能力值:
( LV2,RANK:10 )
|
-
-
26 楼
P134 L7 D1
反馈者:senhuxi
原文:按F8键来到实例代码中
更正:按CTRL+F9键来到实例代码中(如果调试设置没设好,还需按个F8键)
|
能力值:
( LV2,RANK:10 )
|
-
-
27 楼
P45 L-2 D1
反馈者:hdy981
原文:intel
更正:Intel
|
能力值:
( LV12,RANK:441 )
|
-
-
28 楼
P27 L7,D1
反馈者:yangjt
原文:单击一次ZF的值取反
更正:双击一次ZF的值取反
|
能力值:
( LV2,RANK:10 )
|
-
-
29 楼
PⅤ L9 D1
反馈者: ddstrg
原文: 我并不是读书感兴趣
更正: 我并不是读书不感兴趣
|
能力值:
( LV12,RANK:441 )
|
-
-
30 楼
反馈者:yangjt
P23 L2,D1
原文:会返回到4013FA这句
更正:会返回到4013FF这句
P37 L2,D1
原文:弹出时从堆栈窗口中看到的
更正:中断时从堆栈窗口中看到的
P37 L6,D1
原文:要得到第一个参数的值
更正:要得到第一个参数的内存地址
|
能力值:
( LV2,RANK:10 )
|
-
-
31 楼
P284 图10.17 D1
反馈者:青枫
原文:阴影部分从00002000开始
更正:阴影部分应从offset00002010开始选择
(因为下文给出的是第一个IID的IAT,个人认为图中应该跟下文一样,只划出第一个IAT的地址。)
|
能力值:
( LV12,RANK:441 )
|
-
-
32 楼
反馈者:yangjt
P44 L4,D1
原文:这类语言的变异后程序
更正:用这类语言编写的程序编译后
p.s.读起来感觉怪怪的……建议这样改 P44 L-12,D1
原文:能检测大多数编译语言、 病毒……
如果PEiD能检测病毒……那生产卡巴斯基的厂家就该破产了 P45 L5,D1
原文:……
更正:XP的SendTo路径是 X:\Documents and Settings\[当前用户名]\SendTo
P62 L8,D1
原文:FLAIR的意思……标记它。
建议:搬到下一页第二行上……因为这一页没有引入FLAIR的概念……容易让人摸不着头脑……
P80 L4,D1
原文:将参数 b的值
更正:将参数 a的值
P.s.两个b了哦~~ 
|
能力值:
( LV2,RANK:10 )
|
-
-
33 楼
P9 L31 D7
反馈者:askyer
原文:当一个窗口被破坏时发送
建议更正:当一个窗口被销毁时发送
|
能力值:
( LV2,RANK:10 )
|
-
-
34 楼
P5 L-1,L-2 D1/D2
反馈者:kmlch
原文:Memcpy
更正:memcpy
这里根本没找到..大小写好象无关吧也
|
能力值:
( LV2,RANK:10 )
|
-
-
35 楼
P80 L4,D1
原文:将参数b的值
更正:将参数a的值 哥们这里没说清楚吧.改哪句 0040104A 改为a吗
|
能力值:
( LV12,RANK:441 )
|
-
-
36 楼
反馈者:yangjt
P83 L5,D1
原文:基址 加上某变量
更正:基址 加变址寻址
p.s.也有基址加变量寻址? 
P83 L-3,D1
原文:如果一个数是2的幂
p.s.想必看雪老师写的时候把乘法当成除法了,不过末位二进制是不是1好像不会影响到shl指令…… 
P95 L7,D1
原文:n是基数2的指数
具体的来说……n是基数2的指数的时候不溢出,而不是指数的时候溢出……所以是不是好像都可以,而且这句话读起来怪怪的,n不是移位次数吗? 
P96 L5,D1
原文:若EAX寄存器的最高位是1
更正:若EAX寄存器的 二进制最高有效位是1
好几处……最高位是X可不行……得二进制最高有效位是X才可以…… 
P104-105 LN,D1
原文: Hmemcpy
更改: hmemcpy
P107 L-3,D1
原文:字符 大于A?
更正:字符 小于A?
P115 L3,D1
原文:输入修改改指令“Jmp 4010C6”
p.s.此乃死循环也……
P115 L7,D1
原文:eb00
p.s.相当于没有改……跳过本条指令,跑到下一跳执行……
啊……看到116页了……好累啊……
写几天作业去……这几天搞的眼睛都快瞎掉了……
|
能力值:
( LV7,RANK:100 )
|
-
-
37 楼
P264 L13(从10.1.1标题处开始计行) D1
反馈者:usufu
原文:在32位Windows系统中,以为不存在共享地址空间,所以已用程序无需加以区别。
更正:在32位Windows系统中,已经不存在共享地址空间,所以已用程序无需加以区别。
P288 L16 D1
原文:即输入表在内存中偏移4000h的地方。
更正:即输出表在内存中偏移4000h的地方。
P参考文献 L-8 D1
原文:扬季文.80X86汇编语言程序设计教程
更正:杨季文.80X86汇编语言程序设计教程
PS:把人家的名字写错不太好吧。
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
P288 L-2 D1
反馈者:senhuxi
原文:文件偏移0C00h处是输出表内容,具体如图10.21所示。
更正:(这句话没问题,是图10.21有问题)图10.21“Offset"用的是10进制表示
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
P81 L13 D1
反馈者:Gruuuuubby
原文:0040101B puash ecx
更正:0040101B push ecx
|
能力值:
(RANK:350 )
|
-
-
40 楼
书里FlagData与DWORD之间还是有点空隙,排版细节还不是太完美,使得两个单词太紧凑。
这里没错,是指控制台(CUI)程序。
感谢!这是勘误的勘误了。;)
感谢,22楼 家有睡神 己反馈。
这里要表达的意思“按F8键单步跟踪来到实例代码中”
这图主要是说明FirstThunk指向的数据己改变。第一个IID的IAT位置,在图随后的文字己说明。
可检测的,只是没专业查杀病毒软件准和广。
书中原文“用两个字节替换掉,如9090或eb00”
这里机器码9090和eb00执行效果一样的。
9090是
nop
nop
eb00相当于:
00401000 /EB 00 jmp short 00401002
00401002
senhuxi 己反馈。
没有严格描述,这里只是说明一下这句指令的功能判断字符是不是大于A
感觉“若EAX寄存器的最高位是1”能让大家理解。
|
能力值:
( LV2,RANK:10 )
|
-
-
41 楼
P60 L-1 D1
原文:。。。。功能就是将40011AB到4011C3之间的。。。。。。。。
更正:。。。。功能就是将4011AB到4011C3之间的。。。。。。。。
我也不知是不是错误啊
|
能力值:
( LV2,RANK:10 )
|
-
-
42 楼
P136 L21 D1
反馈者:lizaixue
原文:其设计时基于和MD4相同的原理
更正:其设计是基于和MD4相同的原理
|
能力值:
( LV4,RANK:50 )
|
-
-
43 楼
P516 L- 9 D1
原文:执行这句后,ebp=401005h
更正:执行这句后,edx=401005h
P516 L- 10 D1
原文:执行这句后,ebp=401005h
更正:执行这句后,edx=401000h
P266 L- 3 D1
原文:MAGE_NT_SIGNATURE
更正:IMAGE_NT_SIGNATURE
|
能力值:
( LV2,RANK:10 )
|
-
-
44 楼
P43 L-17 D2
反馈者:XLSDG
原文:OllDbg出会现假死现像
更正:OllDbg会出现假死现象
|
能力值:
( LV2,RANK:10 )
|
-
-
45 楼
P106 L-18
原文:004011E5 E8 56010000 call 00401340 ;进入子程序(keymakep设置第一次中断地址)
keymakep也该去掉p吧。
|
能力值:
( LV2,RANK:10 )
|
-
-
46 楼
P432 L5 D1
原文:这段代码恢复了Rizng 3级对ntdll.dll
更正:这段代码恢复了Ring 3级对ntdll.dll
|
能力值:
( LV2,RANK:10 )
|
-
-
47 楼
P76 L4 D1
反馈者:我晕了
原文:再将Par1压进栈,此时esp为K-8h;
更正:再将Par1压进栈,此时esp为K-08h;
|
能力值:
( LV2,RANK:10 )
|
-
-
48 楼
P74 L-3 D1
反馈者:sylingyy
原文:堆栈操作的对象只能是字操作数(占4个字节)
更正:堆栈操作的对象只能是双字操作数(占4个字节)
|
能力值:
( LV2,RANK:10 )
|
-
-
49 楼
P85 L6 D1
反馈者:sylingyy
原文:4050A0h是CSum类虚函数表的指针(VTBL)
更正:4050A0h是CSum类虚函数表的指针(VPTR)
|
能力值:
( LV12,RANK:441 )
|
-
-
50 楼
反馈者:yangjt
P212 L4,D1
原文:- - 一个箭头
更正:应该指向0012F494
|
|
|
|
