pushadown&turn
@艾肥6546:esp定律是什么?如何在脱壳是运用它? -
姓贸15363545257…… 看到壳入口有下面就可以用ESP定律 pushfd 压栈) 代表程序的入口点,pushad 跟踪时如果有发现 popad(出栈代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉 popfd 对应 有些壳只有1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉!
@艾肥6546:什么是软件OEP? -
姓贸15363545257…… 常见脱壳知识: 1.PUSHAD (压栈) 代表程序的入口点 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉! 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳. 这里不能复制太多重复字符,判断方法,我给你网站你看吧!里面分析的很全面. http://hi.baidu.com/shadouyou/blog/item/1912442c8a4f30e98b13993c.html
@艾肥6546:雅思写作真题及解析:看报纸是获知新闻的最好途径吗 -
姓贸15363545257…… 雅思大作文真题:看报纸是获知新闻的最好途径吗?“Some people believe that newspaper is the best way to learn about news, while others believe that more effective way is through other media. Discuss both views and give your opinion.” 解析&...
@艾肥6546:oep和PUSHAD有什么区别 -
姓贸15363545257…… OEP是程序入口,但PUSHAD不一定(PUSHAD是一条指令,保存所有寄存,但不一定就是程序入口,对于某些壳可能是)
@艾肥6546:高分请教几道简单的汇编题?
姓贸15363545257…… 1.会使ESP-4 2.PUSHAD指令在堆栈中按顺序压入下列寄存器:EAX,ECX,EDX,EBX,ESP,EBP,ESI和EDI3 esp-20=13ffa4EAX,ECX,EDX,EBX,ESP,EBP,ESI和EDI pushad的时候ESP依次减了这么多.每个4字节.加起来正好是20H
@艾肥6546:汇编里pushad 和popad只是保存当前堆栈的值不呗破坏掉? -
姓贸15363545257…… 1、可以保存到内存静态变量中,即静态内存中.例如:mov cs:[0120],eax
@艾肥6546:关于 prep.+one's own的词组问题,O(∩ - ∩)O谢谢
姓贸15363545257…… 通常只有On one's own 和 by one's own. 但也可以说, He'll do it in his own house, He'll do it for the purpose of his own. 这些情况下就就不算词组.不是说有介词加上one's own就一定是词组.
@艾肥6546:怎样把一个进程的用户名改为SYSTEM
姓贸15363545257…… 运行以下命令 把 CMD 提升为 system权限 然后你在DOS 命令行启动的程序都有 system权限了 cmd /c sc Create runsystem binPath= "cmd /K start" type= own type= interact &&sc start runsystem 运行后弹出DOS 窗口 你在里面运行的...
@艾肥6546:汇编call中的push与pop 数目相同?
姓贸15363545257…… 原理是这样的: 当call 一个函数的时候,程序跑到函数体去执行,执行完了需要回到call 后面的那条指令去执行 现在的问题是,函数体执行完了怎么回到call后面的那条指令去继续执行呢? 既然需要回去,就必须要把返回地址保存起来,而返回...
@艾肥6546:汇编pushad可以替换成什么 -
姓贸15363545257…… Push EAX Push ECX Push EDX Push EBX Push EBP Push ESI Push EDI
姓贸15363545257…… 看到壳入口有下面就可以用ESP定律 pushfd 压栈) 代表程序的入口点,pushad 跟踪时如果有发现 popad(出栈代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉 popfd 对应 有些壳只有1.PUSHAD (压栈) 代表程序的入口点, 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉!
@艾肥6546:什么是软件OEP? -
姓贸15363545257…… 常见脱壳知识: 1.PUSHAD (压栈) 代表程序的入口点 2.POPAD (出栈) 代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近拉! 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP), 只要我们找到程序真正的OEP,就可以立刻脱壳. 这里不能复制太多重复字符,判断方法,我给你网站你看吧!里面分析的很全面. http://hi.baidu.com/shadouyou/blog/item/1912442c8a4f30e98b13993c.html
@艾肥6546:雅思写作真题及解析:看报纸是获知新闻的最好途径吗 -
姓贸15363545257…… 雅思大作文真题:看报纸是获知新闻的最好途径吗?“Some people believe that newspaper is the best way to learn about news, while others believe that more effective way is through other media. Discuss both views and give your opinion.” 解析&...
@艾肥6546:oep和PUSHAD有什么区别 -
姓贸15363545257…… OEP是程序入口,但PUSHAD不一定(PUSHAD是一条指令,保存所有寄存,但不一定就是程序入口,对于某些壳可能是)
@艾肥6546:高分请教几道简单的汇编题?
姓贸15363545257…… 1.会使ESP-4 2.PUSHAD指令在堆栈中按顺序压入下列寄存器:EAX,ECX,EDX,EBX,ESP,EBP,ESI和EDI3 esp-20=13ffa4EAX,ECX,EDX,EBX,ESP,EBP,ESI和EDI pushad的时候ESP依次减了这么多.每个4字节.加起来正好是20H
@艾肥6546:汇编里pushad 和popad只是保存当前堆栈的值不呗破坏掉? -
姓贸15363545257…… 1、可以保存到内存静态变量中,即静态内存中.例如:mov cs:[0120],eax
@艾肥6546:关于 prep.+one's own的词组问题,O(∩ - ∩)O谢谢
姓贸15363545257…… 通常只有On one's own 和 by one's own. 但也可以说, He'll do it in his own house, He'll do it for the purpose of his own. 这些情况下就就不算词组.不是说有介词加上one's own就一定是词组.
@艾肥6546:怎样把一个进程的用户名改为SYSTEM
姓贸15363545257…… 运行以下命令 把 CMD 提升为 system权限 然后你在DOS 命令行启动的程序都有 system权限了 cmd /c sc Create runsystem binPath= "cmd /K start" type= own type= interact &&sc start runsystem 运行后弹出DOS 窗口 你在里面运行的...
@艾肥6546:汇编call中的push与pop 数目相同?
姓贸15363545257…… 原理是这样的: 当call 一个函数的时候,程序跑到函数体去执行,执行完了需要回到call 后面的那条指令去执行 现在的问题是,函数体执行完了怎么回到call后面的那条指令去继续执行呢? 既然需要回去,就必须要把返回地址保存起来,而返回...
@艾肥6546:汇编pushad可以替换成什么 -
姓贸15363545257…… Push EAX Push ECX Push EDX Push EBX Push EBP Push ESI Push EDI
