存档

2011年11月 的存档

单步跟踪法手脱UPX壳

2011年11月27日 5 条评论

很早以前接触过免杀,不过那个时候我连汇编都不懂,所以自然是没有成功过一次;依然还记得那时候用Ollydbg、CCL之类的工具照着动画视频做,可以弄到很晚,但是一直是失败的。当然,我做这个的目的,全然是个人兴趣所向,不是拿来干坏事的,现在接触点这个,也只是兴趣,或者说以后拿来对抗病毒所用。

这里的文章算是看《杀不死的秘密》的一点笔记(个人觉得这本书上的废话太多了,很多地方感觉实在充字数。将就看下吧。)这里显示看一下单步跟踪法脱壳,这个实际过程应该很少用到,太麻烦了。
单步跟踪法就是利用OD的单条[……]

继续阅读

分类: 逆向调试 标签: , , ,

Visual Studio调试小技巧

2011年11月22日 2 条评论

记得《Windows核心编程》一书的开头部分讲到了Visual Studio中一个查看错误消息的小技巧,前几天调试程序想用一下,可一时记不起来是什么参数了,所以去网上找了下,发现还有其他小技巧,就顺便记下来,方便以后忘记的时候快速查找。

一、错误代码
不需要GetLastError()之后格式化成数字写Log,然后用Error Lookup查询;或者直接调用API查询对应语言版本的错误信息。在监视窗口中写下$err,hr即可看到详细的错误描述信息,跟Error Lookup一样的效果。[……]

WriteFile写入TCHAR到HTML乱码

2011年11月19日 没有评论

WriteFile写入TCHAR到HTML文件乱码解决方案。给程序加一个导出数据到HTML表格的功能,结果发现HTML页面全是乱码。数据是通过WriteFile这个API写入文件的,是TCHAR字符(开启了UNICODE,就是WCHAR了),测试了IE、Chrome两个浏览器,发现都是乱码。

乱码原因:因为是TCHAR,开启了UNICODE,所以写入的是宽字节;而通常的HTML文件是单字节的,也就是char。不信的话可以随便打开一个网页,然后另存为HTML,接着用十六进制编辑器(如C32Asm)查看这个文件,就会发现时单字节的。而我们写入的是双字节,解析文件时自然会遇到问题。[……]

分类: Windows SDK 标签: , , ,

计算结构体成员偏移值offsetof

2011年11月16日 6 条评论

    一个比较有意思的宏,不知道大家见得多不多。我见得不多,但是偶尔也会用一下。最早看到offsetof这个宏,不知道是从哪里看到的一道面试题,就是求结构体的成员相对于结构体的偏移值,第一个想到的方法当然是对结构体变量的成员和对应的结构体变量取地址操作然后相减;如果不定义结构体变量,那么又该如何操作呢?这时候offsetof就派上用场了,当然,我们感兴趣的是offsetof的内部实现。
下面这段代码是我从Visual Studio 2005的里面复制出来[……]

继续阅读

分类: C语言 标签: , , ,

关于IDA显示中文字符串的问题

2011年11月14日 8 条评论

IDA显示中文字符串总是乱码,很不给力有木有!思索良久,忽然想起《加密与解密》第三版上曾经对此有所提及,所以赶紧翻书查看解决方案,说是要修改ida.cfg这个配置文件。
所以,来到IDA的安装目录,找到cfg\ida.cfg,然后用Notepad++(最好不要用微软自带的记事本)打开,搜索AsciiStringChars,将其中cp866 version的几行注释掉,然后去掉full version段的几行的注释,保存文件并重启IDA。
啊!还是乱码?坑爹啊有木有!最后无赖的到处找解决方案,终于[……]

继续阅读

分类: 逆向调试 标签: , ,

劫持msimg32.dll实现GUI型程序补丁制作

2011年11月12日 没有评论

示例程序

软件下载:http://www.elcomsoft.com/download/ewsa_setup_en.msi
软件介绍:Audit security of your wireless networks and recover WPA/WPA2 with patent-pending GPU
acceleration technology that speeds up password recovery if one or more
compatible NVIDIA or [……]

继续阅读

Win7下PEiD已停止工作

2011年11月9日 12 条评论

由于某些原因,身边没有破解工具包,下载又太慢了,所以临时下载IDA、OD、PEiD。在使用PEiD的时候,竟然不能正常运行。我的工作环境是Windows7 Home Basic,提示PEiD已停止工作。以前用旗舰版没一点问题,现在提示不能运行,尝试使用兼容模式运行依然不能解决问题。最后几个其他版本的PEiD(这里指的是不同的人整合的版本),都不能运行。唯独PEiD官网下载的简单版本就可以运行,后来去网上搜了一下,发现是一个DLL的问题。
PEiD Win7下已停止工作解决方案
把插件目录下的x[……]

继续阅读

分类: 逆向调试 标签: , ,

准备正式学习Python

2011年11月7日 18 条评论

不知道从什么时候开始,就打算学习一门脚本编程语言,毕竟有时候讲的就是效率,需要在短时间内完成目标任务,而不是从技术的角度去使用自己擅长的语言来解决问题。个人了解到目前比较流行的脚本语言有Python、Perl、Ruby等,之所以选择Python,一是因为之前看过《Python灰帽子》(看书之时完全被没有Python基础,但还是有一点印象),看上面的介绍,觉得可以选择Python;二是感觉目前Python学的人也不算少,网上资料也多。
现在准备看的书是《Python核心编程-第二版》,去网上看了下[……]

继续阅读

分类: Python 标签: , ,

Windows内核驱动开发入门学习资料

2011年11月5日 7 条评论

声明:本文所描述的所有资料和源码均搜集自互联网,版权归原始作者所有,所以在引用资料时我尽量注明原始作者和出处;本文所搜集资料也仅供同学们学习之用,由于用作其他用途引起的责任纠纷,本人不负任何责任。(本资料由代码疯子整理)
一、书籍推荐

  1. 《Windows驱动开发技术详解》作者:张帆、史彩成;出版社:电子工业出版社
  2. 《天书夜读:从汇编语言到Windows内核编程》作者:谭文、邵坚磊;出版社:电子工业出版社
  3. 《寒江独钓:Windows内核安全编程》作者:谭文、杨潇、邵坚磊;出版社:电子工业出版社
  4. 其[……]

继续阅读