能力值:
( LV12,RANK:450 )
|
-
-
2 楼
好东西。。上次泄露的时候刚好高考。。没有收藏。。
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
已经下载,解压缩了,强烈希望有牛人来指导怎么看
ntos的ke与dll中有大量与intel平台相关的汇编代码,
昨天看了几篇高人的相关文章,学习中!~~~~
BTW:上面两组地址是一样的,由于是转贴,照搬来了
|
能力值:
( LV4,RANK:50 )
|
-
-
4 楼
强贴必留名,我顶
|
能力值:
( LV10,RANK:170 )
|
-
-
5 楼
推荐最佳阅读工具Source Insight 3
|
能力值:
( LV4,RANK:50 )
|
-
-
6 楼
目前脱壳论坛中讨论了TLS对壳的影响,看汇编代码哪有看C代码来得舒服!
汇编代码:
7C95B444 56 PUSH ESI
7C95B445 50 PUSH EAX
7C95B446 57 PUSH EDI
7C95B447 68 E4B4957C PUSH ntdll.7C95B4E4 ; ASCII "LDR: Tls Callbacks Found. Imagebase %p Tls %p CallBacks %p
"
7C95B44C E8 9F4FFFFF CALL ntdll.DbgPrint
7C95B451 83C4 10 ADD ESP,10
7C95B454 ^E9 BCD0FEFF JMP ntdll.7C948515
7C95B459 8945 E4 MOV DWORD PTR SS:[EBP-1C],EAX
7C95B45C 83C6 04 ADD ESI,4
7C95B45F 8975 E0 MOV DWORD PTR SS:[EBP-20],ESI
7C95B462 381D 21C1997C CMP BYTE PTR DS:[7C99C121],BL
7C95B468 74 0F JE SHORT ntdll.7C95B479
7C95B46A 50 PUSH EAX
7C95B46B 57 PUSH EDI
7C95B46C 68 20B5957C PUSH ntdll.7C95B520 ; ASCII "LDR: Calling Tls Callback Imagebase %p Function %p
"
7C95B471 E8 7A4FFFFF CALL ntdll.DbgPrint
7C95B476 83C4 0C ADD ESP,0C
7C95B479 53 PUSH EBX
7C95B47A FF75 0C PUSH DWORD PTR SS:[EBP+C]
7C95B47D 57 PUSH EDI
7C95B47E FF75 E4 PUSH DWORD PTR SS:[EBP-1C]
7C95B481 E8 0D5DFCFF CALL ntdll.7C921193
7C95B486 ^E9 8AD0FEFF JMP ntdll.7C948515
NT4.0中TLS处理相关源代码:
VOID
LdrpCallTlsInitializers(
PVOID DllBase,
ULONG Reason
)
{
PIMAGE_TLS_DIRECTORY TlsImage;
ULONG TlsSize;
PIMAGE_TLS_CALLBACK *CallBackArray;
PIMAGE_TLS_CALLBACK InitRoutine;
TlsImage = (PIMAGE_TLS_DIRECTORY)RtlImageDirectoryEntryToData(
DllBase,
TRUE,
IMAGE_DIRECTORY_ENTRY_TLS,
&TlsSize
);
try {
if ( TlsImage ) {
CallBackArray = TlsImage->AddressOfCallBacks;
if ( CallBackArray ) {
if (ShowSnaps) {
DbgPrint( "LDR: Tls Callbacks Found. Imagebase %lx Tls %lx CallBacks %lx\n",
DllBase,
TlsImage,
CallBackArray
);
}
while(*CallBackArray){
InitRoutine = *CallBackArray++;
if (ShowSnaps) {
DbgPrint( "LDR: Calling Tls Callback Imagebase %lx Function %lx\n",
DllBase,
InitRoutine
);
}
#if defined (WX86)
if (!Wx86CurrentTib() ||
LdrpRunWx86DllEntryPoint(
(PDLL_INIT_ROUTINE)InitRoutine,
NULL,
DllBase,
Reason,
NULL
) == STATUS_IMAGE_MACHINE_TYPE_MISMATCH)
#endif
{
(InitRoutine)(DllBase,Reason,0);
}
}
}
}
}
except (EXCEPTION_EXECUTE_HANDLER) {
;
}
}
|
能力值:
( LV9,RANK:170 )
|
-
-
7 楼
好东西,支持!!
|
能力值:
( LV9,RANK:810 )
|
-
-
8 楼
倒。这东西怎么又出来了
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
万分感谢,我找了很久了
|
能力值:
(RANK:1010 )
|
-
-
10 楼
好东西!
以前一直找不到好用的链接。。。
大牛门,指点下,该怎么来看。。。
平均每个文件看懂的不到10%
|
能力值:
( LV12,RANK:660 )
|
-
-
11 楼
最初由 doskey 发布 推荐最佳阅读工具Source Insight 3
强烈推荐! 有需要keygen的跟我联系啊,呵呵~
|
能力值:
( LV4,RANK:50 )
|
-
-
12 楼
是好东西,不过看起来,工作的时间又紧。烦
|
能力值:
( LV6,RANK:90 )
|
-
-
13 楼
顶
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
呵呵,不是全的吧
速度 4/5xxkb每秒
小b??
|
能力值:
( LV4,RANK:50 )
|
-
-
15 楼
不错 谢谢提供下载地址 学校不能用P2P工具下载 HTTP太好了
|
能力值:
(RANK:10 )
|
-
-
16 楼
不顶我就不是人了。真是好东西啊
|
能力值:
( LV13,RANK:330 )
|
-
-
17 楼
强烈支持楼主
|
能力值:
( LV2,RANK:10 )
|
-
-
18 楼
谢谢!thank!
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
好东西,谢谢楼主。
是我的机器有问题?
咔吧司机报告了有很多病毒的说,不知道大家呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
好东西,先顶
|
能力值:
( LV2,RANK:10 )
|
-
-
21 楼
谢谢分享!
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
强烈支持,希望以后能看懂:)
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
好 谢谢楼主 这个链接的速度非常快
|
能力值:
( LV2,RANK:10 )
|
-
-
24 楼
study
|
能力值:
( LV2,RANK:10 )
|
-
-
25 楼
谢谢楼主,上次在别的地方下,没有下成功啊,
呵呵&&
|
|
|