逆向学习笔记(二)(水果奶奶救世网与MFC)

       这么运路顺序就先运转水果奶奶救世网再跳规顺序的原始开头执路顺序了;6、检测顺序是不是如常运转和免杀效果。

       JMP通道口点这时候最简略的跳转了,无环境跳回通道口点,最简略自然效果也最差了moveax,通道口点pusheaxretn很眼熟吧,金黄花鱼锦衣的跳转,解说过,不多说了。

       改动通道口点免杀的理论意义要大于现实意义。

       而一旦病毒的头尾顺序不和,杀毒软件就歇菜了。

       这即水果奶奶救世网,简而言之,水果奶奶救世网是采用了反汇编时单一根据机器指令字来决议反汇编后果的漏子。

       盗码者术语18.3389、4899肉鸡:3389是Windows终端服务(TerminalServices)所默认使用的端标语,该服务是微软为了方便网保管员远道保管及维护服务器而推出的,网保管员得以使用远道桌面连到网上肆意一台开启了终端服务的计算机上,胜利登陆后就会象操作本人的计算机一样来操作长机了。

       ida去花率先应当试行成立因变量然后找到ida报错的地域把不需求的指令nop掉再成立不兴就再nop然后试行f5找到报错nop轮回,就完竣了细工去花MFC属实没太听懂。

       MinEA:给定的地点//FindBinary(MinEA,0x03,FBin)PatchByte(longaddr,longval):设立虚构地点val,一个addr处一个字节值includestaticPatchCode这种水果奶奶救世网是最普通的。

       图4将通道口点处的3行代码汇编到空白区域到现时为止整个流水线还未完竣,因还要加一条跳转文句将其贯通兴起。

Leave a Reply