- 博客(45)
- 资源 (8)
- 收藏
- 关注
RSS订阅
原创 看雪逆向学习导航
----------------------------------------------------------------------------工具教程: OllyDbg IDA Windbg GDB基本方法参考资料逆向原理 -------------------
2011-12-06 10:06:32
1322
1
原创 Android刷机
这里也有一篇比较详细的 http://blog.csdn.net/qq1084283172/article/details/52334452 官网刷机包 https://developers.google.com/android/images#hammerhead 我的机器是Nexus 5 一. 安装驱动 如何进入fastboo
2016-11-23 18:09:11
3322
原创 Eclipse生成jar包
前言:本宅因为要写XXX软件的一个插件,来用用java,接触3天后在打jar包上卡住了.....经过大量的百度搜索后有如下几种解决方案:解决方案:一.安装Fatjar在线安装地址:http://kurucz-grafika.de/fatjar悲剧的是我怎么也安装不上去,于是放弃(在线下载包什么 我的Eclipse版本4.4.1)二.手动打包(
2015-03-05 15:12:27
718
转载 C++名称粉碎
C++ name mangling 1: ?0: 构造器,?1 析构器2: @@QAE: public __thiscall @@AAE: private __thiscall @@QBE: public __thiscall const 3: 返回值和参数类型 B:const D:char E:unsigned char
2014-09-17 18:36:36
2207
转载 Win32 路径操作API
路径操作相关API路径截断与合并函数 PathRemoveArgs去除路径的参数PathRemoveBackslash去除路径最后的反斜杠“\”PathAddBackslash 在路径最后加上反斜杠“\”PathRe
2014-08-29 10:15:30
3820
原创 switch语句初探
(1)- - -- - --------------------------------------------------(2)-------------------------------------------------------------------------------------------------------------(3)-------------
2012-10-27 22:36:10
586
原创 浮点数的存储
--------------------------------------------------------------------------------在VC6.0----float环境一共32位其中第一位是符号位 第二到第9位中间8位为小数点位置(指数以127的二进制为原点向下为负指数 向上为正指数)后面23位为数据位。S EEEEEEEE DDDDDDDDDDDDDDD
2012-10-27 16:21:47
600
原创 Win32路径操作相关API
一.路径截断与合并PathRemoveArgs 去除路径的参数PathRemoveBackslash 去除路径最后的反斜杠 "\"PathAddBackslash 在路径最后加上反斜杠 "\"PathRemoveBlanks 去除路径前后的空格PathAddExtension 在文件路径后面加上扩展名PathRemoveExtension 去除文件路径扩展名Path
2012-06-04 15:22:45
4337
原创 DLL转Lib
在C++中,为了允许操作符重载和函数重载,C++编译器往往按照某种规则改写每一个入口点的符号名,以便使用同一个名字(具有不同的参数类型或者是不同的作用域)有多种不同的用法,而不会打破现有基于C的链接器,.这项技术通常被称为改编(Name Mangling)或者名称修饰(Name Decoration),许多C++编译器厂商选择了自己的名称修饰方案.在VC++中,函数修饰名有编译类型(C或C++
2012-06-02 22:37:51
6953
原创 文件指针
一.移动文件指针SetFilePointer,hFile,lDistanceToMove,lpDistanceToMoveHigh,dwMoveMethoddwMoveMethod 指明移动的模式FILE_BEGIN 不管文件处于什么地方,总是从文件的头部开始移动,这时的位置参数相当于指定了一个绝对位置FILE_CURRENT 从当前的文件指针处开始移动,这时的位
2012-06-01 15:41:43
2270
原创 管理员以标准权限运行时
在XP时代,大多数用户都用一个管理员(administrator)帐号来登录Windows利用这个账户,用户几乎能没有任何限制的访问重要的系统资源,因为该账户被授予了很高的权限,一旦用这个帐号登录了xp以及xp之前的操作系统,Windows操作系统就会创建一个安全令牌(security token).每当有代码试图访问一个受保护的安全资源的时候,操作系统就会使用(出示)这个安全令牌,从Wi
2012-05-22 18:31:33
5670
原创 进程的细节
从今天开始,重新学习一些细节性质的东西 一.在VS开发环境中,应用程序的入口点:_tWinMain WinMainCRTStartup_tWinMain wWinMainCRTStartup_tmain mainCRTStartup_tmain
2012-05-17 15:39:27
798
原创 Win32ASM && 变长参数的理解
C语言里面 提供了一些宏 可以使用变长参数 int MsgPrintf(INT dwszBuffer,TCHAR* szCaption,TCHAR* szFormat,...){ LPVOID lpszBuffer; va_list pArgList; va_start(pArgList,szFormat); lpszBuffer = HeapAlloc(GetPro
2012-03-20 20:22:43
893
原创 SEH链和展开操作
每次我们定义了一个新的SEH异常处理回调函数,EXCEPTION_REGISTRATION结构的prev字段都被要求填写上一个EXCEPTION_REGISTRATION结构的地址,随着应用程序对模块的调用一层层深入下去的时候,那么最后回调函数会形成一个SEH链 当程序中有多个线程在运行的时候,每个线程中都会存在各自的SEH链,这些SEH链中指定了多个回调函数,除他们以外,系统中可能还会存
2012-01-28 22:51:42
3604
1
原创 SEH处理异常
Win32为每个线程定义了一个线程信息块,其中保存了线程的一些属性数据,线程信息块的属性被定义为NT_TIB结构typedef struct _NT_TIB { struct _EXCEPTION_REGISTRATION_RECORD *ExceptionList; PVOID StackBase; PVOID StackLimit; PVOID Su
2012-01-25 22:39:48
4916
原创 Windows使用筛选器来处理异常
很久木有管博客了 最近也没有学什么 Dos系统下发生异常后,系统会调用int 24h服务例程,然后根据中断的返回值决定下一步要做什么,他会在屏幕上显示ignore Retry Fail Abort 让用户选择进而进行下一步操作这样的话 只要应用程序截取int 24h中断,就可以随意的"胡作非为"了 Windows操作系统对异常的处理流程相对复杂,其依靠80x86的保
2012-01-25 14:34:49
1741
原创 Win32ASM-进程学习[3]-读写进程空间
invoke ReadProcessMemory,hProcess,lpBaseAddress,lpBuffer,dwSize,lpNumberOfBytesRead invoke WriteProcessMemory,hProcess,lpBaseAddress,lpBuffer,dwSize,lpNumberOfBytesWrittenhProcess 指定将要被读写的目标进程
2011-12-15 22:25:36
755
原创 Win32ASM-进程学习【2】
获取运行中的句柄 1.从窗口句柄中获取进程句柄要对进程进行某种操作,就必须首先知道该进程的句柄或者进程ID对于自己创建的子进程来说CreateProcess函数返回了子进程句柄和进程的ID但是如果如果要对系统中运行的某个进程进行操作,那么首先获取他们的句柄才行 如果知道某个进程的ID那么可以通过GetWindowThreadProcessID hWnd,lpdwPr
2011-12-15 21:47:01
725
原创 Win32ASM-进程学习【1】
关于一些进程的概念就不说了。。。 一创建进程GreateProcess(1).当一个进程被创建时:①.系统为进程创建一个内核对象,并将这个对象的计数设置为1,进程对象只是一个比较小的数据结构,可以通过进程句柄来引用②.系统为进程创建一个虚拟地址空间,并将可执行文件装载到这个地址空间中,系统同时处理可执行文件的导入表,将导入表中所有dll文件装入.每个dll被装入的时候,dl
2011-12-15 19:30:03
845
转载 Win32ASM学习[23]:RadASM快捷键
RadASM快键操作一.书签SHIFT+F8为所在行下书签或删除书签(Crtl+0-9能定义存于文件中的10个书签),可通过编辑\书签\开关书签。(CRTL+F8为下一书签,F8为上一书签)二、列选择:拉框时用到,CRTL+B为切换行&列 拉框。三、展开 & 关闭模块 & 显示行号:CRTL+E为展开和关闭模块,在左下脚2 & 3小按钮是展开全部和关闭全
2011-12-09 19:42:28
2241
原创 Win32ASM代码基本模块
;--------------------------------------------------------------------------------;程序环境设置.386.model flat,stdcalloption casemap:none;-----------------------------------------------------------
2011-12-08 15:55:35
641
转载 80X86伪指令
8086 伪指令表 一、数据定义伪操作 伪 指 令 名 称 语 句 格 式 功 能 定义字节类型的数据存储区 [变量名] DB 表达式[,…] 定义一个以变量名为首址的字节类型数据存储区,所含数据元素的个数由其后表达式的个数所决定,数据存储单元的初值由对应表达式的值给出 定义字节类型的数据存储区 [变量名] DW 表达式[,…] 同上,只是定
2011-12-08 15:42:31
2037
原创 常用的基本Windows数据类型
常用的基本Windows数据类型 ---------------------------------------------------------------------------------------------------------------------------------------------------------
2011-12-07 21:38:07
844
转载 Win32ASM学习[21]:宏汇编(1)
--------------------------------------------------------------------------------------------------------------------嗯 上个星期到现在 把Win32ASM基础汇编复习了下 在网上找到了 这个不错系列于是就转载过来了 其中 根据我自己的水平 删减了一些内容
2011-12-05 21:15:30
973
转载 Win32ASM学习[20]:子程序
关于函数调用约定 :函数调用约定这是以前的一个求和函数的例子----------------------------------------------------------------------------------------------------------------.386.model flat, stdcallinclude windows.inc
2011-12-05 21:05:14
618
转载 Win32ASM学习[19]:结构与联合
结构和联合分别用 struct、union 定义, 都是 ends 结束定义.它们使用方法相同, 并可以互相嵌套; 主要区别是后者的各成员共用同一个地址.-----------------------------------------------------------------------------------------------------------------------
2011-12-05 20:29:56
556
转载 Win32ASM学习[18]:串指令-MOVS*、CMPS*、SCAS*、LODS*、REP、REPE、REPNE
--------------------------------------------------------------------------------------------------------------------------------------------------------一.字符串传送指令 MOVSB/MOVSW/MOVSD 格式: MOVS OPD,OP
2011-12-05 19:58:53
5010
1
转载 Win32ASM学习[17]:条件跳转
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 一.跳转相关的标志位:1
2011-12-05 18:46:14
1024
转载 Win32ASM学习[16] :乘除指令: MUL、IMUL、DIV、IDIV
----------------------------------------------------------------------------------------------------------------------------------------------------------------------一. 无符号数乘法指令 MUL(MULtiply) 格式:
2011-12-04 19:29:44
6723
1
转载 Win32ASM学习[15]:加减指令: INC、DEC、NEG、ADD、ADC、SUB、SBB、CMP
-------------------------------------------------------------------------------------------------------------------------------------------------------------------;INC(Increment): 加一;DEC(Decrement
2011-12-04 17:02:23
4203
转载 Win32ASM学习[14]:符号扩展指令: CBW,CWDE,CDQ,CWD
-----------------------------------------------------------------------------------------------------------------------------------------------------------------;CBW(Convert Byte to Word): 将 AL
2011-12-04 16:51:30
1333
转载 Win32ASM学习[13]:移位指令SHL,SHR,SAL,SAR,ROL,ROR,RCL,RCR,SHLD,SHRD
一. SHL、SHR、SAL、SAR: 移位指令----------------------------------------------------------------------------------------------------;SHL(Shift Left): 逻辑左移;SHR(Shift Right): 逻辑右移;SAL(Shift
2011-12-04 16:23:18
5888
转载 Win32ASM学习[12]:位测试指令位扫描指令
----------------------------------------------------------------------------------------------------------------------- 一.BT 指令格式: BT OPD,OPS功能: 目的操作数OPD中由源操作数OPS指定的位送CF标志说明: 1. 在指令中,目的操作数OPD只
2011-12-04 15:50:20
964
转载 Win32ASM学习[11]:逻辑运算
--------------------------------------------------------------------------------------------------------------------------- 一.逻辑与运算指令 AND 格式: AND OPRD1,OPRD2其中目的操作数OPRD1为任一通用寄存器或存储器操作数.源操作数OP
2011-12-04 14:52:34
819
转载 Win32ASM学习[10]:传送指令
汇编指令的一般性要求: 1、两个操作数的尺寸必须一致; 2、操作数不能同为内存.---------------------------------------------------------------------------------------------------------------;mov;该指令不影响 EFlags;指令格式: (其中的 r、m、i 分别表示:
2011-12-04 14:40:38
733
转载 Win32ASM学习[9]: 标志寄存器
TF(Trap Flag)——位8,跟踪标志。置1 则开启单步执行调试模式,置0 则关闭。在单步执行模式下,处理器在每条指令后产生一个调试异常,这样在每条指令执行后都可以查看执行程序的状态。如果程序用POPF、POPFD 或者ET 指令设置TF 标志,那么这之后的第一条指令就会产生调试异常。 IF (Interrupt enable)——位9,中断许可标志。控制处理器对可屏蔽硬件中断请
2011-12-04 14:33:16
941
转载 Win32ASM学习[8]: 进制转换的库函数
在 masm32.inc 中有这样几个函数的声明: byt2bin_ex PROTO :BYTE, :DWORDwrd2bin_ex PROTO :WORD, :DWORDdw2bin_ex PROTO :DWORD, :DWORDdw2hex_ex PROTO :DWORD, :DWORDbin2byte_ex PROTO :DWORD----------
2011-12-04 14:22:18
930
转载 Win32汇编学习[7]: 定义符号常量(=、EQU、TEXTEQU)
关于符号常量 =的例子.386.model flat,stdcallinclude windows.incinclude kernel32.incinclude masm32.incinclude debug.incincludelib kernel32.libincludelib masm32.libincludelib debug.lib
2011-12-04 14:14:17
1164
转载 Win32ASM学习[6]: PTR、OFFSET、ADDR、THIS
PTR: 指定要操作的数据尺寸------------------------------------------------------------------------------------------------------------------------------------------.386.model flat, stdcallinclude wind
2011-12-04 14:03:38
722
转载 Win32ASM学习[5]: 数据对齐相关的伪指令(ALIGN、EVEN、ORG)
32 位的寄存器容量是 4 字节, 如果内存中的数据都按 4*n 字节对齐, 肯定会加快吞吐速度;但事实并非如此, 不同大小的数据可能会让寄存器别别扭扭地去处理, 从而降低了运行速度!如果使用对齐, 就会浪费掉一些内存空间; 其实这是一个需要权衡 "速度" 与 "内存" 得失的问题.准备使用的测试文件:------------------------------------
2011-12-04 13:56:48
713
自己写的Win32ASM播放器
2012-01-04
[代码优化:有效使用内存].[美]Kaspersky.扫描版.rar
2011-12-11
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人