那位老大，能不能给我们讲讲一个软件是怎么运行的呀！从读取硬盘数据开始。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 2 楼 1 shell调用CreateProcess 激活可执行文件.exe文件 2 WONDOWS操作系统产生一个对象(进程对象) . 3.系统为此进程建立4GB的地址空间. 4.系统加载器把必要的代码,数据.DLL都被加载,具体内容参看看学的3本书,基本都有介绍,加载依据是文件的PE文件结构. 5 系统调用C runtime函数库的Startup code(指C写的程序,其实如果是汇编程序,是在PE文件头直接对应的入口点. 6 Startup code 调用 main()函数.汇编写的程序没这个步骤. 7 程序开始运行无法在详细了.在详细就的给你挖代码给你看分析加证明了,其实资料很多的,书其实不贵,要是和我一样不吸烟,不喝酒,没女朋友,应该你买的起任何书.(_) 我不是高手,知道的越多觉得自己越无知,要是新学电脑会打字就认为自己真正精通了电脑呢. 其实要是有DOS程序编写经验的应该知道PSP(程序段前缀)的概念,也有助与理解一些概念无法在详细了 2004-12-4 11:04 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 3 楼 GOOD,支持 2004-12-4 12:58 0
fireant 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	fireant 4 楼 2004-12-4 22:46 0
luocong 雪币： 1593 活跃值： (766) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 20 关注私信	luocong 9 5 楼最初由云重发布 5 系统调用C runtime函数库的Startup code(指C写的程序,其实如果是汇编程序,是在PE文件头直接对应的入口点. 6 Startup code 调用 main()函数.汇编写的程序没这个步骤. 这是由linker生成的，而且并不是所有的C/C++编译器都会生成startup code。如果装了VC的CRT source的话，可以看看crt0.c这个文件，里面有startup code的源代码，主要是会给main()函数传递env、argc和argv三个参数，以及在最后自动调用exit()。 2004-12-4 22:53 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 6 楼我记得网上有一篇文章详细地讲述了WIN2000平台下是怎样生成一个进程的。你用WIN2000 LOADER做关键词到搜索引擎中搜索一下应该就有了，当然你还可以参考WIN2000的不完全源代码来进行更进一步的了解。 2004-12-4 22:55 0
mncoco 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mncoco 7 楼 FlyToTheSpace 老大给个罗云彬的汇编语言的下载地点 2004-12-5 01:44 0
mncoco 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mncoco 8 楼 FlyToTheSpace 老大给个罗云彬的汇编语言的下载地点我的邮箱:mncoco@eyou.com 2004-12-5 01:45 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 9 楼最初由云重发布 1 shell调用CreateProcess 激活可执行文件.exe文件 2 WONDOWS操作系统产生一个对象(进程对象) . 3.系统为此进程建立4GB的地址空间. 2, 3 应该在 1 (CreateProcess) 里完成了吧. 2004-12-5 05:45 0
越混越好雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	越混越好 10 楼好好学习好好学习好好学习好好学习 2004-12-5 13:22 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 11 楼不妨自己写个加载程序的SHELL试试:) 2004-12-5 13:37 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 12 楼呵呵,我抛块砖头就把罗聪兄这个大玉个引出来了.对罗聪兄给予的回复表示衷心感谢, simonzh2000兄说的是没错,2,3确实在CreateProcess 函数中实现,之后CreateProcess会返回 true,之后即使DLL都被加载失败也和CreateProcess没关系了.这个部分我没强调,这里也对simonzh2000兄表示感谢 2004-12-5 19:26 0
d1y2j3 雪币： 213 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	d1y2j3 13 楼随便找个监视软件看读什么写哪个位置，调API，都可以看到就是太多无关的，呵呵 2004-12-5 19:38 0
binglan212 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 241 粉丝 0 关注私信	binglan212 14 楼使用OpenFile打开exe文件，分配内存复制文件到内存中根据输入表打开dll，填写函数地址，如果自己已经打开的dll，直接把入口送给新程序。初始化寄存器及堆栈（这部分我不会）跳转到程序入口点 2004-12-5 21:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 2 楼 1 shell调用CreateProcess 激活可执行文件.exe文件 2 WONDOWS操作系统产生一个对象(进程对象) . 3.系统为此进程建立4GB的地址空间. 4.系统加载器把必要的代码,数据.DLL都被加载,具体内容参看看学的3本书,基本都有介绍,加载依据是文件的PE文件结构. 5 系统调用C runtime函数库的Startup code(指C写的程序,其实如果是汇编程序,是在PE文件头直接对应的入口点. 6 Startup code 调用 main()函数.汇编写的程序没这个步骤. 7 程序开始运行无法在详细了.在详细就的给你挖代码给你看分析加证明了,其实资料很多的,书其实不贵,要是和我一样不吸烟,不喝酒,没女朋友,应该你买的起任何书.(_) 我不是高手,知道的越多觉得自己越无知,要是新学电脑会打字就认为自己真正精通了电脑呢. 其实要是有DOS程序编写经验的应该知道PSP(程序段前缀)的概念,也有助与理解一些概念无法在详细了 2004-12-4 11:04 0
kyc 雪币： 389 活跃值： (912) 能力值： ( LV9，RANK：770 ) 在线值：发帖 43 回帖 550 粉丝 2 关注私信	kyc 19 3 楼 GOOD,支持 2004-12-4 12:58 0
fireant 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 47 粉丝 0 关注私信	fireant 4 楼 2004-12-4 22:46 0
luocong 雪币： 1593 活跃值： (766) 能力值： ( LV13，RANK：370 ) 在线值：发帖 20 回帖 275 粉丝 20 关注私信	luocong 9 5 楼最初由云重发布 5 系统调用C runtime函数库的Startup code(指C写的程序,其实如果是汇编程序,是在PE文件头直接对应的入口点. 6 Startup code 调用 main()函数.汇编写的程序没这个步骤. 这是由linker生成的，而且并不是所有的C/C++编译器都会生成startup code。如果装了VC的CRT source的话，可以看看crt0.c这个文件，里面有startup code的源代码，主要是会给main()函数传递env、argc和argv三个参数，以及在最后自动调用exit()。 2004-12-4 22:53 0
采臣·宁雪币： 154 活跃值： (216) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 6 楼我记得网上有一篇文章详细地讲述了WIN2000平台下是怎样生成一个进程的。你用WIN2000 LOADER做关键词到搜索引擎中搜索一下应该就有了，当然你还可以参考WIN2000的不完全源代码来进行更进一步的了解。 2004-12-4 22:55 0
mncoco 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mncoco 7 楼 FlyToTheSpace 老大给个罗云彬的汇编语言的下载地点 2004-12-5 01:44 0
mncoco 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mncoco 8 楼 FlyToTheSpace 老大给个罗云彬的汇编语言的下载地点我的邮箱:mncoco@eyou.com 2004-12-5 01:45 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 9 楼最初由云重发布 1 shell调用CreateProcess 激活可执行文件.exe文件 2 WONDOWS操作系统产生一个对象(进程对象) . 3.系统为此进程建立4GB的地址空间. 2, 3 应该在 1 (CreateProcess) 里完成了吧. 2004-12-5 05:45 0
越混越好雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	越混越好 10 楼好好学习好好学习好好学习好好学习 2004-12-5 13:22 0
RoBa 雪币： 519 活跃值： (1223) 能力值： ( LV12，RANK：650 ) 在线值：发帖 75 回帖 857 粉丝 9 关注私信	RoBa 16 11 楼不妨自己写个加载程序的SHELL试试:) 2004-12-5 13:37 0
云重雪币： 213 活跃值： (96) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 258 粉丝 1 关注私信	云重 1 12 楼呵呵,我抛块砖头就把罗聪兄这个大玉个引出来了.对罗聪兄给予的回复表示衷心感谢, simonzh2000兄说的是没错,2,3确实在CreateProcess 函数中实现,之后CreateProcess会返回 true,之后即使DLL都被加载失败也和CreateProcess没关系了.这个部分我没强调,这里也对simonzh2000兄表示感谢 2004-12-5 19:26 0
d1y2j3 雪币： 213 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	d1y2j3 13 楼随便找个监视软件看读什么写哪个位置，调API，都可以看到就是太多无关的，呵呵 2004-12-5 19:38 0
binglan212 雪币： 245 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 241 粉丝 0 关注私信	binglan212 14 楼使用OpenFile打开exe文件，分配内存复制文件到内存中根据输入表打开dll，填写函数地址，如果自己已经打开的dll，直接把入口送给新程序。初始化寄存器及堆栈（这部分我不会）跳转到程序入口点 2004-12-5 21:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复