快捷搜索:

脱壳基础知识入门之SEH技术

布局化非常处置惩罚(StructuredExceptionHandling,SEH)是Windows操作系统处置惩罚法度榜样差错或非常的技巧。SEH是Windows操作系统的一种系统机制,与特定的法度榜样设计说话无关。

外壳法度榜样里大年夜量地应用了SEH,假如不懂得SEH,将会使你跟踪好不轻易。

因为Ollydbg 对SEH处置惩罚非常机动,是以脱壳用Ollydbg会大年夜大年夜前进效率。

附CONTEXT布局情况:

代码:typedefstruct_CONTEXT{

/*000*/DWORD   ContextFlags;

/*004*/DWORD   Dr0;

/*008*/DWORD   Dr1;

/*00C*/DWORD   Dr2;

/*010*/DWORD   Dr3;

/*014*/DWORD   Dr6;

/*018*/DWORD   Dr7;

/*01C*/FLOATING_SAVE_AREAFloatSave;

/*08C*/DWORD   SegGs;

/*090*/DWORD   SegFs;

/*094*/DWORD   SegEs;

/*098*/DWORD   SegDs;

/*09C*/DWORD   Edi;

/*0A0*/DWORD   Esi;

/*0A4*/DWORD   Ebx;

/*0A8*/DWORD   Edx;

/*0AC*/DWORD   Ecx;

/*0B0*/DWORD   Eax;

/*0B4*/DWORD   Ebp;

/*0B8*/DWORD   Eip;

/*0BC*/DWORD   SegCs;

/*0C0*/DWORD   EFlags;

/*0C4*/DWORD   Esp;

/*0C8*/DWORD   SegSs;

/*0CC*/  BYTE  ExtendedRegisters[MAXIMUM_SUPPORTED_EXTENSION];

/*2CC*

您可能还会对下面的文章感兴趣: