在RadASM.ini中的color节添加 4=wls_asm_color,16777215,0,8388608,16777215,15777984,12644544,12632304,16441763,8421504,8388608,14286847,0,14286847,0,14286847,0,8421440,16711680,37781504,4227072,9508725,16809984,25165824,33521664,33489024,29393024,25198592,210…

RadASM版本:2.2.2.0 在这个版本的RadASM代码编辑器里面,如果输入中文,则会乱码,经过一些尝试后,终于解决了这个问题,通过修改RadASM的字体设置就可以了!! 修改字体说明:通过本人对比,发现"微软雅黑"是比较适合编码的字体,字体大小根据自己屏幕分辨率决定!! 1,点击"选项"->"字体选项". 2,点击"代码编辑"->字体中左侧的"微软雅黑"->选中脚本中的"…

今天在asm中不通过msvcrt.inc调用c库. 所以.第一时间就在vc的lib中拷贝了libc.lib问价.加入工程后. 声明.调用如下: 然后.链接报错. libc.lib(crt0.obj) : error LNK2001: unresolved external symbol _mainlibc.lib(a_env.obj) : error LNK2001: unresolved external symbol __imp__GetEnvironmentStrings@0Libc.ex…

RadASM 命令行语法 DelCheck,Out,Command,F1[,F2[,Fx]]   DelCheck   执行命令前要清除的文件,不使用时设为0  Out      一般指定为O,所有信息显示在输出窗口,不使用时设为0  Command    命令及选项参数,不使用时设为空  F1[,F2[,Fx]] 命令操作的文件,以数字表示  注意:   1.两种表示文件的方法 ,number        逗号后面跟一个数字,会得到一个被双引号包括的文件名 $number      doll…

32位汇编第三讲,RadAsm,IDE的配置和使用,以及汇编代码注入方式 一丶RadAsm的配置和使用 用了怎么长时间的命令行方式,我们发现了几个问题 1.没有代码提醒功能 2.编写代码很慢,记不住各种声明 那么现在有大神,已经帮我们做了一个IDE环境,就是RadAsm,首先简单介绍一下界面 (对于这个IDE(最新版是3.0)我已经打包好了,有中文版本,和英文版本) 我们需要配置一下环境 1.配置编译环境,配置lib文件库,配置Debug调试器 打开后会弹出 首先这里我们注意下面的几个选项 1.…

RadASM的代码编辑器默认背景色位黑色,我很不习惯,决定更换它,按照下面步骤,我把RadASM的代码编辑器默认背景色成功更换成了白色: 1, 2, 3, 4,…

RadASM已经安装完毕了,是否可以正常工作了呢?我们通过创建一个工程来测试一下,下面就是创建这个测试工程的过程: 1, 2, 3, 4, 5, 6, 7, 8, 9, 至此,我们通过RadASM的模板创建一个测试工程,成功运行了我们的汇编程序,我们的RadASM真的可以正常工作了!!!!…

已经配置好的汇编工具下载地址:http://download.csdn.net/detail/sunylat/9189543 RadASM也是一款汇编开发工具,网址:http://www.oby.ro/rad_asm/ 这个工具我也是偶然知道的,今天简单试用了一下,我觉得不错!支持代码自动提示:左侧显示代码行号等! 一,下载RadASM:RadASM这个工具很多东西都是分开的,仅仅下载一个IDE也应该可以工作,如果想功能更强大,那么应该下载那些能够使RadASM进一步增强的那些东西. 1,Rad…

在动手自己尝试编写书上第13章的例子Patch3时,遇到了一个结构体EXCEPTION_DEBUG_INFO. 这个结构体在MASM的windows.inc中的定义和MSDN中的定义不一样. (我使用的是masm32v11r.zip版的MASM,参阅的MSDN链接为http://msdn.microsoft.com/en-us/library/windows/desktop/ms679326%28v=vs.85%29.aspx) 在windows.inc中 EXCEPTION_DEBUG_INF…

C语言版 开发语言:C语言 开发工具:Visual Studio 2015 目      标:使用C语言,直接调用Windows API,创建Windows程序. 参考图书:<Windows程序设计 (第5版)> Delphi版 开发语言:Object Pascal 开发工具:Delphi 目      标:使用Delphi,绕过VCL建立的各种创建Windows程序的便捷的类,直接调用Windows API,创建Windows程序. 参考图书:<Delphi Win32核心API参考&…

一.条件汇编伪指令和宏使用可以使汇编程序更加灵活 二.通过伪指令来检查函数的参数是否为空,如果为空则输出警告信息 INCLUDE Irvine32.inc includelib Irvine32.lib includelib kernel32.lib includelib user32.lib .data source BYTE .code mWriteStr MACRO string IFB <string> ECHO ------------------------------------…

第一步: 安装虚拟机32位XP系统 + RadAsm软件 第二步:    下载<Intel汇编语言程序设计第5版>中相关的源代码以及库文件           http://kipirvine.com/asm/examples/index.htm 将IrvineExamplesVS2008下载下来之后,解压出来inc和lib文件分别放在RadAsm的目录中 注:如果找不到路径,编译错误会提示你的, C:\RadASM\Masm32\Bin\ML.EXE /c /coff /Cp /nologo…

本文写给学汇编语言程序设计刚起步的吧友.适用Windows操作系统.已入门的吧友请绕道. (1)masm32开发包的下载 要用汇编语言编程,首先得有个开发工具,汇编语言开发工具有多种,但本文仅介绍masm,介绍如何编写符合masm语法规范的源代码程序以及如何将源代码程序进行编译和链接,生成可执行的应用程序文件. masm开发包包括汇编器.连接器等工具,版本有多种,本文选择使用masm32,其下载地址如下:http://www.masm32au.com/masm32/masm32v11r.zip…

如何用Visual Studio 2008写汇编程序? 最近在上夏季小学期,在学汇编语言,关于用什么编辑环境一直很纠结.很想找到一个比较好的IDE,但是试了几个像RadASM之类的,发现还不是很满意.于是,只能用UltraEdit或NotePad之类的文本编辑软件. 今天,课上老师讲了用Visual Studio 2008来写汇编程序,我用了一下,发现用Visual Studio确实很方便,尤其是调试功能很强大(可以运行到断点查看寄存器,或指定内存区域).特把如何在Visual Studio 2…

逆向实用干货分享,Hook技术第一讲,之Hook Windows API 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) 一丶什么是Hook,以及Hook能干啥 首先这一个小标题主要介绍神马是Hook,如果知道的,则不用看了. 这里我偷袭啊懒,贴出Hook的意思  https://baike.baidu.com/item/%E9%92%A9%E5%AD%90%E7%A8%8B%E5%BA%8F Hook,英文单词中成…

PE文件格式详解,第二讲,NT头文件格式,以及文件头格式 作者:IBinary出处:http://www.cnblogs.com/iBinary/版权所有,欢迎保留原文链接进行转载:) PS:本篇博客默认你已经有了汇编基础,所以会使用32位汇编编写最小PE进行讲解 今天详解NT 头格式,以及文件头格式,以及作用, 关于DOS头文件格式,以及DOSStub昨天的博客已经写过了.主要是分散讲解.便于理解. 一丶最小PE的生成,以及标准PE的生成 ps: (如果直接学习NT头,文件头,请不用看这个生成…

此程序建立了一个TCP服务端,端口号为10010,之后accept等待连接,如果接受到连接,那么就发送一些欢迎信息,以及提示信息---发送quit退出. 之后不停地调用recv,如果接受到数据,那么判断是否为quit,是则退出,否则进入401e00对接收到的数据进行加密 ,之后把加密后的数据发送回客户端: 之后跳回recv等待. 加密过程401e00抠出,如下: ;第一步 抠出加密函数 . .model flat,stdcall option casemap:none include msvcr…

进入windows操作系统,因为我的虚拟机用的是win7 64位,所以装了一个Dos Box 的软件来执行这些指令. 输入debug回车,这样就进入了debug模式. 1: 输入 -r 查看或者修改寄存器,可以修改CS IP来指向要执行汇编的内存地址   -r 回车 查看   -r ax 回车 修改 ax的值   -r cs 回车  修改 cs的值   -r ip 回车 修改 ip的值 2: 输入-D 查看内存中的信息   -d 1000:0000 查看段地址为1000H ,偏移地址为0开始的内…

Markdown版本笔记 我的GitHub首页 我的博客 我的微信 我的邮箱 MyAndroidBlogs baiqiantao baiqiantao bqt20094 baiqiantao@sina.com Android APK 打包流程 MD 目录 目录APK 的打包流程整体流程资源的编译和打包资源ID资源索引概况具体打包过程aapt阶段aidl阶段Java Compiler阶段dex阶段apkbuilder阶段Jarsigner阶段zipalign阶段 APK 的打包流程 参考 Andr…

Prezi 1. 官网   https://prezi.com/ 2. 入门教程   https://wenku.baidu.com/view/9bb234ac0029bd64783e2c6b.html 3. 百度百科   https://baike.baidu.com/item/prezi/7420950?fr=aladdin Gamma 函数 1. 神奇的伽马函数 PDF: https://wenku.baidu.com/view/7042411e561252d381eb6e25.html…

网站 AoGo汇编小站(MASMPlus作者) Win32Asm教程在线版 Win32Asm教程博客园文件备份版 Masm32补充教程系列 Win32 ASM Tutorial Resource Kit:dREAMtHEATER收集的WIN32ASM教程,内容很全,包括32位汇编的基础知识,Iczelion的经典教程中英文版,罗云彬的32位汇编教程,还有PE格式和VxD的一些内容. IDE MASMPlus Visual MASM RadASM2_fork(推荐) RadAsm 3.x支持中文注…

一.说明 常用的32位汇编编译器有微软的MASM.Borland的TASM和NASM. 编译器 开发者 优点 缺点 MASM 微软 微软自家软件和系统兼容性好:支持invoke/.if等伪指令将汇编变得和C++差不多 就一个编译器,没有资源编译器和链接器,也没有头文件 TASM Borland 支持伪指令,有资源编译器和链接器 没有Windows数据结构和预定义的头文件,现在官方似乎不维护了 NASM 开源 同时支持Windows和Linux 不支持伪指令,没有Windows数据结构和预定义的头…

我觉得所谓的模块化有两种: "假模块化" 和 "真模块化". 所谓 "假模块化" 就是通过 include 指令把 *.inc 或 *.asm 文件的文本插入到当前位置.这样最后还是一个大的 asm 文件, 这适合小型的模块化设计. 所谓 "真模块化" 就是一个或几个源文件先通过 lib.exe 编译成 *.lib 文件, 然后通过 includelib 指令引入使用.这在 RadASM 环境中可通过建立 LIB Projec…

基础知识2 选择结构 通过判断 + 条件跳转指令来实现 循环结构 通过判断 + 条件跳转指令来实现(会有一个向上跳转的语句) 函数调用约定 C调用约定: 由外部平衡栈 标准调用约定 : 由函数内部平衡栈 对象调用约定 : 由函数内部平衡栈, 寄存器用于保存对象的首地址(就是this指针) 快速调用约定 : 由函数内部平衡栈(传参都是从右往左传递.), 用到 ecx , edx 来依次传递前两个参数. 通过 call 指令, call指令的原理是: 将call指令的下一条指令的地址压入栈中, 然后…

今天详解NT 头格式,以及文件头格式,以及作用, 关于DOS头文件格式,以及DOSStub昨天的博客已经写过了.主要是分散讲解.便于理解. 一丶最小PE的生成,以及标准PE的生成 ps: (如果直接学习NT头,文件头,请不用看这个生成PE,直接看下面讲解即可) 1.标准PE的生成 为了便于学习PE文件格式,所以这里写出一个最小PE,还有一个最小的标准PE,让大家理解. 32位汇编编写.(汇编是能编写最小PE的) 首先我们先写一段基本的汇编代码,然后一层一层的优化 32位汇编代码: .model…

汇编语言(assembly language)是一种用于电子计算机.微处理器.微控制器或其他可编程器件的低级语言,亦称为符号语言.在汇编语言中,用助记符(Mnemonics)代替机器指令的操作码,用地址符号(Symbol)或标号(Label)代替指令或操作数的地址.在不同的设备中,汇编语言对应着不同的机器语言指令集,通过汇编过程转换成机器指令,普遍地说,特定的汇编语言和特定的机器语言指令集是相互对应的,不同平台之间不可直接移植. 熟练掌握Win32 API函数的参数传递,是软件逆向的基础,本章节…

一.基本信息 样本名称:1q8JRgwDeGMofs.exe 病毒名称:Worm.Win32.Agent.ayd 文件大小:165384 字节 文件MD5:7EF5D0028997CB7DD3484A7FBDE071C2 文件SHA1:DA70DDC64F517A88F42E1021C79D689A76B9332D 二.分析样本使用的工具 IDA5.5 OnlyDebug RadASM Notepad++以及EditPlus 三.样本文件信息简介 PE文件的感染的方式比较多,很多PE感染的方式是…

目录 修改记事本PE结构弹计算器Shellcode 0x00 前言 0x01 添加新节 修改节数量 节表位置 添加新节表信息 0x02 添加弹计算器Shellcode 修改代码 0x03 修改入口点 计算跳转OEP偏移 0x04 bug修复 0x05 验证结果 修改记事本PE结构弹计算器Shellcode 0x00 前言 在上一篇文章中介绍了PE节表的分析,这篇文章主要是对其进行手动实验来加深对节表的理解,并且这里用一个记事本的例子做演示,我们用Winhex软件通过修改.添加十六进制数据让记事本…