xf555er的博客

Inline Hook，又称为超级Hook，是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码，通常是在目标函数的开头插入一个跳转指令（jmp）。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中，我们可以执行任意的代码，然后再跳回目标函数的剩余部分。这样，我们就可以在不改变目标函数原有逻辑的基础上，添加自己的功能。

汇编语言是一种低级编程语言，它使用简单的助记符来表示计算机底层的机器指令。汇编语言是直接与计算机硬件交互的，它能够控制计算机中的每一个细节。由于汇编语言非常低级，所以编写汇编程序通常比较困难。不过，汇编语言的优点是它能够非常有效地利用计算机的硬件资源，因此它在某些应用中仍然很常用，例如在系统编程和嵌入式系统开发中

dumpbin.exe在VS的VC目录下，通过dumpbin命令来获取dll文件或者lib文件里面包含的函数利用flirt工具针对lib文件生成对应的sig文件，然后导入ida中可以自动识别出函数名，ida导入sig文件后生成对应的map文件可导入OD中识别函数名，实现“动静结合”的调试方式IDR用于生成逆向delphi语言的调试符号, 可以准确获取各种事件的位置, 也可以生成map配合OD进行分析。

PUSH窗体大法可以绕过大部分易语言程序的登录和注册界面但是有一个缺点，由于不知道哪个窗体地址才是载入真正代码的窗体，所以要一个个窗体去测试载入，若某个窗体写了暗桩，那么直接凉凉。

有些加了壳的程序会导致其在未完全解密完成的情况下出现如下汇编代码当软件运行后，其真正的汇编代码才会呈现出来，也就是我们常说的“吐壳”在程序没有把壳完全吐出来前，我们需要通过代码来判断这个程序是否吐完壳了，最好的方法就是判断某个内存地址的值是否是解密完成后的值这里我就选4010F0内存地址的值53来判断程序是否吐完壳了简单来说劫持dll就是劫持系统的dll，弄一个包含恶意代码的dll来伪装成系统dll，然后把这个dll和程序放在同一目录，程序会优先调用含有恶意代码的dll本次实例演示劫持系统的。

通常写易语言软件的作者都会将按钮事件特征码整段都给vm掉，但是他们忽略了一个点， 没有把按钮事件特征码其外层的call进行vm， 而这个外层call走的是易语言的内核函数在按钮事件特征码的call下断点，查看右下角的堆栈窗口可找到外层call鼠标右键反汇编窗口跟随，找到外层???????新建一个易语言程序并将其拖入OD打开，二进制搜索FF 25转到易语言体处的第三个jmp下断然后一路往下跟，跟到，F7进如此call走到,并提取其特征:???????将此处的内存地址复制下来，到内存窗口里搜索此地址。

前面已经说了按钮事件特征码捕获的事件不只是按钮事件,还有一些其他事件。但是可以通过下条件断点来精准捕获按钮事件。

想要学免杀，就一定要懂得如何处理shellcode, 现在很多的木马免杀操作都是用工具来处理的, 但这仅仅能绕过一小部分杀软, 一旦杀软更新病毒库, 脚本小子们就无招可施, 本篇文章将带领大家了解shellcode的原理及制作, 会后续的Shellcode免杀打下坚实基础

IAT表：全称Import Address Table，中文名为导入地址表每一个进程都有这样一个IAT表，而这个IAT表存储着当前这个模块所用到的所有api函数地址将程序拖入OD里，随便找一个调用系统api的函数，然后数据跟随内存地址，会发现这些api函数在IAT表里的位置都是挨在一起的只要将这些函数的地址修改成指向我们自行设置的函数地址，就能实现所谓的IAT Hook又称为超级Hook, 比起IAT Hook, 它的实用性更强以及更加容易过检测。...