|
[求助]请英文达人帮助翻译这句话...
这个,,,直接找谷歌问就行了嘛,,, 我就简单帮忙一下吧,以后可要学会自己先动手找答案,不要总指望别人。 这句话是: 输入的数值不在该文件的有效地址范围之内。 简单说就是,你的输入不合法。 |
|
[原创]女人是不是不适合学逆向啊
我在15楼说这贴肯定得移,写了一会程序上来一看,果然移了。。。 |
|
|
|
|
|
[原创]女人是不是不适合学逆向啊
哦,我忽然想起说 逆的基础是正 不要走错方向,否则事倍而功半。 如果没有扎实的编程功底,你就不可能把隐藏在成千上万条汇编指令当中的算法读懂。 如果想通过学几天汇编指令,就能学会逆向工程,那是不现实的。 说实话,单就汇编指令来说,实际是非常简单的。给你一个add,谁都知道这是做加法。 但即使是一个简单的算法,也会有许多许多的汇编指令。如果不能从整体上进行把握,就永远学不会。 |
|
|
|
[求助]请问 ,我要检测某程序是否在运行应该怎么判断?
其实乌龟大师给出的办法是非常优雅的。 既然它标题也变,程序名也变,我们总要找它不变的地方。 程序本身不会变。 所以,我们就搜索程序代码中的特征码。 枚举所有进程,找到程序加载基址(多数情况下可以硬编码为0x400000),然后ReadProcessMemory,寻找它的特征,或者求hash值,来进行比较。 比较可行的方法,应该是到数据区,特定的程序所使用的特定常量,位于特定的地址。 另一个思路是从进程中取得它可执行文件的全路径,然后直接对文件进行判断,比如hash比较和文件大小比较等。 |
|
[求助]请问 ,我要检测某程序是否在运行应该怎么判断?
是类名,不是标题。 我上面也说过了,有的程序确实会用动态地类名,目的就是防止检测,比如pfj的IS。不过IS即使检测到了,你也无法在ring3下结束它。 如果真碰上厉害的防止检测的程序,只能用一些人工智能的方法。不过只是想法而已,我没试过。 |
|
[求助]请问 ,我要检测某程序是否在运行应该怎么判断?
请仔细阅读我的回复,我已经说过了,通常的程序可以通过窗口类的名称来判断。 就提示到这时。具体实现方法请自己查资料。 PS.如果你是想对安全软件下手,请学习内核技术。基本所有的安全软件都无法在ring3下结束,当然少数存在漏洞的除外。 |
|
[求助]溢出问题,都说这个系统DLL的地址,怎不知道是哪个系统DLL的地址呢?谢谢
位于0x7ffa0000处的内存映射页面,是windows的系统数据页面,并不属于任何一个系统dll 这部分的数据,在Windows系统中,每个进程的PEB中的两个指针都指向它,从这两个指针的名字可以知道这部分数据的作用,显然它在同一个语言的所有版本的系统中都应该一致的。 至于jmp esp,则是故意从中找出来的。因为这片数据是用来做编码转换的,所以实际上几乎可以从中找到任意的”双字节指令“的机器码。 对了,指向这片内存的指针是: void *AnsiCodePageData; void *OemCodePageData; |
|
[求助]请问 ,我要检测某程序是否在运行应该怎么判断?
rxzcums提到的方法是对于自己编写的程序,如何让它单实例运行。 关于这个,王艳平《Windows程序设计》中讲到过几种方法。我最乐于使用的方法是使用命名互斥量来实现。 如果你是在判断第三方的程序是否在运行,那就稍微麻烦点。通常情况下,比较稳妥的办法是对程序主窗口的窗口类名进行判断。 但我说了,通常情况是可以的,因为一般人写程序,不管是SDK还是其它类库,通常使用常量作为窗口类名。 一个最常见的”非一般情况“,比如pjf的IS,它的窗口类名是随机生成的,就是为了防止有人用此方法来查找。 |
|
[求助][求助]一个游戏外挂[ASProtect 2.1x SKE ]脱壳后运行无反应。
外挂的东西最好不要公开讨论它。 一般外挂的作者可都是逆向的高人。 你的问题 可能原因1. 剪切掉的函数是程序中使用的。不能随便剪切,请手动跟踪修复。 可能原因2. 程序没反应是存在自校验。找到它,修改它。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值