1.遇到中断(Interrupt)。。
昨天遇到一个未知壳(peid,exeinfo,卡巴安全部队,哈伯,世界分析平台都查不到和识别不出来,未知既意味着恐怖)。
虽然必然最后是被我成功脱掉(使用国外某神的private脱壳机),但问题是,是我居然会手工脱不掉。居然还有我(至尊VIP)脱不掉的非高强度加密壳。。。。真是头一次遇到。。。真是耻辱
伪头花指令回跳异常循环加密seh这些都不说,其中有一个关键跳是int中断后直接跑飞,堆栈窗口上没有seh句柄。
看雪07年有人发过中断跑飞的反调试文章。
2.汇编写dos程序 ; 代码段
cseg segment
start:
; ... 代码
; 退出 DOS
mov ax, 4C00h
int 21h
cseg ends
; 数据段
dseg segment byte
; ...
dseg ends
; 堆栈
sseg segment stack
db 100h dup(?)
sseg ends
end start
多好的代码,居然编译不过。提示缺少doslnk文件。
我以为被当病毒杀掉了,重新弄了个新版的asm安装包。
还是没有这个文件。。太老了没人用了。
就想起了dos系统的中断,打开了我那研究windows3.x安装的老dos系统。
就有了顺便分享给大家的以下内容
---------------------------------------------
c:\dir
标注的是我自己安装的的,不是原系统自带的。
dos系统目录 (98 dos启动软盘)
command.com -- cmd核心程序
autoexec.bat -- 自启动批脚本
logo.sys -- msdos的logo窗口
用edit查看,明显的bmp文件头。
我从dos复制出来的(原版)
LOGO.SYS.rar
(35.18 KB)
(文件太大120kb,无法作为图片上传)
config.sys
98下也有,是系统配置脚本,自己看吧
set (默认环境变量)
help(微软官方dos命令集)
输入后提示要你使用fasthelp...
command (核心cmd命令)
系统目录下,都是宝:
(这些程序源代码一定很nice,其实不用逆向,dos直接开源了)
c:\dos71\dir *.exe|more
c:\dos71\dir *.com|more
(系统目录下,所有com程序。。)
系统批处理(bat)
想不想看看dos系统是怎么加载的呢?
type autoexec.bat|more
|
发表于 2018-4-27 07:52:37
