P254困惑的地方-《加密与解密(第4版)》-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
hying 雪币： 241 活跃值： (21) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 103 粉丝 4 关注私信	hying 2 楼第一个PUSH EAX和下面的POP EDX是对应的,存放的都是申请的空间, 因为解压过程会破坏EAX的内容,所以先入栈保存,然后再恢复. 把代码解压到那以后,跳过去执行. 2004-9-7 10:01 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 3 楼谢谢！也就是说 push eax push ebx 在call _aP_depack_asm 中释放了？ 2004-9-7 13:26 0
hying 雪币： 241 活跃值： (21) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 103 粉丝 4 关注私信	hying 4 楼那是_aP_depack_asm的2个参数,_aP_depack_asm是自平衡堆栈的 2004-9-7 17:28 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 5 楼 fuapfdw_isNT: mov eax, [eax+0ch] mov eax, [eax+0ch] ；指向InLoadOrderModuleList处 mov dword ptr [eax+20h], 1000h ；可是这句是什么作用？ jmp fuapfdw_finished 附录： struct _PEB_LDR_DATA 。。。 +0x00c InLoadOrderModuleList : struct _LIST_ENTRY, 2 elements, 0x8 bytes 。。。 2004-9-9 11:11 0
hying 雪币： 241 活跃值： (21) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 103 粉丝 4 关注私信	hying 6 楼 typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList; // +0x00 LIST_ENTRY InMemoryOrderModuleList; // +0x08 LIST_ENTRY InInitializationOrderModuleList; // +0x10 PVOID BaseAddress; // +0x18 PVOID EntryPoint; // +0x1c ULONG SizeOfImage; // +0x20 //注意这个. UNICODE_STRING FullDllName; // +0x24 UNICODE_STRING BaseDllName; // +0x2c ULONG Flags; // +0x34 SHORT LoadCount; // +0x38 SHORT TlsIndex; // +0x3a LIST_ENTRY HashTableEntry; // +0x3c ULONG TimeDateStamp; // +0x44 // +0x48 } LDR_MODULE, *PLDR_MODULE; 详细资料看这 http://www.nsfocus.net/index.php?act=magazine&do=view&mid=2002 2004-9-9 12:32 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 7 楼 ;*******压缩 mov eax,ShellSize_NoPack mov edx, 9 ;下面几句的原理是什么？即为何是9 ，3，16等数字 mul edx shr eax,3 add eax,16 mov MEMSize,eax ;计算需要占用的内存空间 invoke VirtualAlloc, NULL, eax, MEM_COMMIT, PAGE_READWRITE mov MEM, eax invoke aP_pack,ShellBufferMap,MEM,ShellSize_NoPack,lpPackBuffer,0 谢谢 2004-9-22 09:41 0
hying 雪币： 241 活跃值： (21) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 103 粉丝 4 关注私信	hying 8 楼这几个数字应该和APLIB压缩后文件存储的格式有关，具体不是很清楚。这段计算实际上APLIB库里已经提供了一个函数进行类似的处理。 2004-9-24 18:59 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 9 楼我效仿写了个十分简单的加壳程序，但是不知道错在哪里？请高手帮我检查和调试一下代码。谢谢了。 http://www.ksaiy.com/bbs/upload/4/2004927175236_SafeSoftExe.jpeg 请选择另存为。。。，然后把后缀jpeg改为.rar,解压缩即可 2004-10-8 16:41 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 10 楼希望有人能够解答 2004-10-10 16:34 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 11 楼希望有人能够帮忙看看 2004-10-10 16:35 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 12 楼请帮忙找一下我的错误在哪里 2004-10-16 21:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
hying 雪币： 241 活跃值： (21) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 103 粉丝 4 关注私信	hying 2 楼第一个PUSH EAX和下面的POP EDX是对应的,存放的都是申请的空间, 因为解压过程会破坏EAX的内容,所以先入栈保存,然后再恢复. 把代码解压到那以后,跳过去执行. 2004-9-7 10:01 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 3 楼谢谢！也就是说 push eax push ebx 在call _aP_depack_asm 中释放了？ 2004-9-7 13:26 0
hying 雪币： 241 活跃值： (21) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 103 粉丝 4 关注私信	hying 4 楼那是_aP_depack_asm的2个参数,_aP_depack_asm是自平衡堆栈的 2004-9-7 17:28 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 5 楼 fuapfdw_isNT: mov eax, [eax+0ch] mov eax, [eax+0ch] ；指向InLoadOrderModuleList处 mov dword ptr [eax+20h], 1000h ；可是这句是什么作用？ jmp fuapfdw_finished 附录： struct _PEB_LDR_DATA 。。。 +0x00c InLoadOrderModuleList : struct _LIST_ENTRY, 2 elements, 0x8 bytes 。。。 2004-9-9 11:11 0
hying 雪币： 241 活跃值： (21) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 103 粉丝 4 关注私信	hying 6 楼 typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList; // +0x00 LIST_ENTRY InMemoryOrderModuleList; // +0x08 LIST_ENTRY InInitializationOrderModuleList; // +0x10 PVOID BaseAddress; // +0x18 PVOID EntryPoint; // +0x1c ULONG SizeOfImage; // +0x20 //注意这个. UNICODE_STRING FullDllName; // +0x24 UNICODE_STRING BaseDllName; // +0x2c ULONG Flags; // +0x34 SHORT LoadCount; // +0x38 SHORT TlsIndex; // +0x3a LIST_ENTRY HashTableEntry; // +0x3c ULONG TimeDateStamp; // +0x44 // +0x48 } LDR_MODULE, *PLDR_MODULE; 详细资料看这 http://www.nsfocus.net/index.php?act=magazine&do=view&mid=2002 2004-9-9 12:32 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 7 楼 ;*******压缩 mov eax,ShellSize_NoPack mov edx, 9 ;下面几句的原理是什么？即为何是9 ，3，16等数字 mul edx shr eax,3 add eax,16 mov MEMSize,eax ;计算需要占用的内存空间 invoke VirtualAlloc, NULL, eax, MEM_COMMIT, PAGE_READWRITE mov MEM, eax invoke aP_pack,ShellBufferMap,MEM,ShellSize_NoPack,lpPackBuffer,0 谢谢 2004-9-22 09:41 0
hying 雪币： 241 活跃值： (21) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 103 粉丝 4 关注私信	hying 8 楼这几个数字应该和APLIB压缩后文件存储的格式有关，具体不是很清楚。这段计算实际上APLIB库里已经提供了一个函数进行类似的处理。 2004-9-24 18:59 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 9 楼我效仿写了个十分简单的加壳程序，但是不知道错在哪里？请高手帮我检查和调试一下代码。谢谢了。 http://www.ksaiy.com/bbs/upload/4/2004927175236_SafeSoftExe.jpeg 请选择另存为。。。，然后把后缀jpeg改为.rar,解压缩即可 2004-10-8 16:41 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 10 楼希望有人能够解答 2004-10-10 16:34 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 11 楼希望有人能够帮忙看看 2004-10-10 16:35 0
cyliu 雪币： 296 活跃值： (20) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 62 粉丝 0 关注私信	cyliu 1 12 楼请帮忙找一下我的错误在哪里 2004-10-16 21:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复