|
[求助]请教高手一个ollydbg问题
原来还有这等事,我一直没碰到过,不知道。 |
|
[求助]求教添加跨平台函数的方法。。。急!
kernel32.dll的基址呀,可以这样来: mov eax, fs:0x30 mov eax, [eax + 0x0c] mov esi, [eax + 0x0c] lodsd mov eax, [eax] //如果没有这一句则得到ntdll.dll的基址 mov eax, [eax + 0x18] add eax,1000h mov Kernel32,eax 其原理可以在论坛上搜索。这里有一篇不错的文章: http://520yl.blog.163.com/blog/static/46914420085209258829/ 以及这个: 还有,我看过一个病毒,通过对64位边界进行特征匹配扫描来寻找某dll的基址,再通过它的输出表得到函数指针。 http://bbs.pediy.com/showthread.php?t=75895 |
|
[求助]OllyDBG 跟踪遇到 int 2b 如何再跟下去?
不是“回调函数在哪”的问题,int 2b就相当于回调函数的retn了。 只因为硬件不允许从ring0到ring3的call,即不允许ring3到ring0的retn(这样设计是出于安全原因),所以为了实现内核对用户代码的回调机制,操作系统使用了某种约定,内核到ring3的回调最后都通过KiCallbackReturn返回内核的。 如果这里返回后进程就结束了,那么我猜你找到的这个位置应该是异常处理的最后一个环节了(异常处理就是一种回调机制),也就是说你实际上并没有定位到有价值的关键代码。 那就重头再来,重新寻找突破点吧。 |
|
|
|
[求助]请问怎样用OD去除VB软件的消息框(对话框?)
这种问题无法回答。 |
|
|
|
[求助]请教高手一个ollydbg问题
这没有道理啊,从来没遇到这种情况。 在我的双核机器上非常正常,一点问题也没有啊。 把有关驱动保护的插件(如StrongOD)都删除再试试 或者试试换一个版本的OD,看能不能解决。 |
|
|
|
[求助]如何用汇编强制删除文件???
这不存在用汇编还是用什么语言的问题,“强制”删除,通常是通过自己写的驱动绕过文件系统(至少是部分文的件系统)的功能,直接操作硬盘来实现的。 常规情况下被打开的文件,文件系统是拒绝执行“删除”操作的。不过可以重命名。 虽然系统不支持“强制”删除,不过系统提供了一个重启后删除的功能,用MOVEFILE_DELAY_UNTIL_REBOOT 标志作参数去调用MoveFileEx函数,并设置lpNewFileName为NULL,系统就会登记一个“重启删除”的项目,该项目在内核加载之后、页面文件激活之前执行,所以连pagefile.sys也可以删除。 |
|
[求助]一个VB写的软件问题
这种问题就直接联系软件的作者或售后了。 |
|
[求助]求教添加跨平台函数的方法。。。急!
通过导入表来调用。如果要调用的函数已经被EXE所导入,那就直接call导入地址表中相应的RVA即可,如果没有导入,需要自己添加导入函数表和导入地址表。 请自己查阅一下PE文件的基本知识,特别是导入函数表的相关内容。 这是menting发的一篇文章,把导入表说和很透彻,希望对你有帮助。 http://bbs.pediy.com/showthread.php?t=53935&highlight=%E5%AF%BC%E5%85%A5+%E5%85%A5%E5%87%BD+%E5%87%BD%E6%95%B0 |
|
[求助]一个VC程序用的内存模板创建对话框...求助
试试换一个思路,如果这个数据是通过模板产生的,而每次都不一样,那么模板中也一定有某个数据每次运行都不一样。 查看一下lpTemplate参数指向的内存,多运行几次看哪个数据在每次运行时都不同,如果确实有某个数据字段会变化,再参考DLGTEMPLATE或DLGTEMPLATEEX结构体的定义来查看,看它与对话框的什么属性相关。 如果这个模板在每次运行都一样,那么你所说的那个数据就可能不是从模板来的。再想其它办法。 |
|
[求助]父进程和子进程
这本来就是一个不能简单地用“是或不是”回答的问题。 他们是不是“父子”关系,完全取决于A进程的行为。 只能这样讲,A创建B,它们本是父子关系。A进程既可以保留这样的关系,也可以通过关闭相关句柄的方式来断开这种“父子”关系。 你在ProcessExplorer中看到它们没有列在一个进程树当中,就说明A进程创建B以后,剪断了与B的“父子”关系了。 Windows下“父子”进程的概念并不像*nix中那么重要,只要有相应权限的进程都可以打开其它进程与之通信。 |
|
[求助]一个VC程序用的内存模板创建对话框...求助
你越补充我越糊涂了,你说的数据是指什么数据??? The CreateDialogIndirectParam function creates a modeless dialog box from a dialog box template in memory. |
|
[求助]父进程和子进程
善用搜索引擎,可以节省很多时间。 Windows系统是弱化“进程树”的概念的。如果查看系统进程,你就会知道本来shell进程应该是大部分用户进程的父进程,但并不显示其为父进程。 父进程将子进程的相关句柄(进程对象和线程对象等)关闭,内核就认为它们不再有父子关系。 参考资料: http://61.178.160.7/zjjy1/ruanjiankaifagongju/dzja/2.ppt |
|
[求助]谁教一下vb程序的破解
VB的东西分P-CODE和Native,处理方法是不同的。 有很多P-CODE的反编译工具,可以对P-CODE进行分析,如VB Explorer、VB Decompiler等。动态调试用WKT VB debugger。cyclotron曾经写过一个P-CODE的系列文章:http://bbs.pediy.com/search.php?searchid=1274047 而Native的,可以用OD直接跟踪,当然也有专用的工具Smart Check,不过我还不会用,因为一般不愿碰VB的东西。静态分析可以试试VB Decompiler(它既可以处理P-CODE,也可以处理Native code,不过对Native code的分析仅供参考,不像P-CODE那么 准确)。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值