版本: 6.8.2 通过抓包可以看出,sig和__NS_sig3都是请求数据时所必须的字段,本文主要说一下sig。 sig的关键代码定位比较容易,直接全局搜索就可以看到。 不难看出这里调用了CPU.a方法,返回值应该就是我们想要的sig的结果,直接点过去看下a方法的实现。 这里是调用了core.so中的ge
序: 很多想学软件逆向分析的朋友们,初学者往往看到一大堆的技术资料,直接就懵了。本文以一个简单的例子,演示一下使用CE+OD进行内存的获取,然后使用Qt进行界面显示,让初学者简单了解逆向分析的流程,并且一步步自己进行手动实现,让初学者有一些成就感,避免直接上来就是技术文档打击到学
inline hook 说明 IAT hook 还是需要有先行条件的,就是导入表里面得有所使用函数的地址。 导入表里面没有被调函数的地址情况: 被调函数与调用函数在同一模块直接自己使用LoadLibrary,GetProcAddress来加载函数 对于这种无法用IAT hook 的情况,我们可以使用inline hook。 inline
临时禁止Windows Defender 1 2 REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f gpupdate /force 下载mimikatz后解压缩。 1 powershell.exe -NoP -NonI -Exec Byp
IAT HOOK 首先IAT(Import Address Table)是一个表,叫导入地址表表,也是就是一个存放导入函数地址的表,dll文件中需要使用的函数地址都会存放到这个表里面,PE文件在硬盘中存储的时候,也就是在没有加载到内存的时候,这个表和INT表的内容一样都是存放的一个需要用到的函数的名称,当被加载进
段寄存器结构 1.什么是段寄存器?有哪些 当我们用汇编读写某一地址时 mov dword ptr ds:[0x123456],eax 我们真正读写的地址是ds.base + 0x123456 段寄存器有ES CS SS DS FS GS LDTR TR 共8个 2.段寄存器结构 图形表示: 结构体表示: struct SegMent { WORD Selector; // 段选择子 16
PE文件是Windows系统下的可执行文件格式, 是在COFF(Common Object File Format, 通用对象文件格式)基础上制作, 目的是提高不同操作系统下的移植性, 不过最后只是用在Windows系列的系统中. PE特指PE32, 32位可执行文件, 不包括PE64(也不存在PE64这种说法), 64位是PE+或称为PE
TLS反调试 TLS TLS是Thread Local Storage的缩写,线程局部存储,主要是为了解决多线程中的变量同步的问题 TLS的意义 进程中的全局变量与函数内定义的静态(static)变量,是各个线程都可以访问的共享变量。在一个线程修改的内存内容,对所有的线程都生效。这是一个优点也是一个缺点,优点是
PE文件解析-导入表 调用dll文件函数的原理 程序在调用dll文件函数的时候,并不是把函数编译到当前程序中, 而是把函数的地址保存到了当前文件中 在文件当中,对应的函数地址部分存放的是函数名称 一个进程空间的exe dll文件如何被加载到内存 1 LoadLibraryA显示加载DLL文件,OS把exe
文章目录 提出问题下面提到词汇前提声明第一组:第二组:第三组:第四组:第五组:结论:第七组:第八组:第九组: 引用比指针安全????常量引用 提出问题 定义一个引用类型和将一个变量转换成引用类型一样吗? 引用比指针安全,真的是这样吗?对引用不理解的话比指针还危险。 为什么要用常量引用传参
最简单的栈溢出 ida查看main函数的C代码,发现如果if为真我们就能得到flag: 我们可利用的&unk_601068离dword_60106C四个字节的距离编写exp 最后得到flag
水仙花数 例题:打印出所有的“水仙花数”,所谓“水仙花数”是指一个三位数,其各位数字立方和等于该数本身。例如:153是一个“水仙花数”,因为153等于1的三次方+5的三次方+3的三次方。 #include<stdio.h> #include<stdlib.h> int main() { int i, j, k, n; printf("打印出的所有水
#include <stdio.h> #include <Windows.h> #include <lmaccess.h> #pragma comment(lib, "Netapi32.lib") //wmain是main函数的宽字符版本 在Unicode编码下使用 int wmain(int argc, wchar_t* argv[]) {//argc是输入参数的个数,argv存储了所有命令行的参数 if (argc != 3) {
#include <stdio.h> #include <Windows.h> #include <lmaccess.h> #pragma comment(lib, "Netapi32.lib") //wmain是main函数的宽字符版本 在Unicode编码下使用 int wmain(int argc, wchar_t* argv[]) {//argc是输入参数的个数,argv存储了所有命令行的参数 if (argc != 2) {
导入表 确定依赖模块 导入表说明了Pe文件需要依赖哪些模块以及依赖这些模块中的哪些函数。 导入表不是一个,是一堆,导入几个模块就有几张导入表。 导入表的结构 _IMAGE_IMPORT_DESCRIPTOR typedef struct _IMAGE_IMPORT_DESCRIPTOR { union { DWORD Characteristics;
一、简介 PCM(脉冲编码调制),它是对连续变化的模拟信号进行抽样、量化和编码产生的,称为PCM(Pulse-code modulation),即脉冲编码调制。这种电的数字信号称为数字基带信号,由PCM电端机产生。数字传输系统都是采用PCM体制。PCM最初并非传输计算机数据用的,而是使交换机之间有一条中继线不
目录 1.前言 2.windows 串口通信API 3.C/C++封装 动态运行库 4.JAVA-JNI java程序调用C++程序 一、前言 &ensp ;写这个博客主要是因为自己想用java写一个小小的后端服务器,其中要处理由51单片机传送来的一些数据。单片机的数据由USB转串口发送至上位机,要处理这些数据,就会用
简单外挂 通过 C 语言编写一个简单的外挂,通过api函数修改游戏数据,从而实现作弊功能 对象分析 要用的 API 函数简单介绍 编写测试效果 本次游戏对象为 Super Mario XP 没有更新所以可用任意版本 试玩发现人物血量最大为 10,心最大为 99,命最大为 99 要用的 API 函数简单
外挂 目录外挂动作模拟技术封包技术挡截WinSock挡截API定位调用API函数指令代码修改调用API函数代码注入外挂代码进入被挂游戏进程中 动作模拟技术 鼠标模拟技术 键盘模拟技术 封包技术 挡截WinSock Winsock是Windows网络编程接口,它工作于Windows应用层,它提供与底层传输协议
导出函数供lazarus使用function DetourAttach( ppPtr:DWORD;pDetour:DWORD):DWORD;stdcall; external 'mydetour' name 'DetourAttach'; function DetourTransactionBegin():DWORD;stdcall; external 'mydetour' name 'DetourTransactionBegin�
https://stackoverflow.com/questions/62725866/how-do-you-close-then-restart-explorer-exe-in-inno-setup-uninstall-using-the-res 作者:Miral 还没看,先存着。 { Example how to use RestartManager and Offer Option to Delete App Data during Uninstall of Inno Setup } {
004FBC6D > \8B45 EC mov eax,dword ptr ss:[ebp-0x14] 004FBC70 . 8B40 30 mov eax,dword ptr ds:[eax+0x30] 004FBC73 . 33D2 xor edx,edx 004FBC75 . E8 4A61FAFF call ErpDbMan.004A1DC4 004FBC7A . 8B10
#define SIZEOF_SECTIONHEADER 0x28 DWORD RVA_To_FOA(LPVOID lpImageBase, DWORD dwImageRVA) { //1.判断文件对齐与内存对齐是否一样 判断 dwRVA与ImageBase的大小 是否为正确的虚拟地址 //2.获得在内存中的RVA (dwVirtualAddress-dwImageBase) //3.判断RVA在
1、封装一个函数 bool CheckDiskExist(LPCTSTR lpszDrive) 判断指定的盘符是否存在;2、调用 GetLogicalDrives 获得当前系统有几个分区,分别是什么,打印出来?该API函数的说明详见:https://www.cctry.com/thread-298708-1-1.html3、调用 GetDiskFreeSpace 获得系统盘的总容量,已用容量,剩
Windows编程-异步IO-1- 当我们读取一个文件时,一般情况下,线程是阻塞的,也就是当前线程在等待文件读取操作结束,也就是这个线程只用来读文件,等读完了再返回。这种方式叫做同步IO。 Windows在系统底层为用户实现了另一种高效的机制,叫做重叠I/O,又称作异步I/O。异步I/O操作提供了一种
