mengniu的文章

2016-10-29mengniu阅读(8058)评论(0)赞(0)

通常IDA对一个PE文件逆向出来的代码中， 存在四个最基本的段text、idata、rdata、data， 四个段为PE文件的结构中对应的段。 一、text段： 该段位程序代码段，在该段一开始就可以看到： .text:00401000 ; ...

2016-10-25mengniu阅读(7827)评论(0)赞(2)

目前发现aardio几个情况下使用数组会发生内存占用不断增加，不能释放的问题。 1.线程共享表，其中的元素赋值成数组。 2.线程call（thread.callWnd）中传递的参数中使用数组。 具体原因和根本解决方法暂时没有头绪。

2016-10-24mengniu阅读(8725)评论(0)赞(0)

什么是Overlay 当我们在玩脱壳的时候，用PE查出来的东西常常会看到一个[Overlay]. 今天找了篇文章大家看看： ————————&#...

2016-10-19mengniu阅读(10789)评论(0)赞(0)

查看所有运行中进程的命令行参数： wmic process get caption,commandline /value 查询指定进程的命令行参数： wmic process where caption=”notepad.exe...

2016-10-15mengniu阅读(16519)评论(0)赞(2)

FS寄存器指向当前活动线程的TEB结构（线程结构） 偏移 说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 FiberData 014 ArbitraryUserPoint...

2016-10-15mengniu阅读(7573)评论(0)赞(0)

获取网卡mac地址一般需要用到IPHLPAPI模块，下面该模块用来获取mac地址的代码（内部名为： IPHLPAPI.GetAdaptersInfo），如果要查找该地址，可以搜索其前24byte的特征码：8B FF 55 8B EC 51 ...

2016-09-26mengniu阅读(3581)评论(0)赞(0)

本人遇到的问题是sendmail启动和发送邮件都特别慢，可能发一次邮件都需要卡几分钟，绝对的是不正常。在网上搜相关问题，基本可以确定应该是DNS解析主机名时遇到问题了。我服务器的主机名自己改过，通过hostname这个命令可以查看当前的主机...

2016-09-19mengniu阅读(12113)评论(0)赞(1)

自己做软件遇到的一些经常用得着的断点。