|
|
|
|
|
我以前写的一个壳(已放上源程序,在47楼)
还想多说一句,其实没有必要详细分析代码细节,了解其大至思路就可以了^_^ |
|
我以前写的一个壳(已放上源程序,在47楼)
4、好像可以吧,不过系统并未真正重调其文件,而是增加一次装入计数; 两个进程没有任何联系,双进程只是用来反调试器 我用od强制变单会出现异常,无法跟下去 我建议用softice调试,下断在第二次运行openeventa时 |
|
我以前写的一个壳(已放上源程序,在47楼)
简单说,这些副线程由主线程通过设置几个变量来决定其运行和结束,同时,副线程在运行和结束时也会设置某些变量告诉主线程其活动状态 ,它们互相协调运行 变量的每一bit对应控制一个线程 |
|
|
|
我以前写的一个壳(已放上源程序,在47楼)
1、是 2、还有弹2个4是前面invoke set_seh ,1,handleseh的参数,注意它是ret 0返回的,没有弹出2参数 3、这个是系统回调dll的参数,大概是这个样子 dll_entry proc hInstDLL:DWORD, reason:DWORD, unused:DWORD esp+24h是程序开始的压栈偏移pushfd,pushad [esp+24h+4+0]-->hInstDLL [esp+24h+4+4]-->reason reason有:DLL_PROCESS_ATTACH、DLL_PROCESS_DETACH、DLL_THREAD_ATTACH、DLL_THREAD_DETACH等值 |
|
我以前写的一个壳(已放上源程序,在47楼)
最初由 scnbjxzx 发布 1、seh链最里层的句柄位于kernel32.dll中,所以可据此找到其基址 2、是偏移地址 |
|
|
|
我以前写的一个壳(已放上源程序,在47楼)
最初由 tuboshu 发布 ml /c hua.asm 生成hua.obj link5 hua; 生成hua.exe hua 运行hua,生成bbb.asm |
|
我以前写的一个壳(已放上源程序,在47楼)
最初由 tuboshu 发布 这个生成花指令.asm可以对壳.asm自动加上花指令代码, 但并非必须要加花指令,加花只是干扰人对程序的分析, 壳.asm本身是个独立完整的程序,可直接编译运行 你可以试试这样做: ren 生成花指令.asm hua.asm ml /c hua.asm link5 hua; ren 壳.asm aaa hua ml /c /coff bbb.asm link /subsystem:windows bbb bbb notepad.exe ccc.exe 运行 ccc.exe |
|
|
|
我以前写的一个壳(已放上源程序,在47楼)
要疯了...疯了...疯了...疯了...疯了... |
|
我以前写的一个壳(已放上源程序,在47楼)
怪我没说清楚 生成花指令.asm 是dos程序,不是win32程序,用16位masm编译连接 F:\masm32\BIN>ml /c 生成花指令.asm Microsoft (R) Macro Assembler Version 6.15.8803 Patched for you by promethee [ECL] in the year 2001 - enjoy Copyright (C) Microsoft Corp 1981-2000. All rights reserved. Assembling: hua.asm F:\masm32\BIN>link5 生成花指令; Microsoft (R) Segmented Executable Linker Version 5.31.009 Jul 13 1992 Copyright (C) Microsoft Corp 1984-1992. All rights reserved. LINK : warning L4021: no stack segment |
|
我以前写的一个壳(已放上源程序,在47楼)
F:\masm32\BIN>ml /c /coff bbb.asm Microsoft (R) Macro Assembler Version 6.15.8803 Patched for you by promethee [ECL] in the year 2001 - Copyright (C) Microsoft Corp 1981-2000. All rights reserved. Assembling: bbb.asm F:\masm32\BIN>link /subsystem:windows bbb Microsoft (R) Incremental Linker Version 5.12.8078 Copyright (C) Microsoft Corp 1992-1998. All rights reserved. |
|
我以前写的一个壳(已放上源程序,在47楼)
最初由 qq7119 发布 如果是这样的错误,再运行hua重新生成bbb.asm error A2075: jump destination too far : by xx byte(s) |
|
我以前写的一个壳(已放上源程序,在47楼)
放上源程序。 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值