简单的call函数过程
1.参数入栈,返回地址入栈。在一个栈帧里,call function的完整过程应该是这样的,call调用的过程要经历两个过程,一个是首先把调用函数之前的指令的下一条指令地址压入栈中(push ebp),作为返回地址,也就是保存旧栈地址,接着会跳转到被调函数的地址入口。呵呵,现在就是借此来恶补汇编哈。
2.代码区跳转。在执行被调函数的时候,为函数重新开辟栈帧,(mov ebp,esp)这句的意思是将旧栈顶换为新栈的底,这里的新栈一般是由函数专属的哈, 下面就是用sub esp, ...
分类:
其他好文 时间:
2014-05-22 11:34:25
阅读次数:
189
1.首先F3加载应用程序,然后一路F8直到自己停下来,或者是ctrl+F8他会自己运行,直到出现自己停下的时候(也就是OllyDbug把程序的控制权交出,转由应用程序自己控制,呵呵,不行,还得唠唠其他的......下面先跳转一下)
控制权、领空:关于程序的控制权和领空的问题,OllyDbug是一个强大的程序调试工具,具有强大的调试和反汇编能力,他会在应用程序拉到内存的那一刻,就牢牢的控制了该程序,具体的方法是(个人猜想而已):OD把程序拉到内存的同时,就是一个领孩子入瓮的问题,呵呵,实际这里...
分类:
其他好文 时间:
2014-05-22 07:38:22
阅读次数:
307
1.预备知识
1.关于栈,在windows里面的堆栈其实很简单,当学了才知道哈,呵呵,第一要记住的是windows里面的栈是向低地址生长的(extended,延伸,呵呵,顺便丰富下英语的单词量,确实是少的可怜),你可以这样认为,栈就像是一个倒立的箱子,箱子的口子是向下的,底是向上的,这里就表明了系统栈的分布也是延伸方向是由高地址向低地址extended,在最初的...
分类:
其他好文 时间:
2014-05-20 13:49:05
阅读次数:
399
近来android上越来越多的应用对自身的保护机制加强了重视,主要表现在几个方面。1dex加壳2so加壳3dex藏在so中,在适当的时候释放。这是技术上一个进步,并且还有一些专业的公司提供了整个安全的解决方法,比如防ptrace,或者加密dex文件等。但是不管如何,在技术层面,cpu要运..
分类:
移动开发 时间:
2014-05-13 00:44:42
阅读次数:
566
【使用class-dump】
对于未加壳的Mach-O文件,class-dump可以从Mach-O的section中还原出objc代码的头文件。下面做一些关键演示,以及对关键问题进行说明。
1、标准用法:-H -O dirname。 -H将解析出的头文件写成文件。-O dirname指...
分类:
其他好文 时间:
2014-05-07 01:01:23
阅读次数:
376
【PE文件结构】 【PE结构相关的3种地址】 【特征码】
很多EXE会被加壳,加壳的特点是入口地址被替换。所以入口地址处的代码常常可以用来判断EXE是否被加壳,以及用来判断是哪种程序生成的程序。这些可以判定目标的二进制机器码被称为特征码。特征码匹配就是一个二进制的匹配。
分类:
其他好文 时间:
2014-05-01 21:27:56
阅读次数:
500
