|
[求助]一个UnPackMe,没有思路.请大家帮忙
When it is being debugged it jumps into debugger's exception handler. SYSENTER passes the control to a kernel stub, which requires a kernel debugger and the syscall stub cannot be located at an arbitrary address. |
|
[求助]让程序以system权限运行和可以结束任何进程的工具
http://bbs.pediy.com/showthread.php?t=39954 这个方法在vista下面已经不能用了,即使uac提升权限后也无法得到system角色的token。 但是在vista以前的版本上基本没问题,建议在目标系统上编译,源代码在4楼 killproc,结束进程使用的是CreateRemoteThread的一个漏洞,现在不知道能不能越级结束进程了。 ring3下面的限制太多了 |
|
部分Windows内核源码
东西是有了 没见人拿出来吗? |
|
部分Windows内核源码
沙发自己坐,VS2005的sln |
|
VistaLKD - 动态开启 vista 系统本机内核调试功能
小喂很强大,我要学KD |
|
新手学习,诸多问题待高手解答.
兄弟是不能乱叫的 |
|
[求助]VB程序OD下断后找不到关键跳及Call...
楼主给个连接撒 我看看是什么软件好吗? |
|
[求助]求助破解“安全的加密锁”一软件
push的地方在数据窗口找一找,改掉就好了。至于dll怎么改的我也懒得讲了,自己过一遍就知道了。 |
|
[求助]一个未知壳脱后?
IAT没修复? |
|
[求助]求助破解“安全的加密锁”一软件
去下个hex比较软件对比一下,再反汇编看看不同处吧 |
|
新手学习,诸多问题待高手解答.
请问第一句,他是如何看出(==打开自己。)那句是写的打开自己?第二句,他又是如何看出(==去文件尾。)那句是写的去文件尾?第三句,第四句,问题一样! 对于这个问题,我想如果你有一些编成经验的话,应该知道如何调用一个API。 CreateFileA函数原型 HANDLE WINAPI CreateFileA( LPCTSTR lpFileName, DWORD dwDesiredAccess, DWORD dwShareMode, LPSECURITY_ATTRIBUTES lpSecurityAttributes, DWORD dwCreationDisposition, DWORD dwFlagsAndAttributes, HANDLE hTemplateFile ); 假如要在程序中调用,往往会这样: CreateFileA(参数1,参数2,参数3,参数4,参数5,参数6,参数7); 到了汇编中就成了这样: PUSH 参数7 PUSH 参数6 PUSH 参数5 PUSH 参数4 PUSH 参数3 PUSH 参数2 PUSH 参数1 CALL CreateFileA 这里顺便解释第三个问题 00403D8D FF15 A0D04000 CALL DWORD PTR DS:[<&kernel32.CreateFile>; kernel32.CreateFileA 代码在内存中地址 机器码 反汇编 |
|
新手学习,诸多问题待高手解答.
没人愿意当好人啊,唉。 有些东西其实入门不要太系统的学,没有一些经验直接学一大堆东西会不消化。 我就从字面上回答你的问题吧 问题一: EAX,EBX,ECX,EDX,ESI,EDI,ESP,EBP,EIP (这些都是什么意思,什么地方有详细的说明?) 答: E代表32位宽度,访问的时候一次操作32个二进制位。 EAX,EBX,ECX,EDX 是CPU的4个零时寄存器,这些寄存器可以可以通过AX,BX,CX,DX访问他们的低16位,这低16位又可以通过AH,AL,BH,BL,CH,CL,DH,DL来访问高8位和低8位。 ESI=Stack Index,直接翻译过来是堆栈索引。这个寄存器可以通过SI操作低16位,但无法继续拆开访问。如果从汇编角度而言,它和以上4个寄存器没有本质区别。不过高级语言编译器和一些习惯上的用法使它经常用来指向当前栈帧中的某个地址偏移。 EDI=Data Index,同上,这个是数据索引,操作一个数据段的时候用来代表当前指针位置的一个寄存器。可以当作一般寄存器用,但只能拆分到16位低位DI。 ESP=Stack Pointer,这个寄存器比较特殊。基本功能和以上所有寄存器都一样,通过SP访问低16位。这个寄存器通常来表示当前堆栈的栈底位置。当一个PUSH指令执行时,如果原数据是16位,这个寄存器减2,是32位的话减4。2和4是其对应的字节数,当一个POP指令执行时,这个寄存器加4或者加2。这个寄存器的数据代表了一个地址,它用来保存PUSH,POP或者更宽的PUSHAD、PUSHFD,POPAD,POPFD指令往内存存储数据的位。同样的,如果不考虑进出堆栈对其数据的影响和其他需要用堆栈的地方,这个寄存器也可以当作普通寄存器使用。有些函数通过或者RETN指令实现对栈址的平衡,其实就是向ESP加上一个数值。 RETN 0C 等价于 ADD ESP,0CH RETN 或者 RETN 返回后 ADD ESP,0CH EBP和ESP是一对,ESP指向栈底,EBP指向栈顶,栈帧的起始位置通常由这个寄存器保存,方便程序使用EBP-OFFSET来访问当前栈帧当中的局部变量。这个寄存器也可以当作普通寄存器使用。 EIP=Instruction Pointer,代表当前执行指令的地址,不可以直接对此寄存器操作。只能通过RETN,JMP,CALL间接对它操作。 我没文化,误导之处还请各位大侠指正。 |
|
|
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值