通常IDA对一个PE文件逆向出来的代码中， 存在四个最基本的段text、idata、rdata、data， 四个段为PE文件的结构中对应的段。 一、text段： 该段位程序代码段，在该段一开始就可以看到： .text:00...

在调试一些病毒程序的时候，可能会碰到一些反调试技术，也就是说，被调试的程序可以检测到自己是否被调试器附加了，如果探知自己正在被调试，肯定是有人试图反汇编啦之类的方法破解自己。为了了...

什么是Overlay 当我们在玩脱壳的时候，用PE查出来的东西常常会看到一个[Overlay]. 今天找了篇文章大家看看： ------------------------------------------------------------------------------...

查看所有运行中进程的命令行参数： wmic process get caption,commandline /value 查询指定进程的命令行参数： wmic process where caption='notepad.exe' get caption,commandline /value

FS寄存器指向当前活动线程的TEB结构（线程结构） 偏移 说明 000 指向SEH链指针 004 线程堆栈顶部 008 线程堆栈底部 00C SubSystemTib 010 FiberData 014 ArbitraryUserPointer 018 FS段寄存器在...

以下函数均用于检索或设置系统信息。 ExpandEnvironmentStrings GetComputerName GetCurrentHwProfile GetKeyboardType GetSysColor GetSystemDirectory GetSystemInfo GetSystemMetrics GetThr...

CCProxy8.0是个不错的代理服务器软件，可以免费使用，但是免费版有一些限制。使用下面的注册码可以注册成正式版。 序列号：JHEHIHCDDAHC 注册码：15f7f78febfaee55afeafefff7cb7fdfb3

这老九门电视剧感觉拍的比最近上映的盗墓笔记强多了。但是爱奇艺非会员不能看最新的4集。这么多视频网站，每个都搞VIP会员，难道要让我等每个网站的VIP都买一个？还好我搜到了会第一时间分享他...

整理自己hook汇编代码的经验。 1、现场的保存和恢复 之前是逐条push和pop，后来在网上看到更简洁的方法：pushad（机器码是：0x60），popad（机器码是0x61），一次性保存和恢复所有寄存器。 2、...

创建互斥体是CreateMutexA或者CreateMutexW，前者是用于ASCII码的，后者是宽字符Unicode编码的。用OD的bp CreateMutexA或CreateMutexW命令即可。

沙盘程序可以使用dos命令和相关参数完成下列功能。 Start启动：在沙盘中运行程序 Stop 停止：关闭沙盘程序 List列表：显示在闪盘中运行的程序列表 Delete 删除：删除沙盘中的内容 Reload重载：...

新装的windows10打开资源管理器时默认打开的是“快速访问”，里面有用户文件夹的几个库和近期访问的一些文件。然而这不是我想要的，还是习惯以前的样子。 操作步骤：打开资源管理器后，在“快速...