您正在查看 "默认分类" 分类下的文章
2008-01-12 20:35
最近开始使用 syser 代替 softice 来调试个东西,
发现一个小 Bug.
syser 没有处理好 exp table 存在 proxy 的性质。会导致一些断点下错地方。
比如 GetLastError 他的实现是 ntdll 的 RtlGetLastWin32Error, 而 syser 会解析
exp table 导致断点下在了 kernel32 proxy string 上了。
|
2008-01-06 18:29
某网游盗号木马实现手记
注:只是学习,没有任何恶意。下面的分析打了码,而且不完整 
上次的文字,抱歉有几点错误。shellexecutehook 并不能实现注入到全局进程。现在木马还是
使用消息钩子和远程线程比较多。-_# 今天遂亲自写了个动手写了个简单盗号木马,其实不能
算,只是验证一些想法和进行学习。
准备工具:
lordpe
od
syser debugger
这个游戏外 |
2007-08-18 09:38
前面一章讲述了一个简单的 exe 智能反汇编引擎推导实现方法,但是实际操作要比上文要困难的多,
其中涉及很多烦琐的细节, 这里不进行进一步的讨论。
现在公认静态分析比较强的工具是 ida, 它有的智能反汇编和灵活的人工参与方式都是同类软件没法相比的。
这里讨论就是利用其强大的反汇编引擎,做一个把 ida 的汇编结果直接输出为可利用性极高的 obj 文件,
减轻逆向成本(ida 的插件机制和很丰富的接口提供实现的可能)。
通常逆向代码的过程,首要找到感兴趣 |
2007-08-15 13:26
以前有种工具可以叫 exe2c, 听过可以把一个可执行文件转换成 c 代码,没有用过。
但是其中显示出的令人振奋的功能,其中很多问题一直想去了解,但是没有机会。
我最想了解的就是 exe2c 中的是他的"智能"的"反汇编引擎", 这个反汇编引擎要解决的主要问题:
1、如果有效的区分数据和指令
在现在的编译器中,常常会把全局性常量(比如跳转表)放在代码节中,我在做 obj2asm 时已经遇到,
但是我的解决办法全靠编译器在符号类型中留下的信息得以解决,对于已经剥离符号信息 |
|
| 
