官方第二课createprocess函数位于kernel32.dll中

zyz · 发表于 2018-7-13 21:31

本帖最后由 zyz 于 2018-7-17 15:48 编辑

官方第二课，kido老师讲的最后一个弹网页createprocess函数中断在断点，在堆栈窗口追踪到反汇编窗口，位于kernel32.dll中，界面显示是灰色的，nop填充以后复制到可执行文件是dll格式，系统是win7,x64系统，在官方虚拟机下这种断点不能中断，会跑飞

zyz · 发表于 2018-7-17 17:16

一个思路：在diaglogbox那里能看到睡眠时间，所以想到把对话框和睡眠整段retn然后就两个一起去掉了

zyz · 发表于 2018-7-14 11:17

本帖最后由 zyz 于 2018-7-17 15:52 编辑

还是有最后一个弹网页，求大佬指点，程序在网盘
https://pan.baidu.com/s/1cvU15zRB71vE-cpr14yaYQ
顺便问下，如果前后改了好多处怎样一次性保存

Hmily · 发表于 2018-7-17 16:59

第一个，不要直接改系统文件，他只是为了测试吧？

最好不要一次性保存，我不好和你说有什么问题，建议一个修改一个保存。

zyz · 发表于 2018-7-17 17:02

Hmily 发表于 2018-7-17 16:59
第一个，不要直接改系统文件，他只是为了测试吧？

最好不要一次性保存，我不好和你说有什么问题，建议一 ...

谢谢H大，我接着看后面的啦

zyz · 发表于 2018-7-18 16:20

本帖最后由 zyz 于 2018-7-18 16:23 编辑

KIDO是真的皮

冥界3大法王 · 发表于 2018-9-13 13:30

本帖最后由冥界3大法王于 2018-9-13 13:33 编辑

其实只要你冷静的思考，就能想通一个问题：
多数程序都是先看到的一个窗口，而那个窗口对应的api叫什么名字？
如果这个程序退出时，又会执行某种类型的api函数对应哪些名字呢？
所以一前一后自然就有了一个区间段。
然后你再想想程序会往哪一个区段存执行的代码？
如果用W32dasm来提取这部分代码，那么得到的地址就变得只有 1/6 了
编个程序下上一批断点，还怕不能断下来么 ~~
如果你是轰炸机的机长，攻击目标的范围都有了，打击精度用程序来实现，再缩小一点，又有何难呢~~

帐号		自动登录	找回密码
密码			注册[Register]

[第二课] 官方第二课createprocess函数位于kernel32.dll中