zcc1414的专栏

2005 msdn url:ms-help://MS.MSDNQTR.v80.chs/MS.MSDN.v80/MS.WINCE.v50.en/wcecoreos5/html/wce50lrfsystemerrorsnumericalorder.htm The following table shows possible system error values.

DEBUG:除数是2 的倍数除数不是2 的倍数

OD直接加载svchost.exe  -k rpcss  以命令行参数形式加载1）svchost.exe加载到内存中01002509 >/$ E8 EEFCFFFF call svchost.010021FC0100250E |. 8BFF mov edi,edi01002510 |. 56 push esi01002511 |

在保护模式下，当中断/异常发生时，CPU通过中断描述符 IDT 来寻找处理函数（是CPU与操作系统交接中断和异常的关口）IDTR 寄存器来描述  高32位是 IDT表的基地址   低16位是IDT表的长度命令 rigtr     rigtl   观察IDTR寄存器CLI 关闭中断处理IDT表的每个表项是一个所谓的门描述符结构IDT   ：   1任务门    用于任务切换  包

学习与  看雪上  看雪上比较详细但在另一地方也看到  ：http://hi.baidu.com/xx375/item/8e86710d41b3a63e4bc4a36ehttp://hi.baidu.com/xx375/item/f7b3f331edb396413175a16e

#include "stdafx.h"#include #define WINVER 0x0501#include BOOLDbgNewProcess( LPTSTR szCmdLine){ STARTUPINFO StartupInfo; PROCESS_INFORMATION ProcessInfo; memset ( &StartupInfo ,

#include "stdafx.h"#include int _tmain(int argc, _TCHAR* argv[]){ char name[50] = "abcdef"; int sum =1,sum2; for (int i=0;i<strlen(name);i++) { sum*= name[i]; } char name2[50]; itoa(sum,n

视频学习：编译模块 后 不用改为回环地址所以可以用  MiniSniffer抓包GET ksreg_server/chkb8.php可可验证OD载入程序F9  运行    查找字符串 （最后不要在DO搜索 容易BUG）复制所有字符串   搜索 登陆失败 信息下断点往上找寻信息找到跳过登陆失败的JNZ修改后结束  查找结束的CALL再重新跳过 结束CA

拦截窗口：bp CreateWindow 创建窗口bp CreateWindowEx(A) 创建窗口bp ShowWindow 显示窗口bp UpdateWindow 更新窗口bp GetWindowText(A) 获取窗口文本拦截消息框：bp MessageBox(A) 创建消息框bp MessageBoxExA 创建消息框bp MessageBoxIndirect(A) 创建

学习于    加密与解密3手工构造输入表构造输入表完毕后再到  数据目录的输入表位置填写地址和大小就行了

使用工具： .NET Reflector 7.6 （Reflexil为其下的修改保存插件）         de4dot_DownZa.Cn 脱壳   DoNetStringSearch是C#混淆程序中字符串（看到程序中有 XenoCode等）一般都是先  脱壳  脱壳可能要看清楚是几层壳子   有没有混淆将程序直接用   Reflector  导出源代码拖进  S

转载至   http://bbs.pediy.com/showthread.php?t=46690一般情况下我们在 VS2005以上都不能手动设置SEH异常处理函数因为有 SafeSEH  保护但是可以将保护的SEH验证给篡改掉  也就是将 系统的SEH函数JMP我们的异常函数地址如下：#include "stdafx.h"#include int __stdcal

各处转载 ，只是学习，没有其他意思~~~~~~PE文件内容装在进内存的方式有两种： 1）直接将整个文件读入内存2）根据 Windows PE 装载器载入PE文件的方式将PE文件载入内存这里采用 2 方法。创建一个CPack类，1）封装 LoadPE 函数：1 判断文件是否存在  2 判断文件是否为PE文件  3）文件内容读入内存  4 保存附加数据2）判断文件是

MBR 处理器加电/复位后，如果硬盘式首选的启动设备，那么ROM-BIOS 将试图读取硬盘的0面0道1扇区。这就是主引导扇区读取的主引导扇区数据有512字节，ROM-BIOS将它加载到逻辑地址0x0000:0x7c00处也就是物理地址 0x07c00 处，然后判断它是否有效有效的主引导扇区，最后两字节为   0x55 + 0xAA  ROM-BIOS程序先检测这两个标志，如

直接写一遍PE结构吧 看看记得住不？MS-DOS { MZ ````` e_lfanew} 64字节dos-stub 112字节 不定NT header { Signature 4 IMAGE_FILE_HEADER { machine NumberOfSections timedatastamp PointerToSymbolTable

用到了很多PE知识： 直接上代码吧// ganran_pe.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #include #include //本程序只适用于载入基址定位的。。。非随机基址//感染指定目录的PE文件char ItIs[M

加密与解密第二版 222 页查看

只是笔记而已························需要文件  ： ollydbgvc7.lib   Plugin.h编译环境  VC6.0即可#include #include "Plugin.h" #pragma comment(lib,"ollydbgvc7.lib")static char g_szPluginName[] = "Hello,world Pan

一、VB程序 其实,VB的按纽事件的找法是最为普遍的,也就是大家所谓的万能断点.其实也不仅仅是针对按纽事件,还有很多其他的用处,如取消NAG,启动框,灰色按纽或隐藏按纽,启动时的timer事件等等,具体的就自己去总结吧,这里只演示按纽事件!OD载入后,CTRL+B,816C24 确定后,就会来到下图处: 然后,就在下面的JMP处F2下断,下完后CTRL+L,如果还有,就继续下断点.

这个程序加了  SE2.1.6.0WriteProcess 下断补丁进程结束外挂正常 本没有断下   没有调用这个函数不是所有的补丁都会调用这个函数的1）看有没有DLL加载有些作者  会把DLL  释放到系统文件夹中加载可以监视器去监视生成的文件还可以去查看  模块：没有登录  时   模块信息  -》  拷贝  整个表-》记事本1  挂接这个程序模块i

DWORD dwEAX = 0; DWORD dwEBX = 0; DWORD dwECX = 0; DWORD dwEDX = 0; // 获取CPUID0 _asm { mov eax, 0 cpuid mov dwEAX, eax mov dwEBX, ebx mov dwECX, ecx mov dwEDX, edx } printf("CPUI

全称是pseudo－code，就是伪代码的意思，在VB编译中，有两种编译方式，一种是Native－Code（本地代码），另一种就是p－code。p－code的整个代码直接交给CPU处理，由MSVBVM6.0.DLL来翻译。OD 对它不是很支持

XT   软件  去暂停程序    OD  挂接    让主线程运行  其他线程暂停这样就停掉了壳程序反挂接代码：  外壳代码HWND hwnd = ::FindWindowA(NULL,"Delphi 5.0"); DWORD PID; DEBUG_EVENT debug_event = {0}; GetWindowThreadProcessId(hwnd,&PID);

分析：00401650 /. 55 push ebp00401651 |. 8BEC mov ebp,esp00401653 |. 83E4 F8 and esp,0xFFFFFFF800401656 |. 81EC 9C000000 sub esp,0x9C0040165C |. A1 20504000 mo

这个KEYGENME  有点简单   但是写注册机有点难度  要求写出随机的注册码大体流程：00401000 >/$ 6A 00 push 0x0 ; /Style = MB_OK|MB_APPLMODAL00401002 |. 68 00304000 push KeygenMe.00403000

delphi   用dede 查看  看到有 visiable=false   软件拖入 peExplorer 进去修改 隐藏部分灰色按钮  ShowWindow  SetWindowLong   EnableWindow  去看看  也可以资源工具

这个CRACKME：00401262 |. 8D4424 04 lea eax,dword ptr ss:[esp+0x4]00401266 |. 6A 0A push 0xA ; /Count = A (10.)00401268 |. 50 push eax

这个程序采用SendDlgItemMessageA  限制 文本框的输入  但我们只要 修改push 0040130D /$ 50 push eax0040130E |. 33C0 xor eax,eax00401310 |. A1 14324000 mov eax,dword ptr ds:[0x403214]00401315

硬编码 HOOK API这里实现   显示的  “失败”   换成  “成功了啊？”77D507EA >- E9 733F6B88     jmp MyCrackM.00404762//这里是MessageBoxA    00404762 是 exe程序领空的一个地址77D507EF    833D BC14D777 0>cmp dword ptr ds:[0x77D714BC

1.过 滤IP，如来源IP或者目标IP等于某个IP例子:ip.src eq 192.168.1.107 or ip.dst eq 192.168.1.107或者ip.addr eq 192.168.1.107 // 都能显示来源IP和目标IP2.过滤端 口例子:tcp.port eq 80 // 不管端口是来源的还是目标的都显示

修改HOSTS文件：c:\windows\system32\driver\etc\HOSTS目的IP     需要跳转的网站比如：    百度-》谷歌 74.125.128.103   www.baidu.com

要求把名字固定住运行  会出现一个EXE  修改这个文件名  就可以固定住它的用户名要进去游戏查看！！！！！！！！！！！！！！！！！！开启外挂   提示过期··············································下MessageBoxA断点   没有断下  试下  MessageBoxW   没有中断F12中断法单步走   看游戏流程  

无源码 分析  -》  黑盒分析飘零 3.2VIP客户端心跳包   很多 大小为1   的包       防止程序强制关闭封包内容 大概为：p=xxxxxxxxxxxxxxxxxxxx&pzdm=xxxxxxxxxx&post=xxxxxxxxxxxx这个大概就是飘零验证了搜索字符串···不能整除与零不能求余数与零········下面

视频笔记：如果提示  天数使用限制可以修改时间  去破掉这个  限制 但是1 发包到服务器2 服务器传回时间 动态3 判断接受到的包，弹框多久到期，取本地时间验证4 又一层验证，取的不是本机的时间，取时间的方式与3不一样修改时间   往前改本地欺骗   可以用于  固态的 包检查下断 MessageBoxA     但是没有断下查看模块 MS

看视频后记录：分析协议：HOST    GET   ->  HTTP协议搜字符串 显示了很多字符串  没有关键字符串必须要有一个账号：yizhiyu6xiao369 不能用  账号被锁定抓包分析修改/找回密码123123456账号被锁定fuckyou问题：fuckyou答案：haozi  123456猜对了抓包   分析：

命令种类：1）标准命令 2）元命令  3）扩展命令CTRL+ 9   线程进程查看| |1 s  进程转换| 1 s   线程转换.abandon  放弃所有调试程序.reload 重新加载模块kPL  栈回溯查看 （大小写敏感）.hh +指令   解释指令?h eax  得到一个32位数的高 16位数  相对应为 low低16位?by  eax

#include "stdafx.h"#include int main(int argc, char* argv[]){#define PATCH_ADDRESS 0x00408EC2 char szFileName[] = "5Star.exe"; BOOL flag = TRUE; BYTE ReadBuffer[128] = {0}; BYTE TarGetData[]

有源码  修改IP指向本机建立本地服务器除了中文 文档  其他复制进  服务器目录编译创建账号默认账号密码   admin修改到期时间   随便写机器码客户端 登陆成功抓包 并没有抓包回环地址  127.0.0.1  不会经过网卡一般抓包工具抓取网卡信息 所以没有信息这里用封包助手  通过HOOK手段抓取包的jiance```denglule``

外挂1  一运行  就挂掉证明一运行  就验证  用户 是否  合法OD运行  挂掉  此时  搜索 字符串看到这几句  就能知道是E   语言    这几句下面的字符串都没什么用处判断是本地验证  还是  网络验证：miniSniffer   去抓包看到这个是从 百度获取时间对这个下断      重来后  断点失效跳到这个断点     代码还没

已经有人分析了 本着学习的目的再分析一遍【破文标题】KeyGenMe1【破文作者】Panda【破解工具】OD【破解平台】WinXP【破解声明】学习笔记而已程序通过 SendMessageA 得到字符串账号 假码004013D7 . 68 CC344000 push KeygenMe.004034CC ; ASCII "abcdef"