内存映射文件原理及实例

2016年07月27日 83 阅读

内存映射文件原理及实例2007-05-02本课中我们将要讲解内存映射文件并且演示如何运用它。您将会发现使用内存映射文件是非常简单的。 理论：如果您仔细地研究了前一课的例子， 就会发现它有一个严重的缺陷：如果您想读的内容大于系统分配的内存块怎么办？如果您想搜索的字符串刚好超过内存块的边界又该如何处理？对于第一个问题，您也许会说，只要不断地读就不解决了吗。至于第二个问题，您又会说在内存块的边界处做一些特别的处理，譬如放上一些标志位就可以了。原理上确实是行得通，...

什么是动态链接库

2016年07月27日 88 阅读

什么是动态链接库2007-05-02理论：如果您编程的时间非常长，就会发现很多的程序之间其实有相当多的重复代码。每编一个程序就重写一遍这些代码既没必要又浪费时间。在DOS时代，一般的做法是把这些重复的代码写成一个个的函数，然后把它们按类别放到不同的库文件中去。当要使用这些函数时，只要把您的目标文件（.obj）文件和先前存放在库文件中的函数进行链接，链接时链接器会从库文件中抽取相关的信息并把它们插入到可执行文件中去。这个过程叫做静态链接。C运行时库就是一个好...

动态库的执行时间

2016年07月27日 86 阅读

动态库的执行时间2007-05-02此文章是针对怜香的系列专题教程"从DOS到Win32"中第8篇文章的后续,读此文之前请先阅读怜香的文章.当程序中引用了动态库后，WINDOWS是先远行程序呢？还是先加载动态库呢？为了搞清这个问题，我们将MyDLL.ASM和10.ASM稍作修改如下：;================MyDLL.ASM================;例：将EDX:EAX中的值转换成十进制输出形式字符串。;文件名：MyD...

工具提示控件介绍

2016年07月27日 88 阅读

工具提示控件介绍2007-05-02理论:工具提示是当鼠标在某特定区域上停留时显示的一个矩形窗口.工具提示窗口包含一些编程者想要显示的文本.在这点上,工具提示同状态栏的作用是一样的,所不同的是工具提示当单击或者远离指定区域的时候就会消逝,你可能熟悉与工具栏相关联的工具提示,那些"提示"是工具栏控件提供的便利.如果你想要在其它窗口、控件中显示工具提示的话,就不得不自己创建他们.既然已经了解了什么是工具提示,就让我们来看看如何创建他们.大致...

制作动态链接库

2016年07月27日 90 阅读

制作动态链接库2007-05-02现在编程序，不用说，都是在调用别人做好的动态链接库中的函数，能不能编写自己的动态链接库呢？答案是肯定的！让我们开始吧！;-------------------------------------------------------;例：将EDX:EAX中的值转换成十进制输出形式字符串。;文件名：MyDll.asm，这是动态链接库的源程序;编译模式="DLL";这是AoGo的最新版本MASM for Ed...

驱动程序的动态加载

2016年07月27日 99 阅读

驱动程序的动态加载2007-05-02驱动程序做出来后，怎么用呢？根据Four-F的说法，有三种方式：服务控制管理器（Service Control Manager （SCM）.） 服务控制程序（Service Control Program （SCP）.）和服务程序（service program）.下面我们就用服务控制程序（SCP）来实现驱动程序的动态加载，例子程序在 KmdKitexamplessimpleBeeper代码如下：;::::::::::...

驱动程序的编译和连接

2016年07月27日 94 阅读

驱动程序的编译和连接2007-05-02Kmdkit推荐的方法是把汇编源程序写成批处理bat文件，以天杀的ring0.sys为例 把下面的代码存成ring0.bat ;@echo off ;goto make ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>...

什么是虚拟机管理器

2016年07月27日 88 阅读

什么是虚拟机管理器2007-05-02虚拟机管理器（VMM）是Windows 95的实际操作系统，它建立和维护一个管理虚拟机的框架，同时为其他vxd程序提供许多重要的服务。其中三种重要的服务是： 内存管理 中断处理 线程调度 内存管理VMM使用Intel 80386或更新的处理器的内存调页能力来为系统虚拟机创建一个32位的虚地址空间。它把这个地址空间分为四个不同的部分： V86区 地址从0H到10FFEFH，这个区属于当前执行的虚拟机。 应用程序私有区地址...

什么是进程

2016年07月27日 91 阅读

什么是进程2007-05-02初步知识：进程是什么？下面是我从WIN32 API指南中节选的解释： “一个进程是一个正在执行的应用程序，它包含有：私有的虚拟地址空间、代码、数据和其它的操作系统资源，譬如进程可以存取的管道、文件和同步对象等等。”从上面的定义中您可以看到，一个进程拥有几个对象：地址空间、执行模块和其它该执行程序打开或创建的任何对象或资源。至少，一个进程必须包含可执行模块、私有的地址空间和一个以上的线程。什么是线程呢？一...

虚拟8086模式的内存管理

2016年07月27日 92 阅读

虚拟8086模式的内存管理2007-05-02下边我们用到的V86即指虚拟8086模式。 在以前的教程中，你学习了怎样模拟V86中断，但还有一个问题没有解决：在VxD和V86代码之间交换数据。我们将在此学习如何使用V86内存管理器来实现这个功能。在这里下载例子程序理论假如你的VxD和一些V86程序一起运行，如何传送大量数据到V86程序中或从V86程序中传送大量数据迟早是一个大问题。通过寄存器传送大量数据是不现实的。可能你的下一个想法是在ring0中分配一大...

masm中宏指令的bug

2016年07月27日 84 阅读

masm中宏指令的bug2007-11-13我打个比喻 当使用GetCaretPos获得当前的光标位置后，假设它为负数，我需要知道它是否小于0，结果: .if p.y<0 ... ... ;1 .elseif p.y>eax ... ... ;2 .endif 结果你猜怎么样？;1段永远不会执行，因为编译器编译时把.if p.y<=0编译成了: cmp p.y,0 jb xxx 结果可想而知，p.y是负数，按照无符号数来对待就成了正数了,...

MASM的反反汇编技术

2016年07月27日 86 阅读

MASM的反反汇编技术2007-11-13由于汇编语言是与机器语言机器码一一对应的，所以程序的代码非常简洁，编译、链接程序不会在其中加入任何其它代码，所以，用Win32DASM等把汇编工具反汇编汇编语言写的程序，其列出的汇编代码几乎与编写的顺序、过程、代码一模一样，这也是汇编语言简洁的证据。但是这种过于简洁的代码却给了破解者提供了方便，破解者只需要有一定的Windows SDK与汇编的经验，破解就非常简单，根本不需要用SoftICE这些动态工具就可以破解。...

VxD程序入门

2016年07月27日 85 阅读

VxD程序入门2007-11-13我们在上一节学会了如何编写一个什么事也不做的VxD程序。在这一节里，我们要给它增加处理控制消息的功能。 VxD的初始化和结束VxD程序分为两种：静态的和动态的。每种的加载方法都不同，接受到的初始化和结束的控制消息也不同。 静态VxD:下列情况下，VMM加载一个静态VxD: 一个实模式常驻程序通过调用中断2FH，1605H,来调用此VxD。 此VxD在注册表中的如下位置有定义： HKEY_LOCAL_MACHINESyste...

VxD消息框例程

2016年07月27日 88 阅读

VxD消息框例程2007-11-13在上一节教程里，我们讲了编写一个VxD程序的方法。现在我们要学以致用。在这一节里，我们要编写一个静态VxD，这个静态VxD在一个虚拟机创建或销毁时就会弹出一个消息框。 在这里下载例子。 捕获虚拟机创建和结束事件当一个虚拟机创建时，VMM发送Create_VM控制消息给所有的VxD程序。当一个虚拟机退出时，它也发送VM_Terminate和VM_Terminate2消息给所有的VxD程序。我们的工作很简单：在设备控制程序里...

用汇编语言编写消息框程序

2016年07月27日 82 阅读

用汇编语言编写消息框程序2007-11-13在本课中，我们将用汇编语言写一个 Windows 程序，程序运行时将弹出一个消息框并显示"Win32 assembly is great！"。理论：Windows 为编写应用程序提供了大量的资源。其中最重要的是Windows API （Application Programming Interface）。 Windows API是一大组功能强大的函数，它们本身驻扎在 Windows 中供人们随...

Win32中调试API

2016年07月27日 90 阅读

Win32中调试API2007-11-14在本教程中,我们将学习Win32提供给开发者的用于调试的原语. 在教程的结尾,我们将学习如何调试一个进程. 理论:Win32有一些供程序员使用的API,它们提供相当于调试器的功能. 他们被称作Win32调试API（或原语）.利用这些API,我们可以:加载一个程序或捆绑到一个正在运行的程序上以供调试 获得被调试的程序的低层信息,例如进程ID,进入地址,映像基址等. 当发生与调试有关的事件时被通知,例如进程/线程的开始...

WIN98SE硬盘主引导记录代码反汇编分析

2016年07月27日 197 阅读

WIN98SE硬盘主引导记录代码反汇编分析2007-11-14 硬盘引导记录MBR（Master Boot Record）是指硬盘之0面0道1扇区之内容，PC及其兼容机之ROM BIOS约定在上电及POST自检成功后，将其从硬盘读出，放置在内存0:7C00处，然后转去该地址执行。该段代码负责从代码尾部之4个分区表项中找出可以引导的项，读出其引导记录引导之。 MBR在相当长时间内都保持着1982年IBM设计IBM 机时的代码原样，直到硬盘容量突破传统BIOS...

WIN98SE硬盘主引导记录代码数据注释

2016年07月27日 74 阅读

WIN98SE硬盘主引导记录代码数据注释2007-11-140000:7C00 33 C0 8E D0 BC 00 7C FB-50 07 50 1F FC BE 1B 7C 3@.P<.|{P.P.|>.|0000:7C10 BF 1B 06 50 57 B9 E5 01-F3 A4 CB BE BE 07 B1 04 ？..PW9e.s$K>>.1.0000:7C20 38 2C 7C 09 75 15 83 C6-10 E2 ...

WINDOWS钩子函数详解

2016年07月27日 90 阅读

WINDOWS钩子函数详解2007-11-14本课中我们将要学习WINDOWS钩子函数的使用方法。WINDOWS钩子函数的功能非常强大，有了它您可以探测其它进程并且改变其它进程的行为。 理论：WINDOWS的钩子函数可以认为是WINDOWS的主要特性之一。利用它们，您可以捕捉您自己进程或其它进程发生的事件。通过“钩挂”，您可以给WINDOWS一个处理或过滤事件的回调函数，该函数也叫做“钩子函数”，当每次发生您...

汇编语言中“[]”的用法

2016年07月27日 98 阅读

汇编语言中“[]”的用法2007-11-14"[]"的用法在"常见问题"已经有所说明,引用如下: 1、push dword ptr [024c1100] 压栈024c1100值的双字 2、cmp eax,[ebp+14] eax-ebp+14的有效值，不保留值,主要看标志位 3、cmp byte ptr [eax],46 字节型eax-46,看标志位 4、lea eax,[edx-02] 把edx-02的有效值（一个...