[翻译]使用OllyDbg从零开始Cracking 第十九章-OllyDbg反调试之IsDebuggerPresent-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (29) ◀ 1 2
pobupobu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	pobupobu 26 楼 "ID NO："是根据函数BOOL GetVolumeInformation，产生的值，再通过加密算法，算出来的。如果算法在其他机子上出错，请跟帖。 2015-1-6 00:21 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 27 楼 ,还不休息? 2015-1-6 00:25 0
hanfz 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	hanfz 28 楼关于TIB这块文中有句话:可以看到堆栈开始于12d000,下一个区段开始于130000。 FS指向的内存: 7FFDF000 E0 FF 12 00 00 00 13 00 7FFDF008 00 D0 12 00 00 00 00 00 从网上查到的TIB结构 0:000:x86> dt ntdll32!_NT_TIB +0x000 ExceptionList : Ptr32 _EXCEPTION_REGISTRATION_RECORD +0x004 StackBase : Ptr32 Void +0x008 StackLimit : Ptr32 Void +0x00c SubSystemTib : Ptr32 Void +0x010 FiberData : Ptr32 Void +0x010 Version : Uint4B +0x014 ArbitraryUserPointer : Ptr32 Void +0x018 Self : Ptr32 _NT_TIB 可以看出130000是堆栈开始, 截至于12D000.... 小白,不懂什么查什么, 如果弄错了勿见笑~ 2015-1-25 23:25 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 29 楼关于TIB,TEB,PEB等详细解释可以参考一下<<软件调试>>这本书,其中有详尽的说明 2015-1-26 09:19 0
夏沫乄殇雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	夏沫乄殇 30 楼 1111111111111 2015-5-20 11:05 0
残雪孤侠雪币： 160 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	残雪孤侠 31 楼谢谢推荐好书 2015-7-4 15:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (29) ◀ 1 2
pobupobu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	pobupobu 26 楼 "ID NO："是根据函数BOOL GetVolumeInformation，产生的值，再通过加密算法，算出来的。如果算法在其他机子上出错，请跟帖。 2015-1-6 00:21 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 27 楼 ,还不休息? 2015-1-6 00:25 0
hanfz 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	hanfz 28 楼关于TIB这块文中有句话:可以看到堆栈开始于12d000,下一个区段开始于130000。 FS指向的内存: 7FFDF000 E0 FF 12 00 00 00 13 00 7FFDF008 00 D0 12 00 00 00 00 00 从网上查到的TIB结构 0:000:x86> dt ntdll32!_NT_TIB +0x000 ExceptionList : Ptr32 _EXCEPTION_REGISTRATION_RECORD +0x004 StackBase : Ptr32 Void +0x008 StackLimit : Ptr32 Void +0x00c SubSystemTib : Ptr32 Void +0x010 FiberData : Ptr32 Void +0x010 Version : Uint4B +0x014 ArbitraryUserPointer : Ptr32 Void +0x018 Self : Ptr32 _NT_TIB 可以看出130000是堆栈开始, 截至于12D000.... 小白,不懂什么查什么, 如果弄错了勿见笑~ 2015-1-25 23:25 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 29 楼关于TIB,TEB,PEB等详细解释可以参考一下<<软件调试>>这本书,其中有详尽的说明 2015-1-26 09:19 0
夏沫乄殇雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	夏沫乄殇 30 楼 1111111111111 2015-5-20 11:05 0
残雪孤侠雪币： 160 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	残雪孤侠 31 楼谢谢推荐好书 2015-7-4 15:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复