|
|
|
请教fly大侠,关于ESP定律的问题~!
转一篇fs0文章,可能对你理解有帮助: ======================================== 标 题:loader找OEP的原理 (757字) 发信人:fs0 时 间:2002-4-6 16:39:15 阅读次数:396 详细信息: loader通过读取被加壳程序startup时的Ebp, Esp, [Esp]值跟 该程序运行到一定地址时Ebp, Esp, [Esp]的值比较,若相等则认为该地址就是OEP。 那么我们应该在哪里停下被加壳程序去读值,而该地址又不是OEP的上一或下一地址呢。 Windows 有一API VirtualProtectEx,用来设置内存空间的某些属性,在NT下可以设上 PAGE_GUARD属性,若程序读、写、执行设了PAGE_GUARD属性的内存,就会产生一 STATUS_GUARD_PAGE_VIOLATION的异常,我们就可以利用该特性,给被加密了的程序代码 空间(我只是简单的把第一个Section认为是代码段)加上PAGE_GUARD属性,要是被加壳 程序运行该保护段的代码,而且Ebp, Esp, [Esp]跟startup时的值相等则认为该地址就是OEP。 理论上该方法可以应用到其他大多数的加壳方法上,Armadillo当然是例外(: 那么为什么该loader不能用在Aspack、upx、PECompact....上?现在什么都懒了,懒啊!! -------------------------------------------------------------------------------- 标 题:“普通程序执行前ebp指向哪里”这个问题比较专业,我也不太清楚... (334字) 发信人:fs0 时 间:2002-4-7 21:23:50 阅读次数:42 详细信息: “普通程序执行前ebp指向哪里”这个问题比较专业,我也不太清楚。 在不能十分肯定破坏被加壳程序的ebp和esp对程序有什么影响前,我想通用的加壳软件并不会贸然行事, 至少现时大多数加壳软件到达OEP时会恢复ebp, esp的值,之后的事由加壳软件的作者去想吧。 我用的是调试的方法,也初步想了一下如何反被检测到的方法,得等见到有加壳程序反调试后再加上去。 -------------------------------------------------------------------------------- |
|
|
|
|
|
[求助]配套光盘CHM文件的问题
不太清楚如何解决这问题。 |
|
|
|
我看《加密和解密》的几个问题,请老大赐教!!谢谢!!
SETGE BL //该命令是条件设置指令,若a》b,则会将BL置1. 这样就达到了根据a,b的大小,来决定bl的值。 例如,a>b时,bl=1,dec ebx指令后,ebx=0 指令and ebx,(c1-c2)执行后,ebx=0 这样最后结果就是add ebx,c2 ,为c2. CMOV1命令这样来理解,或a>b,则cmov1 ebx,c1结果取前者,否则结果取c1 |
|
|
|
Obsidium V1.1.1.4 Cracked
最初由 tDasm 发布[/QUOTE] tDasm 有点钻牛角尖了,我强调的“不欢迎直接散发好的注册机”,目的是为了保护论坛,当然主要是针对那些国产或有名气的商业软件了。 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值