官方第二课createprocess函数位于kernel32.dll中
本帖最后由 zyz 于 2018-7-17 15:48 编辑官方第二课,kido老师讲的最后一个弹网页createprocess函数中断在断点,在堆栈窗口追踪到反汇编窗口,位于kernel32.dll中,界面显示是灰色的,nop填充以后复制到可执行文件是dll格式,系统是win7,x64系统,在官方虚拟机下这种断点不能中断,会跑飞
一个思路:在diaglogbox那里能看到睡眠时间,所以想到把对话框和睡眠整段retn然后就两个一起去掉了 本帖最后由 zyz 于 2018-7-17 15:52 编辑
还是有最后一个弹网页,求大佬指点,程序在网盘
https://pan.baidu.com/s/1cvU15zRB71vE-cpr14yaYQ
顺便问下,如果前后改了好多处怎样一次性保存
第一个,不要直接改系统文件,他只是为了测试吧?
最好不要一次性保存,我不好和你说有什么问题,建议一个修改一个保存。 Hmily 发表于 2018-7-17 16:59
第一个,不要直接改系统文件,他只是为了测试吧?
最好不要一次性保存,我不好和你说有什么问题,建议一 ...
谢谢H大,我接着看后面的啦 本帖最后由 zyz 于 2018-7-18 16:23 编辑
KIDO是真的皮
本帖最后由 冥界3大法王 于 2018-9-13 13:33 编辑
其实只要你冷静的思考,就能想通一个问题:
多数程序都是 先看到的一个窗口,而那个窗口对应的api叫什么名字?
如果这个程序退出时,又会执行某种类型的api函数对应哪些名字呢?
所以一前一后自然就有了一个区间段。
然后你再想想程序会往哪一个 区段 存执行的代码?
如果用W32dasm来提取这部分代码,那么得到的地址就变得 只有 1/6 了
编个程序下上一批断点,还怕不能断下来么 ~~
如果你是轰炸机的机长,攻击目标的范围都有了,打击精度用程序来实现,再缩小一点,又有何难呢~~
页:
[1]