ntdll!strlen

最新推荐文章于 2024-07-27 11:24:01 发布
原创 最新推荐文章于 2024-07-27 11:24:01 发布 · 809 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#c #byte #algorithm

7c902645 8b4c2404        mov     ecx,dword ptr [esp+4]
7c902649 f7c103000000    test    ecx,3 ;check if the address is 4 bytes aligned
7c90264f 7412            je      ntdll!strlen+0x20 (7c902663)
7c902651 8a01            mov     al,byte ptr [ecx] ; calculate length byte by byte
7c902653 41              inc     ecx
7c902654 84c0            test    al,al
7c902656 7440            je      ntdll!strlen+0x53 (7c902698)
7c902658 f7c103000000    test    ecx,3
7c90265e 75f1            jne     ntdll!strlen+0xc (7c902651)
7c902660 83c000          add     eax,0
7c902663 8b01            mov     eax,dword ptr [ecx]
7c902665 bafffefe7e      mov     edx,7EFEFEFFh   ; the algorithm is little bit confusing..
7c90266a 03d0            add     edx,eax
7c90266c 83f0ff          xor     eax,0FFFFFFFFh
7c90266f 33c2            xor     eax,edx
7c902671 83c104          add     ecx,4
7c902674 a900010181      test    eax,81010100h   ; If the content of [ecx] is 0 the next jump is not taken.
7c902679 74e8            je      ntdll!strlen+0x20 (7c902663) ; calculate length by dword.
7c90267b 8b41fc          mov     eax,dword ptr [ecx-4]
7c90267e 84c0            test    al,al    ; add the lowest byte
7c902680 7434            je      ntdll!strlen+0x71 (7c9026b6)
7c902682 84e4            test    ah,ah    ; add the second lowest byte
7c902684 7426            je      ntdll!strlen+0x67 (7c9026ac)
7c902686 a90000ff00      test    eax,0FF0000h   ; add the third one
7c90268b 7415            je      ntdll!strlen+0x5d (7c9026a2)
7c90268d a9000000ff      test    eax,0FF000000h   ; add the last one
7c902692 75cf            jne     ntdll!strlen+0x20 (7c902663)
7c902694 eb02            jmp     ntdll!strlen+0x53 (7c902698)
7c902696 ebcb            jmp     ntdll!strlen+0x20 (7c902663)
7c902698 8d41ff          lea     eax,[ecx-1]
7c90269b 8b4c2404        mov     ecx,dword ptr [esp+4]
7c90269f 2bc1            sub     eax,ecx
7c9026a1 c3              ret
7c9026a2 8d41fe          lea     eax,[ecx-2]
7c9026a5 8b4c2404        mov     ecx,dword ptr [esp+4]
7c9026a9 2bc1            sub     eax,ecx
7c9026ab c3              ret
7c9026ac 8d41fd          lea     eax,[ecx-3]
7c9026af 8b4c2404        mov     ecx,dword ptr [esp+4]
7c9026b3 2bc1            sub     eax,ecx
7c9026b5 c3              ret
7c9026b6 8d41fc          lea     eax,[ecx-4]
7c9026b9 8b4c2404        mov     ecx,dword ptr [esp+4]
7c9026bd 2bc1            sub     eax,ecx
7c9026bf c3              ret
ZeroChou
关注
ntdll.dll学习总结
bcbobo21cn的专栏
10-16 1万+
ntdll.dll ntdll.dll描述了windows本地NTAPI的接口。是重要的Windows NT内核级文件。当Windows启动时,ntdll.dll就 驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。[1]  中文名 ntdll.dll 外文名 NT Layer DLL 版    本 6.3.9600.17736 系统DLL文件 是 属    于 Wind
使用Dependency Walker和Process Explorer排查瑞芯微工具软件RKPQTool.exe启动报错问题
热门推荐
dvlinker的技术专栏
12-26 1万+
本文详细讲述如何使用Dependency Walker和Process Explorer排查瑞芯微软件工具RKPQTool.exe启动失败问题
打印出ntdll.dll中所有函数名字和地址
dididisailor的博客
11-26 3606
0x01 打印出ntdll.dll中所有函数名字和地址 0x02 在任何进程中都可以找到ntdll.dll和kernel32.dll这个动态链接库的基地址,另外每一个动态链接库基地址实际上都存放在一个双向链表的节点上,只要找到这个双向链表,就可以找到所需要的动态链接库基地址,然后就可以调用乱七八糟的函数,将shellcode放在一个精妙的地方。 0x03 代码如下: // GetKern...
NTDLL.DLL API Publish!
Lobbyfish的专栏
10-07 5185
__isascii__iscsym__iscsymf__toascii_alldiv_alldvrm_allmul_alloca_probe_allrem_allshl_allshr_atoi64_aulldiv_aulldvrm_aullrem_aullshr_chkstk_CIcos_CIlog_CIpow_CIsin_CIsqrt_fltused_ftol_i64toa_i64tow_ito
用windbg 检查内存泄漏
weixin_34232744的博客
05-10 194
1.下载编译https://github.com/0cch/luadbg 2.编写脚本1.txt .load luadbg_v15*.sympath+ srv*c:\MyServerSymbols*https://msdl.microsoft.com/download/symbolsx *!*CrtDumpMemoryLeaks*bm *!*CrtDumpMemoryLeaks* ".logo...
Windebug专题
flyingleo1981的专栏
03-28 2371
5 解决问题案例 !cs、~~[TID](经典死锁) 随手写的: #include <windows.h > CRITICAL_SECTION cs1; CRITICAL_SECTION cs2; DWORD __stdcall thread1(LPVOID lp) { En...
深层解析最核心的dll:NTDLL.dll
Tommy(凌飞)的专栏
09-23 6658
打开NTDLL.dll,惊奇的发现原来CRT的许多基本函数居然都是在这里实现的!甚至包括qsort,ceil这样的函数,还有臭名昭著的 strcpy(严格来讲,这只能怪使用者不当心)。堆的释放,进城管理,似乎都是在这。于是,我决定,仔细察看以下它,这1410个函数是做什么的.
剖析XP系统核心之 ----ntdll.dll
her0z的专栏
02-12 1304
打开NTDLL.dll,惊奇的发现原来CRT的许多基本函数居然都是在这里实现的!甚至包括qsort,ceil这样的函数,还有臭名昭著的 strcpy(严格来讲,这只能怪使用者不当心)。堆的释放,进城管理,似乎都是在这。于是,我决定,仔细察看以下它,这1410个函数是做什么的用户模式的代码在调用系统内核函数的时候,首先把一个叫做system call number的数放在EAX中,把参数放在其它
linux学习笔记——gdb时出现错误single stepping until exit from function xxx,which has no line number information
phily123的博客
09-29 5253
错误: single stepping until exit from function xxx,which has no line number information 解决方法: 问题原因应该是所要查看的函数在编译时没有加入编译选项,重新编译加入-g即可。 添加链接描述
Windows 如何通过 hook 来拦截截屏
Frendguo的博客
03-07 3290
这篇内容介绍了如何在Windows系统中进行屏幕捕获的权限管理,特别是拦截截屏操作。文章首先指出在传统Windows应用程序中,系统没有提供直接的权限管控,因此需要采取一些其他方式,如使用hook来进行权限管控。接着,文章演示了如何通过API Monitor来监听目标应用程序的行为,以确定其使用的截屏方式。然后,文章介绍了如何使用BitBlt接口进行hook操作,以实现拦截截屏。最后,文章提供了注入hook DLL到目标进程的方法,以实现权限管理。
使用Dependency Walker和Process Explorer排查瑞芯微工具软件RKPQTool.exe启动报错的问题
dvlinker的技术专栏
07-27 1407
使用Dependency Walker和Process Explorer排查瑞芯微工具软件RKPQTool.exe启动报错的问题
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 1万+
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 4298
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 7644
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 2155
认识了 TypeScript 中的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程中的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 3201
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 4632
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
C语言经典小游戏之----推箱子
嵌入式技术开发
02-25 4816
在进行推箱子的实验中,可以使用对应的API函数来改变对应箱子的颜色,也需要根据,人在移动的过程中,可以通过方向键,并改变对应的颜色,从而实现控制人物的目的。 代码实现如下: #include<stdio.h> #include<stdlib.h> #include<string.h> #include<windows.h> #include<conio.h> int x = 0, y = 0; //存储当前使用的...
关于Dubbo的mock=true降级无法调用降级类ServiceMock的解决方案
weixin_45754452的博客
02-25 1753
问题 消费者使用mock=“true”,想调用TestServiceMock进行服务降级无法调用 原因 我的项目结构如下,首先要知道服务降级代码应该是谁执行的,服务降级是服务消费者也就是controller包处对应的服务执行的,因为我只是测试dubbo怎么使用,所以并没有分多模块,但完全可以把一个包理解为一个模块,再看下面配置文件 为什么可以把一个包当成一个模块呢,因为我把配置文件的scan改成controller包然后启动一个服务器,即消费者,如果把scan改成service则可以启动服务提供者服务器
详细注释函数 CSymbols::CSymbols(const char* SymbolsPatch) { m_ZwQuerySystemInformation =(ZWQUERYSYSTEMINFORMATION)GetProcAddress(GetModuleHandle(L"ntdll.dll"), "ZwQuerySystemInformation"); m_SymbolsPatch = SymbolsPatch; Module_INFO Module; if (!GetKernelModuleInfo(&Module)) { MessageBox(0, L"GetKernelModuleInfo error!", L"", 0); } DWORD Options = SymGetOptions(); Options = Options | SYMOPT_DEBUG; SymSetOptions(Options); m_hProcess = GetCurrentProcess(); //BOOL bRet = SymInitialize(m_hProcess, 0, FALSE); //if (!bRet) //{ // MessageBox(0, L"SymInitialize error!", L"", 0); // return ; //} if (!InitSymHandler1()) { MessageBox(0, L"SymInitialize error!", L"", 0); return; } if (m_SymbolsPatch==0) { MessageBox(0,L"m_SymbolsPatch error",L"",0); return ; } if (!SymSetSearchPath(m_hProcess, m_SymbolsPatch)) { MessageBox(0,L"SymSetSearchPath error!",L"",0); return ; } HMODULE hDll = LoadLibraryEx(TEXT("ntoskrnl.exe"), NULL, DONT_RESOLVE_DLL_REFERENCES); char szFile[MAX_PATH], SymFile[MAX_PATH] = {""}; char SymFile1[MAX_PATH] = { "" }; //MODULEINFO ModInfo; GetModuleFileNameA(hDll, szFile, sizeof(szFile) / sizeof(szFile[0])); char currentDir[260]; GetCurrentDirectoryA(260, currentDir); //char szcurrFile[MAX_PATH]; //GetModuleFileNameA(NULL, szcurrFile, sizeof(szcurrFile) / sizeof(szcurrFile[0])); //HANDLE hcurr = GetModuleHandleA(szcurrFile); //char SymFile[MAX_PATH] = {""}; char SymFile1[MAX_PATH] = { "" }; if (!SymGetSymbolFile(m_hProcess, NULL, szFile, sfPdb, SymFile, MAX_PATH, SymFile1, MAX_PATH)) { int err = GetLastError(); char msg[260]; sprintf(msg, "SymGetSymbolFile error:%d", err); MessageBoxA(0, msg, "", 0); return; } MessageBoxA(0, "OK", "", 0); return; char FileName[MAX_PATH]; GetSystemDirectoryA(FileName, sizeof(FileName)); strcat_s(FileName, "\\"); strcat_s(FileName, Module.KernelName); HANDLE hFile = CreateFileA(FileName, GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0, NULL); if (hFile==INVALID_HANDLE_VALUE) { MessageBox(0,L"CreateFileA error!",L"",0); return ; } DWORD dwfilesize = GetFileSize(hFile, NULL); m_BaseOfDll = SymLoadModule64(m_hProcess, hFile, FileName, NULL, (DWORD64)Module.KernelBass, dwfilesize); CloseHandle(hFile); if (m_BaseOfDll == 0) { //printf("SymLoadModule64:%d\n", GetLastError()); MessageBox(0,L"SymLoadModule64 error!",L"",0); return ; } }
最新发布
08-10
// 获取 ntdll.dll 中的 ZwQuerySystemInformation 函数指针 // 用于后续查询系统信息(如内核模块地址) m_ZwQuerySystemInformation = (ZWQUERYSYSTEMINFORMATION)GetProcAddress( GetModuleHandle(L"ntdll....
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值