瑞星卡卡安全论坛

Zapline的讲义地址：  http://bbs.ikaka.com/showtopic-8655234.aspx




视频收看地址：  http://users4.jabry.com/mixer/bbb.htm

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; CIBA; MAXTHON 2.0)

我想问一下，为什么要放免费的空间呢，又慢又不稳定呀。。。。国内那么多给你挑的。。。

国内没有啊……，我还是相信国外的空间，国内JS太多

下了硬件断点以后 怎么查看啊  感觉下了断点马上看不出来变化 不像F2那样代码会变红:kaka6:

在OD的菜单栏的  Debug - Hardware Breakpoints  这里查看

另外，使用完后，记得在这里删除掉也是好习惯

硬件断电哪里 ON ACCESS 和  ON WRITE 有什么区别？

[quote] 原帖由 Lighting_Cui 于 2009-8-16 2:48:00 发表
硬件断电哪里 ON ACCESS 和  ON WRITE 有什么区别？ [/quote

ON ACCESS 是硬件访问断点，就包括了硬件读取断点和硬件写入断点

因为dll有一个初始化过程。所以DLL文件加载和卸载都要经过DLL的真实OEP。

这句话没有看明白。。。请详解之。。

那么什么时候下哪种断点。。。这个有什么区别么？ 比如这个例子 下访问断点和读取断点的区别？这个例子为什么要下访问的

因为访问包括读和写，所以，可以在读和写的情况都断下来。
有时候，我们需要读取时忽略，那个值修改（写）时才断下来，那么就可以用硬件写入断点了。
至于dll什么什么的，呵呵 ，等xiaomajia52来回答

为什么dll载入和卸载，都会经过OEP呢，我们来看一下Dll的入口点
跟exe有个main或者WinMain入口函数一样，DLL也有一个入口函数，就是DllMain。以“DllMain”为关键字，来看看MSDN帮助文档怎么介绍这个函数的。
The DllMain function is an optional method of entry into a dynamic-link library (DLL)。（简要翻译：对于一个Dll模块，DllMain函数是可选的。）这句话很重要，很多初学者可能都认为一个动态链接库肯定要有DllMain函数。其实不然，像很多仅仅包含资源信息的DLL是没有DllMain函数的。

BOOL WINAPI DllMain(
  HANDLE hinstDLL,
  DWORD dwReason,
  LPVOID lpvReserved
);

这个就是dll的声明，在MSDN中有查。

我们来看dllMain 的第二个参数，dwReason,

系统是在什么时候调用DllMain函数的呢？静态链接时，或动态链接时调用LoadLibrary和FreeLibrary都会调用DllMain函数。DllMain的第二个参数dwReason指明了系统调用Dll的原因，它可能是DLL_PROCESS_ATTACH、DLL_PROCESS_DETACH、DLL_THREAD_ATTACH和DLL_THREAD_DETACH。以下从这四种情况来分析系统何时调用了DllMain。

大家都知道，一个程序要调用Dll里的函数，首先要先把DLL文件映射到进程的地址空间。要把一个DLL文件映射到进程的地址空间，有两种方法：静态链接和动态链接的LoadLibrary或者LoadLibraryEx。
      当一个DLL文件被映射到进程的地址空间时，系统调用该DLL的DllMain函数，传递的fdwReason参数为DLL_PROCESS_ATTACH。这种调用只会发生在第一次映射时。如果同一个进程后来为已经映射进来的DLL再次调用LoadLibrary或者LoadLibraryEx，操作系统只会增加DLL的使用次数，它不会再用DLL_PROCESS_ATTACH调用DLL的DllMain函数。不同进程用LoadLibrary同一个DLL时，每个进程的第一次映射都会用DLL_PROCESS_ATTACH调用DLL的DllMain函数。


当DLL被从进程的地址空间解除映射时，系统调用了它的DllMain，传递的dwReason值是DLL_PROCESS_DETACH。当DLL处理该值时，它应该执行进程相关的清理工作。
      那么什么时候DLL被从进程的地址空间解除映射呢？两种情况：
      ◆FreeLibrary解除DLL映射（有几个LoadLibrary，就要有几个FreeLibrary）
      ◆进程结束而解除DLL映射，在进程结束前还没有解除DLL的映射，进程结束后会解除DLL映射。（如果进程的终结是因为调用了TerminateProcess，系统就不会用DLL_PROCESS_DETACH来调用DLL的DllMain函数。这就意味着DLL在进程结束前没有机会执行任何清理工作。）
      注意：当用DLL_PROCESS_ATTACH调用DLL的DllMain函数时，如果返回FALSE，说明没有初始化成功，系统仍会用DLL_PROCESS_DETACH调用DLL的DllMain函数。因此，必须确保没有清理那些没有成功初始化的东西。


这个就是Dll的好处，抓住这个弱点就行了:kaka12:

:kaka4:还是有点不太明白，现在知道会访问DLL的OEP两次。所以我们可以找到他的跳转。。。那他的跳转怎么确定？ 程序入口会先载入DLL  所以第一个长跳转可以确定就是DLL的OEP？ 那在这个跳转后 就是跳出了DLL也就是DLL退出时候要去的地方？  不太明白诶。。。还需详解。。。。




----------------------以下是网上照的
当DLL被初次映射到进程的地址空间中时，系统将调用DllMain函数，当卸载DLL时也会再次调用DllMain函数。也就是说，DLL文件相比EXE文件运行有一些特殊性，EXE的入口点只在开始时执行一次，而DLL的入口点在整个执行过程中至少要执行两次。一次是在开始时，用来对DLL做一些初始化。至少还有一次是在退出时，用来清理DLL再退出。

　　工作，如IAT初始化等。退出时再次进入入口点时，外壳将跳过相关的初始化代码，这时程序代码流程会短些。所以找OEP也有两条路可以走，一是载入时找，二是在退出时找，退出时流程短些，相对来说更容易找到OEP。

在视频中，我说过了，这是一种取巧的方法，那么怎么找到他的跳转呢？这个要靠经验积累，知道了这个方法，其实单步跟踪就可以了，脱了几次的dll壳，以后碰到这种壳的EXE，就可以用这种方法快速定位OEP，其实，还是一句话，多练，积累经验。

明白。。。经验积累~~