新手逆向遇到的问题求解答-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
拒绝说不雪币： 51 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 0 关注私信	拒绝说不 2 楼就是初始化啊，你管它是不是0CCCCC干嘛，C语言写的，vc的Hello Word 反汇编初始化也是0CCCCC，这个是规定，不用理它，SE程序那个是系统弄的，也不用管，直接找main就 OK了 2013-9-29 14:57 0
chishubiao 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	chishubiao 3 楼有的时候还会出现 push ebp mov ebp,esp and esp,0FFFFFFF0h 或者 and esp,0FFFFFC68h或者and esp,0FFFFFFF0 这里的不同的数值到底有何意思？ 2013-9-29 15:04 0
拒绝说不雪币： 51 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 0 关注私信	拒绝说不 4 楼你可以看下函数调用原理，这个就是开辟占空间， 2013-9-29 15:09 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 5 楼 0CCCCCCCCh是有特定用处的，因为CC就是Int3指令，所以在变量空间中填写这个指令，可以尽可能的防止缓冲区溢出。如果程序执行到这里，就自动停下来，而不会再乱执行。 2013-9-29 15:12 0
拒绝说不雪币： 51 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 0 关注私信	拒绝说不 6 楼好的你说的对 2013-9-29 15:15 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 7 楼只是恰巧知道而已，还得继续学习。。 2013-9-29 15:59 0
Wadic 雪币： 242 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 78 粉丝 0 关注私信	Wadic 8 楼高手，一语中的 2013-10-25 21:58 0
pvq 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	pvq 9 楼至于 "and esp,FFFFFFF0h" 因为0xFFFFFFF0 = 11111111 11111111 11111111 11110000 这个相当于把esp的最后4个bit位清零, 也就是把stack往低地址对齐使其能够被16整除...这样对32位或者64位CPU来说，所有的的stack上的基本变量都可以一次访问到(如果地址没有对齐，那么有可能CPU需要访问两次内存来获得一个8 byte的变量) -- 这样看来，实际上将stack地址在8 byte上对齐对32位甚至64位的CPU都足够了...但是问题是对于一些 SIMD (single instruction, multiple data) 的指令规定访问的地址必须向16 byte对齐 (也就是必须被16为整除 -- 这是从指令效率的方面来设计的). 2013-11-12 14:20 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 10 楼这个可以管一下的。你知道VC里面有名的烫烫烫烫烫么。就是这货。 VC为了防溢出，对栈中申请的数据，未初始化的都由编译器初始化为0xCCCC ，如果出现未初始化使用，编译器就会检测到。然后提示用户。对应的堆中使用的是0xFEFF 2013-11-12 14:26 0
pvq 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	pvq 11 楼对, 当在heap里面分配新内存的时候，VC会对新的区域加初始化为0xCDCDCDCD， 0xCD也是中断指令(interrupt，带8位直接参数的). 这样万一程序因为什么bug执行到了这段是0xCC或者0xCD的内存，就会引发中断, 从而被你觉得奇怪的那个编译器生成的SEH 代码捕捉到，而这些生成的SEH很多时候是把发生问题处的内存内容显示出来，这样如果是0xCC的话，在中文的区域设置里面，对于MBCS字符集，就是"烫烫烫烫烫"；如果是0xCD的话，就是“屯屯屯屯屯”... 2013-11-12 14:45 0
炸鸡大侠雪币： 93 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	炸鸡大侠 12 楼你搞个Release版本的出来再调就是xor eax,eax rep stosd了. 2013-11-12 14:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
拒绝说不雪币： 51 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 0 关注私信	拒绝说不 2 楼就是初始化啊，你管它是不是0CCCCC干嘛，C语言写的，vc的Hello Word 反汇编初始化也是0CCCCC，这个是规定，不用理它，SE程序那个是系统弄的，也不用管，直接找main就 OK了 2013-9-29 14:57 0
chishubiao 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 33 粉丝 0 关注私信	chishubiao 3 楼有的时候还会出现 push ebp mov ebp,esp and esp,0FFFFFFF0h 或者 and esp,0FFFFFC68h或者and esp,0FFFFFFF0 这里的不同的数值到底有何意思？ 2013-9-29 15:04 0
拒绝说不雪币： 51 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 0 关注私信	拒绝说不 4 楼你可以看下函数调用原理，这个就是开辟占空间， 2013-9-29 15:09 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 5 楼 0CCCCCCCCh是有特定用处的，因为CC就是Int3指令，所以在变量空间中填写这个指令，可以尽可能的防止缓冲区溢出。如果程序执行到这里，就自动停下来，而不会再乱执行。 2013-9-29 15:12 0
拒绝说不雪币： 51 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 38 粉丝 0 关注私信	拒绝说不 6 楼好的你说的对 2013-9-29 15:15 0
Speeday 雪币： 458 活跃值： (306) 能力值： ( LV12，RANK：400 ) 在线值：发帖 22 回帖 353 粉丝 14 关注私信	Speeday 8 7 楼只是恰巧知道而已，还得继续学习。。 2013-9-29 15:59 0
Wadic 雪币： 242 活跃值： (112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 78 粉丝 0 关注私信	Wadic 8 楼高手，一语中的 2013-10-25 21:58 0
pvq 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	pvq 9 楼至于 "and esp,FFFFFFF0h" 因为0xFFFFFFF0 = 11111111 11111111 11111111 11110000 这个相当于把esp的最后4个bit位清零, 也就是把stack往低地址对齐使其能够被16整除...这样对32位或者64位CPU来说，所有的的stack上的基本变量都可以一次访问到(如果地址没有对齐，那么有可能CPU需要访问两次内存来获得一个8 byte的变量) -- 这样看来，实际上将stack地址在8 byte上对齐对32位甚至64位的CPU都足够了...但是问题是对于一些 SIMD (single instruction, multiple data) 的指令规定访问的地址必须向16 byte对齐 (也就是必须被16为整除 -- 这是从指令效率的方面来设计的). 2013-11-12 14:20 0
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1029 粉丝 0 关注私信	whnet 10 楼这个可以管一下的。你知道VC里面有名的烫烫烫烫烫么。就是这货。 VC为了防溢出，对栈中申请的数据，未初始化的都由编译器初始化为0xCCCC ，如果出现未初始化使用，编译器就会检测到。然后提示用户。对应的堆中使用的是0xFEFF 2013-11-12 14:26 0
pvq 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	pvq 11 楼对, 当在heap里面分配新内存的时候，VC会对新的区域加初始化为0xCDCDCDCD， 0xCD也是中断指令(interrupt，带8位直接参数的). 这样万一程序因为什么bug执行到了这段是0xCC或者0xCD的内存，就会引发中断, 从而被你觉得奇怪的那个编译器生成的SEH 代码捕捉到，而这些生成的SEH很多时候是把发生问题处的内存内容显示出来，这样如果是0xCC的话，在中文的区域设置里面，对于MBCS字符集，就是"烫烫烫烫烫"；如果是0xCD的话，就是“屯屯屯屯屯”... 2013-11-12 14:45 0
炸鸡大侠雪币： 93 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	炸鸡大侠 12 楼你搞个Release版本的出来再调就是xor eax,eax rep stosd了. 2013-11-12 14:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] 新手逆向遇到的问题求解答 0.00雪花