8月1日上课QQ群记录整理
这是我整理的8月1日通过QQ群的老师的讲课记录,虽然参与讨论的人不多,但是希望没有看到的同学来这里看一下,对理解讲义很有帮助的,但愿对大家有所帮助,尤其是还没有接触过汇编的同学,跟着老师的步骤来做会感到容易一些。清新/xin陽光 (463216947) 来了
清新/xin陽光 (463216947) 呵呵
丶刀刀 (1511777) 老师好 啊
清新/xin陽光 (463216947)貌似 我应该发个OD
331878347 (331878347)
OD???
清新/xin陽光 (463216947)
有兴趣的同学
清新/xin陽光 (463216947)
可以 跟我一起
清新/xin陽光 (463216947)
调试个程序
丶刀刀 (1511777)
用什么 汇编?
清新/xin陽光 (463216947)
恩
清新/xin陽光 (463216947)
对于 讲义会有更深的理解
清新/xin陽光 (463216947)
讲义 光看 是不容易看懂的
331878347 (331878347)
现在很大一部分人,都是丈二的和尚
丶刀刀 (1511777)
我还不是 原来如此
丶刀刀 (1511777)
因为我还没看讲义
清新/xin陽光 (463216947)
不必害怕
清新/xin陽光 (463216947)
其实很简单
清新/xin陽光 (463216947)
http://www.pediy.com/tools/Debuggers/ollydbg/OllyICE.rar清新/xin陽光 (463216947)
在的同学 请去这里 下载OD
gvista (328208438)
好
331878347 (331878347)
我看懂了一个地方,第4页那个小C程序,唉……
丶刀刀 (1511777)
还有C? 完了
gvista (328208438)
老师 有毒啊
丶刀刀 (1511777)
没毒 啊
清新/xin陽光 (463216947)
那个 地址
清新/xin陽光 (463216947)
那个 貌似是误报
gvista (328208438)
解压缩时 瑞星报毒
331878347 (331878347)
暂时还没报,,,
清新/xin陽光 (463216947)
貌似是误报
清新/xin陽光 (463216947
不过清除掉 也没影响
丶刀刀 (1511777)
附件:
您所在的用户组无法下载或查看附件丶刀刀 (1511777)
哦,好的
gvista (328208438)
附件:
您所在的用户组无法下载或查看附件清新/xin陽光 (463216947)
一个插件 没事
清新/xin陽光 (463216947)
清除掉 没有影响
gvista (328208438)
是吗 还是个rootkit
清新/xin陽光 (463216947)
可能是误报
gvista (328208438)
清除掉 是不是功能上受影响
丶刀刀 (1511777)
哦 ,好的 go on
清新/xin陽光 (463216947)
我传个小程序上去
清新/xin陽光 (463216947)
2009-08-01 20:24:50
http://bbs.ikaka.com/showtopic-8649874-3.aspx清新/xin陽光 (463216947)
25楼
清新/xin陽光 (463216947)
需要用到的程序
清新/xin陽光 (463216947)
这个程序 就是 讲义中第一个 例子代码
331878347 (331878347)
哦,明白了
清新/xin陽光 (463216947)
下载后 拖到OD里面
gvista (328208438)
是在cmd下运行吗 那小程序
gvista (328208438)
哦 行了
331878347 (331878347)
天书。。。
gvista (328208438)
不错有意思 OD很强大
清新/xin陽光 (463216947)
附件:
您所在的用户组无法下载或查看附件清新/xin陽光 (463216947)
开始的代码是这个吧
gvista (328208438)
恩
xiaomajia52/猪头 (28365585)
这个不是VC程序么?
清新/xin陽光 (463216947)
对于 VC等编的 程序
清新/xin陽光 (463216947)
都有一些 库代码
清新/xin陽光 (463216947)
我们上来看到的是库代码
331878347 (331878347)
有点像UE
331878347 (331878347)
好
清新/xin陽光 (463216947)
而是 VC等编译器 自动生成的
清新/xin陽光 (463216947)
生成的 代码 是相同的
331878347 (331878347)
老师,我们该咋办,下一步?对照起来看讲义?
清新/xin陽光 (463216947)
==
清新/xin陽光 (463216947)
我们不必去 研究它
清新/xin陽光 (463216947)
对于VC
清新/xin陽光 (463216947)
可能是这样的情况
清新/xin陽光 (463216947)
push ebpmov ebp,esp....Call Getversion...CallGetCommandLineA...CallGetStartupInfoA..
清新/xin陽光 (463216947)
这些语句 一般对我们来讲是没有用的
清新/xin陽光 (463216947)
是编译器自动生成
清新/xin陽光 (463216947)
我们要看的是自己编译的 函数代码
清新/xin陽光 (463216947)
对于 我们的例子
清新/xin陽光 (463216947)
就是这句
清新/xin陽光 (463216947)
附件:
您所在的用户组无法下载或查看附件清新/xin陽光 (463216947)
请 在这条语句上 按F4
331878347 (331878347)
嗯,然后呢
清新/xin陽光 (463216947)
然后 按 F7
丶刀刀 (1511777)
老师,我的怎么和你的不一样
丶刀刀 (1511777)
附件:
您所在的用户组无法下载或查看附件清新/xin陽光 (463216947
地址可能不同
清新/xin陽光 (463216947)
你那个 往下翻
清新/xin陽光 (463216947
这还是库代码
丶刀刀 (1511777
哦
清新/xin陽光
附件:
您所在的用户组无法下载或查看附件清新/xin陽光 (463216947)
2009-08-01 20:35:57
可以照猫画虎
清新/xin陽光
没事
331878347
按错了,那个F4
附件:
您所在的用户组无法下载或查看附件清新/xin陽光
找错了 点 上面这个
清新/xin陽光
程序会重新载入
331878347
然后可以找到正确的按F4,F7吗?
清新/xin陽光
找到我那条语句
清新/xin陽光
鼠标指向那
清新/xin陽光
按f4
清新/xin陽光
然后按f7
清新/xin陽光
附件:
您所在的用户组无法下载或查看附件清新/xin陽光
按完F7是这样的
清新/xin陽光
有人找到了么
丶刀刀
恩
清新/xin陽光
好
清新/xin陽光
这是个jmp语句
清新/xin陽光
jmp 就是jump
清新/xin陽光
跳转
清新/xin陽光
那么 他就要跳转到 00401090那
清新/xin陽光 (46321694
我这是这样的
清新/xin陽光 (463216947)
你们的不一定相同
清新/xin陽光 (463216947)
按F8
丶刀刀 (1511777)
一致
gvista (328208438)
jmp区分短跳转和长跳转吗
清新/xin陽光
会跳转到 那个地址上
清新/xin陽光 (463216947)
分
清新/xin陽光 (463216947)
有短跳 和长跳
gvista
那这是jmp?
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30618; 360SE)
