|
[求助]RadASM配置问题
注意看下面的内容。 [QUOTE=perrych;555966][Open] 0="Assembly (*.asm;*.inc),*.asm;*.inc" 1="Resource Files (*.rc),*.rc" 2="Text Files (*.txt),*.txt" 3="All Files (*.*),*.*" src="Assembly (*.asm),*.asm,asm" hdr="Include (*.inc),*.inc,inc" mod="Module (*.asm),*.asm,asm"[/QUOTE] |
|
|
|
[求助]OD调试中的 Ultra String Reference问题
因为此插件我基本上很少使用,它搜索的范围具体有多大,我也没分析过,据我的猜测,应该是当前反汇编窗口显示的代码所在的那一块内存区域。 想要深入研究,就去老罗那里下载源码来看吧。 http://www.luocong.com/myworks.htm |
|
[求助]载入防修改的DLL时为何在系统csrss.exe进程提示“This file is cracked.”?
关于Dll的入口点什么时候被调用,你的理解是错误的。 请看MSDN中的说明:函数原型: BOOL WINAPI DllMain( [in] HINSTANCE hinstDLL, [in] DWORD fdwReason, [in] LPVOID lpvReserved ); 看其中fdwReason参数的取值为: DLL_PROCESS_ATTACH == 1 The DLL is being loaded into the virtual address space of the current process as a result of the process starting up or as a result of a call to LoadLibrary. DLL_THREAD_ATTACH == 2 The current process is creating a new thread. When this occurs, the system calls the entry-point function of all DLLs currently attached to the process. The call is made in the context of the new thread. DLL_THREAD_DETACH == 3 A thread is exiting cleanly. DLL_PROCESS_DETACH==0 The DLL is being unloaded from the virtual address space of the calling process 对函数的描述: DllMain Callback Function An optional entry point into a dynamic-link library (DLL). When the system starts or terminates a process or thread, it calls the entry-point function for each loaded DLL using the first thread of the process. The system also calls the entry-point function for a DLL when it is loaded or unloaded using the LoadLibrary and FreeLibrary functions. 也就是说,Dll的入口点是在用户进程的上下文中执行的。它负责着初始化的重要任务,你把它改成什么都不做,自然会使某些功能失效。 |
|
[求助]linux下 运行DOS程序
要是做软件的模拟器,参考一下DOSBOX,或者干脆类似bochs这样的指令集级别的软件模拟器。 如果要想使用CPU硬件的V86模式,Linux内核已经支持CPU的V86模式,请参考DOSEMU程序以及Linux手册中关于vm86系统调用的相关知识。 http://linux.die.net/man/2/vm86 |
|
[求助]OD调试中的 Ultra String Reference问题
你要知道字符串插件搜索的原理就不会奇怪了。 它可不是暴力搜索内存来实现的。那样的话不太好判断一段内存数据到底是不是“字符串”。 它是对程序代码进行启发式搜索,碰到push/mov等指令,就检查源操作数是不是一个地址,是的话再检查那个地址处的东西看起来“像不像”一个字符串。 你在一段代码上进行分析会得出一个结果,换一段程序代码,比如打开某个dll的代码再分析,那么搜索出来的就是这个dll中引用到的字符串了。 ps.上面那篇文章是我写的。我的目的就是想教会大家使用API断点,以脱离对“字符串”的依赖。 |
|
[求助]无法脱壳
1.如果是真的ASPack壳,而不是伪装,很容易脱掉。它是压缩壳,用脚本或能用工具就行,手脱也行。请参考论坛上的资源自行解决。 2.对于加壳的程序,出现这种提示是非常正常的,点“否”,让OD继续载入即可。 3.说明程序中有调试器检测(图中示为softice)代码,下断点CreateFileA,当参数为"\\.\NTICE"时,直接让返回值EAX为0xFFFFFFFF(即INVALID_HANDLE)即可。 |
|
|
|
[求助]关于程序特定情况下启动的问题[比较麻烦]
有权限修改数据库的服务器程序没,有的话给它添加一个dll来干活。 |
|
[求助]求助求助
这里是MessageBox的wrapper函数,让这个函数先返回,再找有没有跳转 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值