st 浮点栈寄存器的存储方式 问题描述: 我把1转成double压入st(0)中,按道理应该是3FF0000000000000,但x64dbg显示的是3FFF80000000...
st 浮点栈寄存器的存储方式 问题描述: 我把1转成double压入st(0)中,按道理应该是3FF0000000000000,但x64dbg显示的是3FFF80000000...
重定位TypeOffset只用12位表达偏移,最多表示4,095的大小,如何表示更大的地址呢? 另开一个块,调整VirtualAddress,使基址变大,这样用Virtual...
思路:可以用010 Editor查看块的位置,即可理清块与块之间的结构 现象:我原本认为块与块是紧挨着的,并且以WORD大小的00分割的, 但是实际情况是块与块的确是紧挨着的...
sizeOfBlock表示块的大小 是包括 VirtualSize 和 sizeOfBlock的
sizeOfCode代码节区的大小baseOfCode 代码节区的位置(rva)但是这两个字段对于pe加载没影响
ADC是带进位的加法指令。两者的格式都为:ADD/ADC source,destination将源操作数的值与目标操作数的值相加,并将运算结果放在目标操作数指示的位置。并根据...
逆向工程核心原理书上的使用序号寻找导出函数的地址具有误导性其实很简单,就是用你要查询的序号-Base,得到地址数组的索引,再获得地址我自己用c语言实现了GetProcAddr...
今天在复习如何破解abex`CrackMe2时学到了一个技巧,那就时查看结构体是一般我是反在内存窗口用十六进制格式去看,但是往往这样看不出什么 在书中采用了截然不同的方式,那...
今天发现一个Window API ExitProcess,这个是一个很有用的API,尤其是在反调试中程序自动终止,可以在这个程序下打断点回溯 有一个场景会经常使用它,就是程序...
一、 .assembly extern mscorlib{auto} .assembly: 关键词 声明一个程序集 extern:关键词 从外部导入 mscorlib 要导入...
JIT和解释器还是有区别的,解释器时直接直接分析源代码执行 而JIT是将中间代码转化成汇编语言执行的
在CLR(.net运行库)中,.net程序中由一个或多个托管可执行体组成,其中每一个托管可执行体中都带着元数据和托管代码(可选)。 这里的托管可执行体相当于类,元数据相当于成...
setlocale(LC_ALL, "chs");//输出宽字符中文必须调用这个 printf("\n本进程的名称:%ws\n\n",L"你好");
BYTE bytes1[4] = {0x00,0x10,0x40,0x00}; //创建4字节的字节数组 注意:字节是逆序的 BYTE bytes2[4] = {0x05,...
假如说要在00402000出写下跳转到00401000处用16进制该怎么写? 根据Intel x86 JMP指令的16进制为E9,所以地址为E9 XXXXXXXX,需要注意的...