Техника защиты компакт-дисков от копирования
         

достаточно лишь перейти по указанному


;                     достаточно лишь перейти по указанному в поле FramePtr адресу

;

; Func Name:         имя функции (если только его возможно определить); реально

;                    отображает лишь имена функций, импортируемые из других DLL,

;                    поскольку встретить коммерческую программу, откомпилированную

;                    вместе с отладочной информацией практически нереально

;

0012FFC0 77E87903 00000000 00000000 7FFDF000 C0000005 !<nosymbols>

0012FFF0 00000000 00401040 00000000 000000C8 00000100 kernel32!SetUnhandledExceptionFilter

; функции перечисляются в порядке их исполнения; самой последней исполнялась

; kernel32!SetUnhandledExceptionFilter функция, обрабатывающая данное исключение

*----> Копия необработанного стека <----*

; копия необработанного стека содержит стек таким, какой он есть

; очень помогает при обнаружении buffer overfull атак – весь shell-код,

; переданный злоумышленником, будет распечатан Доктором Ватсоном, и вам

; останется всего лишь опознать его (подробнее об этом рассказывается

; в моей книге "Техника сетевых атак")

0012ff70  00 00 00 00 00 00 00 00 - 39 10 40 00 00 00 00 00  ........9.@.....

0012ff80  64 00 00 00 f4 10 40 00 - 01 00 00 00 d0 0e 30 00  d.....@.......0.



00130090  00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00  ................

001300a0  00 00 00 00 00 00 00 00 - 00 00 00 00 00 00 00 00  ................

*----> Таблица символов <----*

; таблица символов содержит имена всех загруженных DLL вместе с именами

; импортируемых функций. используя эти адреса в качестве отправной точки,

; мы без труда сможем восстановить «перечень загруженных DLL»

ntdll.dll

77F81106 00000000   ZwAccessCheckByType



77FCEFB0 00000000   fltused

kernel32.dll

77E81765 0000003d   IsDebuggerPresent



77EDBF7A 00000000   VerSetConditionMask

;

; итак, возвращаемся к таблице загруженных DLL

; (00400000 - 00406000)  - это, очевидно, область памяти, занятая самой программой

; (77F80000 - 77FFA000)  – это KERNEL32.DLL

; (77E80000 - 77F37000)  - это NTDDL.DLL


Содержание  Назад  Вперед






Forekc.ru
Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий