软件名称: 小护士 V1.52简单算法分析 软件简介: 软件大小: 759 KB 软件语言: 简体中文 软件类别: 国产软件 / 共享版 / 开关定时 应用平台: WinNT/2000/XP 界面预览: 无 加入时间:
2004-10-15【下载地址http://www.pracx.com ======================================================================================== 【分析过程】 经查,为无壳vb6程序,Native Code. 用wdasm返回编后查到字符串如下: * Possible StringData Ref
2004-10-15目标程序: 用Shrinker v3.4压缩过的Notepad.exe ****************************************************************** 冰毒注: 1. Notepad.exe就是Windows自带的写字板程序,相信大家的机器中都会有. 2. Shrinker v3.4可以在http://w3.to/p
2004-10-15找到程序真正入口并进行脱壳 现在, 希望你没有关闭symbol loader. 假如你关掉的话,重新运行它,打开并装入已 压缩的notepad.exe 当你这次点击"Yes"时, 你会发现你已在进入Softice中了... 我把下面的代码贴出来并加上注解. ******************
2004-10-15下面整理一些東西讓你了解TRW2000如何脫殼,下面一程序是一壓縮后的軟件,脫這類殼,關鍵是找到入口點。具體例子如下: 運行TRW,選擇菜單中的TRNEWTCB命令,或用菜單的load,然后運行加脫的程序,程序馬上中斷于第一句了。 具體如下: 0137:0043D100 PUSHA
2004-10-15近日俺的一位朋友买了一张黄碟(H碟),封面要求把系统日期改为98年3月15日,可是改了也没用,只能看到光盘中40兆的东西(在光盘属性中可以看到有600多兆)。俺对这种碟子没什么兴趣,但耐不住朋友的要求只好帮他解解看。 光盘只有一个可执行文件autorun.exe,问
2004-10-15汇编语言功能强大,但是,由于先天的一些特性,汇编语言在Win32上有许多能实现但相对于其它高级语言异常复杂的东西,比如说COM,数据库,而本系列教程则是针对汇编写数据库的,不过,此系列教程是退一步,另选方法实现数据库功能-文本型数据库,我在实践中积累了一些
2004-10-15生成EXE格式文件 ;Model伪操作的格式为:Model memory_mode,model_options 其中:memory可为 tiny/small/medium/compact/large/huge/flat等 除tiny编译成com格式文件外,其他的都是exe格式文
2004-10-15首先我们看一个“复杂”的Win32汇编程序 程序用来显示一个消息框 -------------------------------------------------- ;文件名:3.asm .386 .model f
2004-10-15控制台输出就象dos下的输出,可不是图形界面。象ping/ipconfig/ftp等命令都是这类程序。 回忆过去,在dos下进行文件操作时,常用到“文件把柄”的概念,使用文件把柄操作时,非常方便,操作时,只要知道把柄号就可以,而不用操心文件
2004-10-15在dos下编写的程序经编译链接之后,就可用debug等调试工具调试执行,也能看到反汇编的结果,这很便于理解“汇编指令”是如何翻译成“机器指令”的。对Windows程序,这样的工具有很多,像SoftICE、TRW、W32dasm、IDA、Hiew等。这里准备谈一下W32dasm。
2004-10-15现在写汇编语言,就象写结构化的高级语言一样,非常的方便。不信?你看看下面写的小程序就知道啦,没有程序跳转,完全的结构化设计。最后还附有 Glow Glove 总结的小篇文章,供大家学习参考。 ;-----------------------------------
2004-10-15还记得系列4中举的一个例子 4.asm 吗?它利用windows的console输出一个字符串:How are you !。但是利用“我的电脑”查看生成的文件:4.exe时,图标却是windows默认的那种图标,单调,死板,没有一点风格。能不能给它换一个图标呢?当然
2004-10-15现在编程序,不用说,都是在调用别人做好的动态链接库中的函数,能不能编写自己的动态链接库呢?答案是肯定的!让我们开始吧! ;------------------------------------------------------- ;例:将EDX:EAX中的值转换成十进制输出形
2004-10-15本部分内容:/文件解说/PE剖析图/W32dasm反汇编参考/PE剖析中所用结构参考 大家都很清楚,了解可执行文件的结构有多么的重要,DOS下如此,Windows下也同样如此。如果你想加密程序,编写病毒等,了解PE文件结
2004-10-15看下面的小程序,很简单,你认为执行结果会是什么? ------------------------------------------------------------ ;文件名:11.ASM ;利用console显示一个字符串信息 .386 &n
2004-10-15想一想,如果你要写一个加密程序,或者病毒程序,都需要对文件进行修改(写操作)。在dos下,系统提供有相应的功能调用来完成这样的操作,如:“打开文件\移动指针\读文件\写文件\关闭文件”,在windows下,系统也提供有相应的Api函数。
2004-10-15随意更改可执行文件 接下来谈谈可执行文件感染型病毒。顾名思义,可执行文件感染型病毒只感染文件扩展名为.com和.exe等的可执行文件。下面以Windows程序为倒,介绍一下可执行文件感染型病毒的感染机理。 感染机理其实非常简单。用户无意间运行
2004-10-15Envymask的睿智帮我解决了很多问题,尽管是兄弟,我还是要说谢谢。 很吃惊地看到了DVBBS发布的安全补丁,原来有人提醒了作者程序所存在的一类漏洞。可以看出,作者对DVBBS做了全面检测,并且在消除那一类漏洞的同时,也顺带消除了其他几个安全隐患。看到自
2004-10-15//注:本文不涉及到NTLM具体的认证算法,但是给出通过SSPI的API实现的过程。 SMB协议可以说是WIN系统的核心协议,这里大致给大家讲解一下SMB认证登陆的过程: 1。协议解析栈 CLIENT:APP----->NET/MRP/RPC API------>MRXSMB.SYS------>NETBT.SYS---->TCP/IP
2004-10-15