[Anti Virus专题]1.2 - 2.kernel32基地址获得-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (86) ◀ 1 2 3 4
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 11 关注私信	yangbostar 4 2010-11-18 14:14 76 楼 0 cmp word ptr[edx],'MZ' 这句写错了，因为Z在高地址，M在低地址，所以当以双字节读取时应写为'ZM'
李菱雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	李菱 2011-1-20 09:20 77 楼 0 谢谢楼主的总结，正好在看这方面的资料。
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 2011-1-21 10:21 78 楼 0 顶一下。学习。收藏
victorm 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	victorm 2011-2-21 11:05 79 楼 0 学习了，谢谢xfish~
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 554 粉丝 25 关注私信	qyc 4 2011-3-24 21:51 80 楼 0 谢谢xfish，对PEB有一定了解了
sanmaoban 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	sanmaoban 2011-5-10 00:07 81 楼 0 我是菜鸟 dec edx ; xor dx, dx ; 减去跨度 edx减一后不就是低位减一吗然后又xor dx，dx又把低位清零了那岂不是没变化搜索比较次数还是一样多效率怎么提高呢很费解望哥哥姐姐们指教
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 2011-5-12 15:51 82 楼 0 假设：edx = 0x77889900 第一次： dec edx ; edx = 0x778898ff xor edx, edx; edx = 0x77880000 第二次： dec edx ; edx = 0x7787ffff xor edx, edx; edx = 0x77870000, 跨度正好是0x10000，64k 此处是否也有笔误（第二种方法）： GetKrnlBase2: mov edx, [fs:0] .Next: inc dword [edx] jz .Krnl dec dword [edx] mov edx, [edx] jmp .Next .Krnl: dec dword [edx] mov edx, [edx+4] .Loop: cmp word [edx], 'MZ' jz .IsPe dec edx xor dx, dx jmp .Loop .IsPe: mov eax, [edx+3ch] cmp word [eax+edx], 'PE' jnz .Next ；应该jnz .loop 处 xchg eax, edx ret
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 2011-5-12 15:51 83 楼 0 假设：edx = 0x77889900 第一次： dec edx ; edx = 0x778898ff xor edx, edx; edx = 0x77880000 第二次： dec edx ; edx = 0x7787ffff xor edx, edx; edx = 0x77870000, 跨度正好是0x10000，64k 此处是否也有笔误（第二种方法）： GetKrnlBase2: mov edx, [fs:0] .Next: inc dword [edx] jz .Krnl dec dword [edx] mov edx, [edx] jmp .Next .Krnl: dec dword [edx] mov edx, [edx+4] .Loop: cmp word [edx], 'MZ' jz .IsPe dec edx xor dx, dx jmp .Loop .IsPe: mov eax, [edx+3ch] cmp word [eax+edx], 'PE' jnz .Next ；应该jnz .loop 处 xchg eax, edx ret
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 2011-5-12 15:53 84 楼 0 不好意思，举的例子是“xor dx, dx”
Gall 雪币： 156 活跃值： (190) 能力值： ( LV7，RANK：110 ) 在线值：发帖 24 回帖 99 粉丝 0 关注私信	Gall 2011-6-29 15:55 85 楼 0 顶一下，
tvman 雪币： 711 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 1 关注私信	tvman 2011-7-1 11:44 86 楼 0 很好。谢谢楼主
莫子雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	莫子 2011-7-1 15:05 87 楼 0 mark下下次看。。！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (86) ◀ 1 2 3 4
yangbostar 雪币： 431 活跃值： (259) 能力值： ( LV9，RANK：230 ) 在线值：发帖 20 回帖 139 粉丝 11 关注私信	yangbostar 4 2010-11-18 14:14 76 楼 0 cmp word ptr[edx],'MZ' 这句写错了，因为Z在高地址，M在低地址，所以当以双字节读取时应写为'ZM'
李菱雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	李菱 2011-1-20 09:20 77 楼 0 谢谢楼主的总结，正好在看这方面的资料。
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 2011-1-21 10:21 78 楼 0 顶一下。学习。收藏
victorm 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	victorm 2011-2-21 11:05 79 楼 0 学习了，谢谢xfish~
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 554 粉丝 25 关注私信	qyc 4 2011-3-24 21:51 80 楼 0 谢谢xfish，对PEB有一定了解了
sanmaoban 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	sanmaoban 2011-5-10 00:07 81 楼 0 我是菜鸟 dec edx ; xor dx, dx ; 减去跨度 edx减一后不就是低位减一吗然后又xor dx，dx又把低位清零了那岂不是没变化搜索比较次数还是一样多效率怎么提高呢很费解望哥哥姐姐们指教
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 2011-5-12 15:51 82 楼 0 假设：edx = 0x77889900 第一次： dec edx ; edx = 0x778898ff xor edx, edx; edx = 0x77880000 第二次： dec edx ; edx = 0x7787ffff xor edx, edx; edx = 0x77870000, 跨度正好是0x10000，64k 此处是否也有笔误（第二种方法）： GetKrnlBase2: mov edx, [fs:0] .Next: inc dword [edx] jz .Krnl dec dword [edx] mov edx, [edx] jmp .Next .Krnl: dec dword [edx] mov edx, [edx+4] .Loop: cmp word [edx], 'MZ' jz .IsPe dec edx xor dx, dx jmp .Loop .IsPe: mov eax, [edx+3ch] cmp word [eax+edx], 'PE' jnz .Next ；应该jnz .loop 处 xchg eax, edx ret
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 2011-5-12 15:51 83 楼 0 假设：edx = 0x77889900 第一次： dec edx ; edx = 0x778898ff xor edx, edx; edx = 0x77880000 第二次： dec edx ; edx = 0x7787ffff xor edx, edx; edx = 0x77870000, 跨度正好是0x10000，64k 此处是否也有笔误（第二种方法）： GetKrnlBase2: mov edx, [fs:0] .Next: inc dword [edx] jz .Krnl dec dword [edx] mov edx, [edx] jmp .Next .Krnl: dec dword [edx] mov edx, [edx+4] .Loop: cmp word [edx], 'MZ' jz .IsPe dec edx xor dx, dx jmp .Loop .IsPe: mov eax, [edx+3ch] cmp word [eax+edx], 'PE' jnz .Next ；应该jnz .loop 处 xchg eax, edx ret
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 2011-5-12 15:53 84 楼 0 不好意思，举的例子是“xor dx, dx”
Gall 雪币： 156 活跃值： (190) 能力值： ( LV7，RANK：110 ) 在线值：发帖 24 回帖 99 粉丝 0 关注私信	Gall 2011-6-29 15:55 85 楼 0 顶一下，
tvman 雪币： 711 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 1 关注私信	tvman 2011-7-1 11:44 86 楼 0 很好。谢谢楼主
莫子雪币： 42 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 46 粉丝 0 关注私信	莫子 2011-7-1 15:05 87 楼 0 mark下下次看。。！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复