搜索结果
查询Tags标签: DWORD,共有 97条记录-
反调试——7——CRC检测
反调试——7——CRC检测CRC32:CRC的全称是循环冗余校验,作用是为了检测数据的完整性。 CRC32的检测原理:程序被编译后,代码段是固定的,因为已经被写死了。我们在调试程序的时候,打断点或者修改代码都会影响CRC32的值,这个时候只需要检测CRC32的某一时刻值和最初的CR…
2021/10/9 23:40:40 人评论 次浏览 -
c++虚继承汇编及内存布局分析(基于visual studio 2019)
汇编指令说明:1 LEA 取有效地址指令 (Load Effective Address )指令格式:LEA 目的,源指令功能:取源操作数地址的偏移量,并把它传送到目的操作数所在的单元。LEA 指令要求原操作数必须是存储单元,而且目的操作数必须是一个除段寄存器之外的16位或32位寄存器。当目的…
2021/10/1 7:44:15 人评论 次浏览 -
c++虚继承汇编及内存布局分析(基于visual studio 2019)
汇编指令说明:1 LEA 取有效地址指令 (Load Effective Address )指令格式:LEA 目的,源指令功能:取源操作数地址的偏移量,并把它传送到目的操作数所在的单元。LEA 指令要求原操作数必须是存储单元,而且目的操作数必须是一个除段寄存器之外的16位或32位寄存器。当目的…
2021/10/1 7:44:15 人评论 次浏览 -
PE(一)
PE结构 一览图PE磁盘文件与内存镜像结构图DOS/NT头结构 DOS头结构PE文件中的DOS部分由MZ格式的文件头和可执行代码部分组成,可执行代码被称为DOS块(DOS stub),MZ格式的文件头由IMAGE_DOS_HEADER结构定义,在C语言头文件winnt.h中有对这个DOS结构详细定义,如下所示 typed…
2021/9/21 0:02:32 人评论 次浏览 -
PE(一)
PE结构 一览图PE磁盘文件与内存镜像结构图DOS/NT头结构 DOS头结构PE文件中的DOS部分由MZ格式的文件头和可执行代码部分组成,可执行代码被称为DOS块(DOS stub),MZ格式的文件头由IMAGE_DOS_HEADER结构定义,在C语言头文件winnt.h中有对这个DOS结构详细定义,如下所示 typed…
2021/9/21 0:02:32 人评论 次浏览 -
网络游戏逆向分析-7-人物背包遍历
网络游戏逆向分析-7-人物背包遍历前面我们找到了使用人物背包的函数调用,但是并不完美,因为我们需要处理一些参数,比如说用背包第二个物品,就需要push 1像数组一样从0 1 2 4 5 6这样来数,这对于程序员来说没问题,但是对于使用者肯定是不好的,所以我们需要得到背包的…
2021/9/17 6:06:34 人评论 次浏览 -
网络游戏逆向分析-7-人物背包遍历
网络游戏逆向分析-7-人物背包遍历前面我们找到了使用人物背包的函数调用,但是并不完美,因为我们需要处理一些参数,比如说用背包第二个物品,就需要push 1像数组一样从0 1 2 4 5 6这样来数,这对于程序员来说没问题,但是对于使用者肯定是不好的,所以我们需要得到背包的…
2021/9/17 6:06:34 人评论 次浏览 -
百度未整理获取LG函数
获取 LoadLibrary 与 GetProcAddress 地址直接给出代码:# include<Windows.h># include<stdio.h>/*获取kernel32.dll的基地址因为vc程序main函数之前会有初始化,所以不能通过堆栈栈顶值获取kernel32.dll中的地址因此通过 PEB 结构获取Kernel32.dll基址代码来…
2021/9/10 23:07:23 人评论 次浏览 -
百度未整理获取LG函数
获取 LoadLibrary 与 GetProcAddress 地址直接给出代码:# include<Windows.h># include<stdio.h>/*获取kernel32.dll的基地址因为vc程序main函数之前会有初始化,所以不能通过堆栈栈顶值获取kernel32.dll中的地址因此通过 PEB 结构获取Kernel32.dll基址代码来…
2021/9/10 23:07:23 人评论 次浏览 -
逆向实战 | 植物大战僵尸shellcode种植辣椒
参考视频:https://www.bilibili.com/video/BV1944y1y74f 先丢分析:再丢代码: int full_jalapeno(){// 辣椒清场/*火爆辣椒的id是0x14樱桃炸弹的id是0x02找对象基地址1E0A6A30=[edi(00AA9E08)+00000768]=[[6A9EC0]+00000768]=[[popcapgame1.exe+2A9EC0]+00000768]种植函…
2021/9/10 7:03:55 人评论 次浏览 -
逆向实战 | 植物大战僵尸shellcode种植辣椒
参考视频:https://www.bilibili.com/video/BV1944y1y74f 先丢分析:再丢代码: int full_jalapeno(){// 辣椒清场/*火爆辣椒的id是0x14樱桃炸弹的id是0x02找对象基地址1E0A6A30=[edi(00AA9E08)+00000768]=[[6A9EC0]+00000768]=[[popcapgame1.exe+2A9EC0]+00000768]种植函…
2021/9/10 7:03:55 人评论 次浏览 -
从零构建自己的远控?用匿名管道执行powershell&cmd(9)
#include <stdio.h> #include <windows.h>//读缓冲区 HANDLE m_hReadPipeHandle = NULL; //写缓冲区 HANDLE m_hWritePipeHandle = NULL; HANDLE m_hReadPipeShell = NULL; HANDLE m_hWritePipeShell = NULL;DWORD WINAPI ReadPipeThread(LPVOID lparam) {u…
2021/9/3 7:06:31 人评论 次浏览 -
从零构建自己的远控?用匿名管道执行powershell&cmd(9)
#include <stdio.h> #include <windows.h>//读缓冲区 HANDLE m_hReadPipeHandle = NULL; //写缓冲区 HANDLE m_hWritePipeHandle = NULL; HANDLE m_hReadPipeShell = NULL; HANDLE m_hWritePipeShell = NULL;DWORD WINAPI ReadPipeThread(LPVOID lparam) {u…
2021/9/3 7:06:31 人评论 次浏览 -
fuckup
32位静态链接ELF,checksec只开了NX 不过事实上这个程序自己实现了一个类似ASLR的东西,并且在程序运行流程中会运行不止一次 这会导致程序的基址和栈基址一直在变 程序没有main函数,流程在start函数里 start函数如下(已经经过重命名)void __cdecl start(int a1) {int …
2021/8/31 23:36:21 人评论 次浏览 -
fuckup
32位静态链接ELF,checksec只开了NX 不过事实上这个程序自己实现了一个类似ASLR的东西,并且在程序运行流程中会运行不止一次 这会导致程序的基址和栈基址一直在变 程序没有main函数,流程在start函数里 start函数如下(已经经过重命名)void __cdecl start(int a1) {int …
2021/8/31 23:36:21 人评论 次浏览