最后的结果就是栈不平衡了。解决方案，1.使用call eax而不是jmp eax。2.去掉naked

最后于 2018-9-25 17:51 被zplusplus编辑，原因：

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2018-9-25 17:45: 0

[推荐]信息安全学习流程图最新版

zplusplus

雪币： 689

活跃值： (422)

能力值：

( LV11，RANK：190 )

在线值：

发帖

14

回帖

146

粉丝

31

关注

私信

zplusplus 1 2018-9-5 10:19: 0

[原创]去一个小广告
看到开头我以为只是删掉一段html代码，万万没想到啊。。。。。。

zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2019-6-30 13:15 0 [求助]坛子里的哪位大大有tasm3.1或tasm3.0，能否私信发小弟一份，学习杨季文老师汇编教材的第十章t10-2.asm，高版本的tasm编译不过去，网上找不到低版本的，多谢 lishua 这个里面没有tlink.exe，不行。我把遇到的问题也贴出来，请明眼人帮忙给予建议，多谢各位老大了。你的代码写的有问题。给你的提示很明显了，常数写的太大了，超出了16位的范围。0x1234不要写成0x00001234。编译不过去和编译器版本没有关系
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2019-5-27 11:42 0 [已解决]可不可以自定义降低IRQL中段级别你的参数不对，需要仔细读下MSDN中KeWaitForSingleObject的说明，当KEVENT在栈上开辟的时候Alertable需要设置为FALSE。 KEVENT是在别的地方初始化的，那么要保证存储KEVENT的内存是NonPage类型。
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2019-4-24 09:27 0 [求助]微软的符号服务器怎么配置呢~~由于看的教程太老~~现在微软都不提供离线包了这一步就卡死了 windbg的这个框直接写“SRVE:\Symbols0e4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7$3c8D9i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3k6r3!0%4L8X3I4G2j5h3c8Q4x3V1k6K6P5h3#2T1L8$3I4K6i4@1f1J5i4K6R3H3i4K6W2p5i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1@1i4@1u0o6i4K6W2m8i4@1f1$3i4K6S2m8i4K6S2m8i4@1f1%4i4@1q4o6i4@1p5$3i4@1f1#2i4K6S2r3i4@1t1%4i4@1f1%4i4@1u0o6i4K6V1K6i4@1f1#2i4@1q4p5i4K6V1^5i4@1f1#2i4K6R3^5i4@1t1H3c8g2)9K6b7g2)9#2b7#2y4&6L8h3u0G2L8s2x3`. 或者直接配置环境变量，每次WINDBG会自动用这个路径不用你自己手动填环境变量设置
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2019-4-20 17:36 0 [已经解决]内存加载PE，遇到个小问题 zhatian 这是个大问题。要初始化在 dllmain就行，具体看你的代码如何写的。了解一下PE文件的TLS表的作用。
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2019-4-10 12:24 0 [求助]请问这个是跟编译器有关系吗，如果不想让它开辟栈空间呢打开就得到你想要的结果了。
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2019-4-10 12:06 0 [求助]汇编编写pusha指令，实际编译成pushaw，请问pushaw跟pusha有什么关系和区别？你需要手册。原因是，虽然OpCode是一样的，但是不同的【助记符】的对ML来讲，含义是不一样的。你用了pusha，ML会以为你要push word寄存器，然而32位默认的 OperandSize 是32位，所以会给你加上OperandSize切换前缀。
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2019-4-10 11:52 0 [分享]C++11比较实现的用法原生字符串可不用\r\n 再也不头疼 " 路径中的 \ holing 然而CString并不是C++标准中的东西这段代码重点不在CString，重点在C++11 的raw string，用法代码示例已经很清楚了，R"(字符串)"，其中括号并不是字符串的内容但必须包含。原代码等号只是只是触发了CString的拷贝构造，并不代表R"()"是CString的东西。
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2019-3-14 10:20 1 [原创]开源一个获取 windows’s PE 的符号 Url 的工具 dumpbin /headers 里的debug header了解一下？
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2019-1-22 17:35 0 [讨论]再给某博士写的书提个BUG，还是关于NTFS解析的 6
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2019-1-21 10:03 0 [求助] vs2017+wdk10 windows driver 的新建项目模块被放到了test模块下面嘿嘿
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2019-1-10 13:13 1 关于PE文件.data节的问题 VirtualSize只是一个数值而已，这个数值就是告诉windows，映射这个区段的时候给我多大的内存，你也可以改的更大（但是改小可能会出现问题，因为编译出来的VirtualSize的明确的，表示程序至少需要这么多的内存）。相当于静态分配内存。我猜你没见过VirtualSize为0或者RawSize为0的情况。。。
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2018-11-21 09:43 0 [求助]64位fastcall 栈回溯怎么实现如果是编译器产生的代码，实际上在正式进入函数之前，是会有把寄存器保存到栈中的操作的（你可以F11跟一下汇编代码就明白了），栈帧从形式上来讲和32位没有区别。（我说的是VS，其他的编译器没有研究）
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2018-10-21 10:35 0 [讨论]恭喜您成为看雪书友会成员！！！收的书的朋友来顶个贴。 kanxue 一书一码，扫码赠送1000雪币我去，难怪印刷这么困难呢，每本书都有唯一的ID啊。。。
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2018-9-26 10:14 0 [求助]X86Asm编译自动生成函数头？只要你写PROC就是这样的，我之前也没有找到去掉的方法。一种方法是你不写头部的栈帧建立代码，直接写实际的逻辑代码。。。
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2018-9-26 09:48 0 [求助] Windows驱动签名问题 inf2cat不是签名啊，是根据inf生成安全目录的cat文件啊。。至于失败，没试过。。
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2018-9-25 17:55 0 [原创]修改微信余额显示作者字都没打完 /滑稽 /嘿嘿
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2018-9-25 17:50 0 [求助]HookNtOpenProces 出现蓝屏调用者进行call NtOpenProcess时候，跳转到InLineNtOpenProcess之前已经push了调用号，jmp eax你又push了调用号，最后的结果就是栈不平衡了。解决方案，1.使用call eax而不是jmp eax。2.去掉naked 最后于 2018-9-25 17:51 被zplusplus编辑，原因：
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2018-9-25 17:45 0 [推荐]信息安全学习流程图最新版
zplusplus 雪币： 689 活跃值： (422) 能力值： ( LV11，RANK：190 ) 在线值：发帖 14 回帖 146 粉丝 31 关注私信	zplusplus 1 2018-9-5 10:19 0 [原创]去一个小广告看到开头我以为只是删掉一段html代码，万万没想到啊。。。。。。

{{ user_info.username }}