|
|
|
[求助]请问OD中内存访问断点有没有命令行
以m开头的,mr,mw,md |
|
[求助]这是什么壳呀?
好好理解这句话。 |
|
[求助]请大家都进来下
自己拿画图板画一个,想要什么图标就什么图标。 |
|
|
|
[求助]WIN32汇编的运算方法
“寻址方式”这个概念一定要理解透彻,因为这是汇编语言的基础。 首先,方括号表示是访问内存变量的值,括号里是内存地址,这个地址是ESP+8。dword ptr是指示访问数据宽度的。 所以,这条指令是,把ESP寄存器的值加上8,作为一个地址,去访问内存中这个地址处的32位的值,把这个值与EAX进行比较(做减法),并按照比较结果置EFLAGS中的标志位。 从稍高一点语义上说,ESP寄存器是栈指针,指向堆栈的TOP,所以,这里是对堆栈中偏移8的内容进行访问。 语义再高一层,根据通常的函数调用规范,通过栈传递参数,如果函数没有在栈上预留本地变量的空间,[ESP+8]应该是函数的参数;如果栈上预留了本地变量,[ESP+8]可能访问的是局部变量。 |
|
[求助]请问怎么理解RVA VA
这个不是ImportRec给你“算”出来的,是要人输入的。 脱壳时,通常是在调试器里走到程序的OEP,然后DUMP内存映像,再把OEP的地址换算成RVA,用来修复DUMP出的文件头(以及用来帮助ImportRec那年IAT,但IAT也可以手动寻找)。 |
|
[求助]这是什么壳呀?
你知道“重定位”是用来做什么的吗? 重定位是对因加载基址变化而需要修正的“地址值(或者说指针值)”而言的。 代码: 00921E96 B8 80199200 MOV EAX, Aspappg.00921980 这条指令的机器码是 b8,80,19,92,00,需要修正的80,19,92,00这四个字节,也就是汇编助记符中的 mov eax, 00921980 这个值,而不是对操作码b8进行修正。 所以,发生重定位的地址是00921e96 + 1。 |
|
[求助]我想问一下怎么进入call
你确定你先将光标移动到了那行CALL指令,然后再按ENTER? 如果是间接调用(即函数指针调用),那么没有执行到这一行的时候,当然无法确定被CALL的地址是多少了。 |
|
[求助]请问怎么理解RVA VA
VA,虚拟地址,也就是程序被加载到内存中的地址 RVA,以虚拟地址前边加上个“相对的”,也就是说它还是按虚拟地址来换算,只不过不是从0开始,而是把一个模块的基址作为参考点。 RAW ADRRESS,或者FILE OSSFET,一般称文件偏移,你把一个文件看成一个连续的字节流,OFFSET就是这个字节流中的位置。 换算关系为: 将VA减去MODULE的BASE就是RVA的值。 RVA与OFFSET的关系,是通过每个SECTION内领衔量相等为换算的。举例来说,假设一个EXE文件,BASE为0x00400000,第一个SECTION的名字叫.text,它的RVA是0x2000,那么它的VA就是0x00402000,也就是它个SECTION在内存中的起始地址是0x00402000;若假设这个SECTION的OFFSET是0x1000,那么最终的结果是,文件中从0x1000开始的一个SECTION,被映射到了内存地址0x00402000开始的内存区间。假设有一段代码位于这个SECTION中,它的地址(VA)是0x00402345,相当于它的RVA是0x2345,而它在SECTION内部的偏移量是0x0345,所以它的文件中的偏移量就是0x1000(SECTION的起始偏移量) + 0x0345,即0x1345。 总结:VA与RVA只相差一个BASE值,而VA与OFFSET的换算,关键是要确定这个地址属于哪一个SECTION。 |
|
|
|
[求助]脱壳入门初级教学后问题 程序无法运行
错误之处在于,使用importRec时,没有填入正确的OEP,所以修复了的程序的入口点不正确。 |
|
[求助]想分析一下"文件夹选项"的部分实现功能, 但不知如何运行..
explorer确实什么都没做,除了把设置值写入注册表。 |
|
[求助]各位大大们给小弟个思路
即使使用消息断点,也不要断button的鼠标消息断点,要断button你窗口的WM_COMMAND消息。 更好的方法是API断点。你说的提示字符串加密了,那言外之意是有提示的?那就断它弹出提示框的API,比如MessageBox |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值