attack_eg的博客

设置调试标记的四种技巧很多时候，当我们调试到程序的一个关键点时，想要将它记录下来，以方便下次调试可以继续从此处开始。在《逆向》书中提出了四种技巧：设置断点（F2）添加注释（；），右键Search for\User defined comment可查找设置标签（:），利用Search for\User defined labels 可查找goto 命令（ctrl+g），运行到目标地址快速查找

栈帧的三个基本职能声明局部变量传递函数参数保存函数返回地址 利用ebp(栈帧指针)寄存器可实现：访问栈内局部变量提取传递参数访问函数返回地址栈帧的生命周期helloworld程序main()函数的汇编代码： main函数栈帧生成： push ebp;保存上层调用函数的栈帧指针 mov ebp, esp; main函数的栈帧指针赋值为esp的值main函数栈帧清除：

函数调用约定，决定在函数调用过程中参数的传递方式、栈平衡由调用者还是被调用者执行、返回值如何传递。 三种比较基本的函数调用约定：cdelc (C调用约定)stdcall (标准调用约定)fastcall （快速调用约定）cdelc 参数通过堆栈传递，参数从右至左依次入栈； 由调用者负责执行栈平衡； 返回值一般存放于eax中；备注：cdelc是C语言默认的函数调用约定；函数

介绍PE文件是windows操作系统的可执行文件格式（包括.exe、.scr、.dll、.sys、.obj等文件），PE文件指32位的可执行文件，也称为PE32。64位可执行文件称为PE+或PE32+,是PE32文件的一种扩展形式。基本结构PE文件包含PE头与PE体，研究PE文件格式，就是研究构成PE头的结构体。 PE头包含的基本结构如下： 1.DOS头 2.DOS存根 3.NT头