脱壳系列(五) - MEW 壳】的更多相关文章

先用 PEiD 看一下 MEW 11 1.2 的壳 用 OD 载入程序 按 F8 进行跳转 往下拉 找到这个 retn 指令,并下断点 然后 F9 运行 停在该断点处后再按 F8 右键 -> 分析 -> 分析代码 找到了程序的 OEP,右键 -> Dump debugged process 点击“Dump” 用 PEiD 看一下…
程序: 运行 用 PEiD 载入程序 PEid 显示找不到相关的壳 脱壳: 用 OD 载入程序 这个是壳的入口地址 因为代码段的入口地址为 00401000 这三个是壳增加的区段 按 F8 往下走程序 经过这个 call 指令的时候,运行的时间多了一会 这个 jmp 将跳转到 004271B0 按 Ctrl+A 分析代码 这个地方也在代码段内,所以这个地方就是原程序的入口点 右键 -> Dump debugged process 点击 Dump 保存文件,运行 可以运行 之后再用 PEiD 看一…
1 查看壳程序信息 使用ExeInfoPe 分析: 发现这个壳的类型没有被识别出来,Vc 6.0倒是识别出来了,Vc 6.0的特征是 入口函数先调用GetVersion() 2 用OD找OEP 拖进OD 发现 这个壳和我们的正常程序很像.但是并不是我们的真正程序入口 因为vc6.0特征的第一个调用的是GetVersion(),给GetVersion()下 硬件断点 //第一次断下来,但是根据栈回溯,调用者并不是我们的模块 //第二次断下来,就应该是了 //找到入口后 栈上右键 反汇编窗口跟随 /…
先用 PEiD 查一下壳 用 OD 载入程序 这里有一串字符串,是壳的名称和版本号 按 Alt+M 显示内存窗口 这里只有三个区段,后面两个是壳生成的,程序的代码段也包含在里面 利用堆栈平衡 按 F8 往下走一步 然后到数据窗口中设置断点 选择 -> 断点 -> 硬件访问 -> Dword 然后跑一下程序 弹出了一个窗口,点击“确定” eax 中存放着 OEP 的地址 按 F8 执行 jmp 跳转,来到程序 OEP 处 右键 选择 Dump debugged process 点击“Dum…
程序: 运行程序 用 PEiD 查壳 EZIP 1.0 用 OD 打开 按 F8 往下走 这个看似是 OEP 的地方却不是 OEP 因为代码段从 00401000 开始 可以看到,壳伪造了 3 个区段 重新载入程序,观察 ESP 的变化 此时是 0012FFC4 F8 往下走 走到这里的时候,ESP 的值变为 0012FFC0 右键 -> 数据窗口中跟随 选择 -> 右键 -> 断点 -> 硬件访问 -> Word 下一个硬件断点 按 F9 运行 程序停在了该处,ESP 的地…
1 查看壳程序信息 使用ExeInfoPe 分析: 发现这个壳的类型没有被识别出来,Vc 6.0倒是识别出来了,Vc 6.0的特征是 入口函数先调用GetVersion() 2 用OD找OEP 拖进OD 发现 这个壳和我们的正常程序很像.但是并不是我们的真正程序入口 因为vc6.0特征的第一个调用的是GetVersion(),给GetVersion()下 硬件断点 //第一次断下来,但是根据栈回溯,调用者并不是我们的模块 //第二次断下来,就应该是了 //找到入口后 栈上右键 反汇编窗口跟随 /…
我们的网页因为 CSS 而呈现千变万化的风格.这一看似简单的样式语言在使用中非常灵活,只要你发挥创意就能实现很多比人想象不到的效果.特别是随着 CSS3 的广泛使用,更多新奇的 CSS 作品涌现出来.<CSS 魔法系列>继续给大家带来 CSS 在图形绘制中的创新使用. 您可能感兴趣的相关文章 CSS3 在网页设计中的20佳惊艳应用 推荐12个漂亮的 CSS3 按钮实现方案 推荐10个非常优秀的 CSS3 开发工具 分享50个漂亮的 CSS3 最佳应用示例 24款非常实用的 CSS3 工具终极收…
Netty4.x中文教程系列(五)编解码器Codec 上一篇文章详细解释了ChannelHandler的相关构架设计,版本和设计逻辑变更等等. 这篇文章主要在于讲述Handler里面的Codec,也就是相关的编解码器.原本想把编解码器写在上一篇文章里面的.后来想想Netty里面的编解码器太多了.想要一次写完比较困难.于是重新开了一篇文章来专门写这个. 1.     Hello World !实例中的使用 在这里先讲一下我们第一篇文章里面的实例使用到编解码器. 1.1 DelimiterBased…
WCF编程系列(五)元数据   示例一中我们使用了scvutil命令自动生成了服务的客户端代理类: svcutil http://localhost:8000/?wsdl /o:FirstServiceClient.cs 命令中http://localhost:8000/?wsdl连接返回一个XML,该XML即为元数据:用以描述如何与服务的终结点进行交互.正因为有元数据的存在,svcutil命令才能自动生成客户端代理类. 元数据遵循Web服务描述语言(WSDL)标准,所以可被多种语言支持,除WC…
JVM系列五:JVM监测&工具[整理中]  http://www.cnblogs.com/redcreen/archive/2011/05/09/2040977.html 前几篇篇文章介绍了介绍了JVM的参数设置并给出了一些生产环境的JVM参数配置参考方案.正如之前文章中提到的JVM参数的设置需要根据应用的特性来进行设置,每个参数的设置都需要对JVM进行长时间的监测,并不断进行调整才能找到最佳设置方案.本文将介绍如果通过工具及Java api来监测JVM的运行状态,并详细介绍各工具的使用方法.…
原文:SQL Server 2008空间数据应用系列五:数据表中使用空间数据类型 友情提示,您阅读本篇博文的先决条件如下: 1.本文示例基于Microsoft SQL Server 2008 R2调测. 2.具备 Transact-SQL 编程经验和使用 SQL Server Management Studio 的经验. 3.熟悉或了解Microsoft SQL Server 2008中的空间数据类型. 4.具备相应(比如OGC)的GIS专业理论知识. 5.其他相关知识. 通过前面几篇文章介绍了…
原文:VSTO之旅系列(五):创建Outlook解决方案 本专题概要 引言 Outlook对象模型 自定义Outlook窗体 小结 一.引言 在上一个专题中,为大家简单介绍了下如何创建Word解决方案的,所以本专题中将为大家介绍下Outlook相关的内容.我们从Visual Studio 2010 中Office节点下的模板中我们可以看到,Outlook只有外接程序的模板,并没有提供像Word或Excel这样的文档级的模板,所以VSTO没有为Outlook解决方案创建宿主项和宿主控件(Excel…
原文:系列五AnkhSvn AnkhSvn介绍 AnkhSVN是一款在VS中管理Subversion的插件,您可以在VS中轻松的提交.更新.添加文件,而不用在命令行或资源管理器中提交.而且该插件属于开源项目. AnkhSvn安装下载完毕后,进行安装,安装向导安装即可,如下步骤.[步骤1]安装界面,见图. [步骤2]安装成功 AnkhSvn连接VisualSvn Server 下载源项目安装成功后,打开vs2008将会产生如下菜单,见图. 如果没有此菜单,请查看工具下的选项中的source con…
java多线程系列(五)---synchronized ReentrantLock volatile Atomic 原理分析 前言:如有不正确的地方,还望指正. 目录 认识cpu.核心与线程 java多线程系列(一)之java多线程技能 java多线程系列(二)之对象变量的并发访问 java多线程系列(三)之等待通知机制 java多线程系列(四)之ReentrantLock的使用 Synchronized 原理 synchronized关键字是通过字节码指令来实现的 synchronized关键…
java基础解析系列(五)---HashMap并发下的问题以及HashTable和CurrentHashMap的区别 目录 java基础解析系列(一)---String.StringBuffer.StringBuilder java基础解析系列(二)---Integer java基础解析系列(三)---HashMap java基础解析系列(四)---LinkedHashMap的原理及LRU算法的实现 这是我的博客目录,欢迎阅读 HashMap造成的死循环 resize分析 void resize…
脱壳第一讲,手工脱壳ASPack2.12的壳.ESP定律 一丶什么是ESP定律 首先我们要明白什么是壳.壳的作用就是加密PE的. 而ESP定律就是壳在加密之前,肯定会保存所有寄存器环境,而出来的时候,则会恢复所有寄存器的环境. 这个就成为ESP定律.(当然我个人理解.可能有更好的理解,请下方评论,我会更改) pushad的时候,肯定所有寄存器入栈. 二丶利用工具脱掉ASPACK2.12的壳 首先,我们找一个带壳的工具,利用PEID查壳.查看是什么壳. OD附加进程. 可以看出,一开始就已经pus…
系列文章列表: scrapy爬虫学习系列一:scrapy爬虫环境的准备:      http://www.cnblogs.com/zhaojiedi1992/p/zhaojiedi_python_007_scrapy01.html scrapy爬虫学习系列二:scrapy简单爬虫样例学习: http://www.cnblogs.com/zhaojiedi1992/p/zhaojiedi_python_007_scrapy02.html scrapy爬虫学习系列三:scrapy部署到scrapyh…
今天是我们介绍数组系列文章的第五篇,也是我们数组系列的最后一篇文章,只是数据系列的结束,所以大家不用担心,我们会持续的更新干货文章. 生命不息,更新不止! 今天我们就不那么多废话了,直接干货开始. 我们在<Javascript数组系列一之栈与队列>中描述我们是如何利用 push.pop.shift.unshift方法进行数组单个元素的添加与删除. 但是光有单个元素的删除恐怕难以满足我们的应用场景,那么那么如何进行数组元素的批量操作?let's go! 数组的增删改 slice 该方法会复制数组…
概述 顺序图是一种详细表示对象之间以及对象与参与者实例之间交互的图,它由一组协作的对象(或参与者实例)以及它们之间可发送的消息组成,它强调消息之间的顺序. 顺序图是一种详细表示对象之间以及对象与系统外部的参与者之间动态联系的图形文档.它详细而直观地表现了一组相互协作的对象在执行一个(或少量几个)用况时的行为依赖关系,以及操作和消息的时序关系.类图对对象之间的消息(交互情况)表达不够详细:详细说明对消息的表达虽然详细,但不够直观:顺序图既详细又直观,但通常只能表示少数几个对象之间的交互. 时序图基…
WCF开发实战系列五:创建WCF客户端程序 (原创:灰灰虫的家http://hi.baidu.com/grayworm) 在前面的三篇文章中我们分别介绍了WCF服务的三种载体:IIS.Self-Host.Windows Service Host.当WCF编写完成后我们一般要通过这三种方式的一种发布WCF服务,当WCF服务发布后,我们就可以编写客户程序来与服务的终结点进行通信.这篇文章我们主要来介绍如何编写客户程序. 前提:1.事先建立好一个WCF服务2.使用上面任何一种方式发布WCF.在这里我们…
MyBatis 系列五 之 关联映射 一对多的关联映射 一对多关联查询多表数据 1.1在MyBatis映射文件中做如下配置 <!--一对多单向的连接两表的查询--> <resultMap type="Dept" id="deptMapper"> <id property="deptNo" column="deptNo"/> <result property="deptName…
[C++自我精讲]基础系列五 隐式转换和显示转换 0 前言 1)C++的类型转换分为两种,一种为隐式转换,另一种为显式转换. 2)C++中应该尽量不要使用转换,尽量使用显式转换来代替隐式转换. 1 隐式转换 定义:隐式转换是系统跟据程序的需要而自动转换的. 1)C++类型(char,int,float,long,double等)的隐式转换: 算术表达式隐式转换顺序为: 1.char - int - long - double 2.float - double //1)算术表达式 ; double…
先贴个本帖的地址,免得其它网站被爬去了struts2教程 官方系列五:处理表单  即 http://www.cnblogs.com/linghaoxinpian/p/6906298.html 下载本章节代码 介绍 在本教程中,我们将探索使用Struts 2来处理表单提交的更多相关内容.我们将讨论如何使用Java model类来存储表单输入,以及如何创建Struts 2表单来匹配这个模型类. 表单和模型类 对于本教程来说,我们需要提供一个用户可以提交的表单以获得一个奖品.我们的业务规则规定,用户必…
eBPF监控工具bcc系列五工具funccount funccount函数可以通过匹配来跟踪函数,tracepoints 或USDT探针.例如所有以vfs_ 开头的内核函数. ./funccount 'vfs_*' 这个对于探索内核代码很有帮助,可以找出哪个函数在使用那个函数没在使用. 也可以设置间隔,每秒打印一次: ./funccount -i 1 'vfs_*' 跟踪所有tcp函数. ./funccount 'tcp_*' 当执行Ctrl+C进行取消跟踪的时候需要几秒时间. 可以跟踪可执行文…
Bing Maps进阶系列五:通过DeepEarth的MiniMap控件为Bing Maps扩展迷你小地图 Bing Maps Silverlight Control虽然为我们提供了简洁.方便的开发模型,但也有许多不足之处,比如我们想实现一个迷你小地图功能,对于Bing Map Silverlight Control就没有这样的内置控件.但不必费心费神的自己去开发一个这样的控件来实现这个功能,因为在DeepEarth中已经为我们提供了这样一个控件,首先看看在Bing Maps(http://cn…
1.简介 究竟什么是正则表达式 (Regular Expression) 呢?可以用下面的一句话简单概括: 正则表达式是一组特殊的 字符序列,由一些事先定义好的字符以及这些字符的组合形成,常常用于 匹配字符串 在 Python 中,re 模块 就是一个用于处理正则表达式的模块,详细信息可以参考 官方文档 另外,这里再给大家推荐一个博主常用的测试正则表达式的网站:http://tool.oschina.net/regex,不妨一试 2.特殊符号 上面说过,正则表达式实际上是由一些事先定义好的字符以…
在利用 Hexo 框架搭建一个属于我们自己的博客网站后,下面我们就来谈谈怎样在网站上书写我们的第一篇博客吧 一.创建文章 在站点文件夹中打开 git bash,输入如下命令创建文章,其中 title 为文章的标题 $ hexo new "title" 当输入命令后,就会在 source/_post 文件夹下创建一个文件,命名为:title.md 这个文件就是将要发布到网站上的原始文件,用于记录文章内容 下面,我们将要在这个文件中写下我们的第一篇博客 二.编写文章(基于 Markdown…
C语言高速入门系列(五) C语言指针初涉                                           ------转载请注明出处:coder-pig 本节引言: 上一节我们对C语言复合数据类型中的数组进行了解析,在本节中,我们会对C语言复合数据类型中的 重点,C语言的灵魂-----指针进行学习!使用指针的优点:利用指针能够表示与使用复杂的数据结构; 更加方便地使用我们的数组与字符串;能够像汇编语言一样直接处理内存单元地址;能够动态地进行内存空间 分配,C语言指针是重点,同…
网络结构解读之inception系列五:Inception V4 在残差逐渐当道时,google开始研究inception和残差网络的性能差异以及结合的可能性,并且给出了实验结构. 本文思想阐述不多,主要是三个结构的网络和实验性能对比. Inception-v4, Inception-ResNet and the Impact of Residual Connections on Learning 论证残差和Inception结合对性能的影响(抛实验结果) 1.残差连接能加速Inception网…
Keil MDK STM32系列 Keil MDK STM32系列(一) 基于标准外设库SPL的STM32F103开发 Keil MDK STM32系列(二) 基于标准外设库SPL的STM32F401开发 Keil MDK STM32系列(三) 基于标准外设库SPL的STM32F407开发 Keil MDK STM32系列(四) 基于抽象外设库HAL的STM32F401开发 Keil MDK STM32系列(五) 使用STM32CubeMX创建项目基础结构 Keil MDK STM32系列(六)…