首页>编程与逆向>PC安全编程>病毒技术分析>这里有谁分析过NTLDR?好像不是PE格式的文件,无法反汇编...
回复
« 返回列表
1 2 下一页 »
walkonthesky
walkonthesky
驱动中牛
驱动中牛
  • 注册日期2003-11-26
  • 最后登录2012-11-06
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望20点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
阅读:10482回复:30

这里有谁分析过NTLDR?好像不是PE格式的文件,无法反汇编。

楼主#
更多 发布于:2004-05-19 16:27
RT

我想修改NTLDR的启动菜单项,
可是无法正确反汇编,说不是PE格式文件
喜欢1

最新喜欢:

baiyuanfanbaiyua...
[img]http://www.driverdevelop.com/forum/upload/walkonthesky/2004-07-08_2004-07-07_b847.gif[/img]
回复
tjjack
tjjack
驱动牛犊
驱动牛犊
  • 注册日期2003-08-02
  • 最后登录2007-05-14
  • 粉丝0
  • 关注0
  • 积分30分
  • 威望5点
  • 贡献值0点
  • 好评度1点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2004-06-02 09:25
新鲜,第一次看到这样的问题!值得研究!
回复(0) 喜欢(0)
RED_spring
RED_spring
驱动中牛
驱动中牛
  • 注册日期2002-07-28
  • 最后登录2016-11-06
  • 粉丝0
  • 关注0
  • 积分3分
  • 威望19点
  • 贡献值0点
  • 好评度17点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
板凳#
发布于:2004-06-03 19:32
呵呵,搞出来了别忘了贴出来让俺学习学习哈! :D
回复(0) 喜欢(0)
walkonthesky
walkonthesky
驱动中牛
驱动中牛
  • 注册日期2003-11-26
  • 最后登录2012-11-06
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望20点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2004-06-04 09:56
斑竹出来
[img]http://www.driverdevelop.com/forum/upload/walkonthesky/2004-07-08_2004-07-07_b847.gif[/img]
回复(0) 喜欢(0)
RED_spring
RED_spring
驱动中牛
驱动中牛
  • 注册日期2002-07-28
  • 最后登录2016-11-06
  • 粉丝0
  • 关注0
  • 积分3分
  • 威望19点
  • 贡献值0点
  • 好评度17点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
地下室#
发布于:2004-06-04 19:31
泡MM去了  :D :D
回复(0) 喜欢(0)
AllenZh
AllenZh
驱动老牛
驱动老牛
  • 注册日期2001-08-19
  • 最后登录2015-11-27
  • 粉丝19
  • 关注10
  • 积分1316分
  • 威望2387点
  • 贡献值7点
  • 好评度321点
  • 原创分0分
  • 专家分0分
写私信
5楼#
发布于:2004-06-10 16:09
可不要乱说哟
1,承接Windows下驱动/应用开发 2,本人原创虚拟鼠标/键盘,触摸屏,虚拟显卡,Mirror驱动,XP无盘的SCSI虚拟磁盘驱动等 3,windows下有尝技术服务(包括BUG调试,员工培训等) 欢迎深圳和海外企业联系.msn:mfczmh@sina.com
回复(0) 喜欢(0)
AllenZh
AllenZh
驱动老牛
驱动老牛
  • 注册日期2001-08-19
  • 最后登录2015-11-27
  • 粉丝19
  • 关注10
  • 积分1316分
  • 威望2387点
  • 贡献值7点
  • 好评度321点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2004-06-10 16:17
可不要乱说哟
1,承接Windows下驱动/应用开发 2,本人原创虚拟鼠标/键盘,触摸屏,虚拟显卡,Mirror驱动,XP无盘的SCSI虚拟磁盘驱动等 3,windows下有尝技术服务(包括BUG调试,员工培训等) 欢迎深圳和海外企业联系.msn:mfczmh@sina.com
回复(0) 喜欢(0)
firstrose
firstrose
驱动牛犊
驱动牛犊
  • 注册日期2003-06-11
  • 最后登录2010-03-23
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望6点
  • 贡献值0点
  • 好评度5点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2004-06-21 03:22
难道你没有看NTLDR的HEX码?它根本不是PE!就是纯粹的代码,你就当它是COM文件好了。
回复(0) 喜欢(0)
walkonthesky
walkonthesky
驱动中牛
驱动中牛
  • 注册日期2003-11-26
  • 最后登录2012-11-06
  • 粉丝0
  • 关注0
  • 积分1分
  • 威望20点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2004-06-24 09:19
那怎么反汇编?
[img]http://www.driverdevelop.com/forum/upload/walkonthesky/2004-07-08_2004-07-07_b847.gif[/img]
回复(0) 喜欢(0)
zelor
zelor
驱动牛犊
驱动牛犊
  • 注册日期2001-11-02
  • 最后登录2018-05-29
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望10点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
9楼#
发布于:2004-06-25 10:52
年轻人啊,世界上难道只有PE吗?
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
10楼#
发布于:2004-06-25 12:48
试试TASM 里的TDEBUG
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
RED_spring
RED_spring
驱动中牛
驱动中牛
  • 注册日期2002-07-28
  • 最后登录2016-11-06
  • 粉丝0
  • 关注0
  • 积分3分
  • 威望19点
  • 贡献值0点
  • 好评度17点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
11楼#
发布于:2004-07-22 15:16
不一定非得反汇编嘛。

试试用Bochs跟一下。 Bochs是一种虚拟机,据说支持单步调试,还可以下断点,常用来调简单的操作系统。(不过俺没试过哈 :P)
回复(0) 喜欢(0)
Sundsea
Sundsea
驱动老牛
驱动老牛
  • 注册日期2003-05-06
  • 最后登录2012-06-05
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望35点
  • 贡献值0点
  • 好评度15点
  • 原创分0分
  • 专家分0分
写私信
12楼#
发布于:2004-08-16 23:50
不一定非得反汇编嘛。

试试用Bochs跟一下。 Bochs是一种虚拟机,据说支持单步调试,还可以下断点,常用来调简单的操作系统。(不过俺没试过哈 :P)
回复(0) 喜欢(0)
Leopard
Leopard
驱动老牛
驱动老牛
  • 注册日期2001-07-13
  • 最后登录2021-12-15
  • 粉丝0
  • 关注0
  • 积分8分
  • 威望53点
  • 贡献值0点
  • 好评度19点
  • 原创分0分
  • 专家分0分
写私信
  • 社区居民
  • 忠实会员
13楼#
发布于:2004-09-13 10:48
难道你没有看NTLDR的HEX码?它根本不是PE!就是纯粹的代码,你就当它是COM文件好了。
回复(0) 喜欢(0)
YiMin.Yang
YiMin.Yang
驱动牛犊
驱动牛犊
  • 注册日期2002-12-12
  • 最后登录2012-10-19
  • 粉丝0
  • 关注0
  • 积分179分
  • 威望151点
  • 贡献值0点
  • 好评度16点
  • 原创分0分
  • 专家分0分
写私信
14楼#
发布于:2004-09-24 12:45
NTLDR大致分两部分:
   1.Real Mode的代码(在NTLDR的前面大概20K左右)

   2.osloader(是PE文件格式,在Real Mode之后,一般情况下是压缩了的,如果是DEBUG版本的话就没有压缩可以单独提取出来)


由于工作一直很忙,所以没有时间分析。

如有朋友分析出来,希望能共享一下,先谢了!
Dragon
回复(0) 喜欢(0)
ahwbwsf
ahwbwsf
驱动牛犊
驱动牛犊
  • 注册日期2004-12-05
  • 最后登录2005-12-25
  • 粉丝0
  • 关注0
  • 积分22分
  • 威望4点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
15楼#
发布于:2004-12-05 02:09
我也想知道啊
回复(0) 喜欢(0)
linhf
linhf
驱动牛犊
驱动牛犊
  • 注册日期2003-03-25
  • 最后登录2006-06-28
  • 粉丝0
  • 关注0
  • 积分0分
  • 威望0点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
16楼#
发布于:2004-12-14 21:21
关注
回复(0) 喜欢(0)
wollok
wollok
驱动小牛
驱动小牛
  • 注册日期2002-11-12
  • 最后登录2012-07-18
  • 粉丝0
  • 关注0
  • 积分571分
  • 威望335点
  • 贡献值0点
  • 好评度52点
  • 原创分0分
  • 专家分0分
写私信
17楼#
发布于:2004-12-27 19:01
Bochs是一个可以动态跟踪操作系统的东西!!
其实用W32Dasm也可以来做静态反汇编.这里要注意的是要选择16位汇编.因为NTLDR是在16位实模式下被引导扇区调用的!!
回复(0) 喜欢(0)
paladinii
paladinii
驱动中牛
驱动中牛
  • 注册日期2003-10-28
  • 最后登录2012-03-09
  • 粉丝0
  • 关注0
  • 积分282分
  • 威望74点
  • 贡献值0点
  • 好评度23点
  • 原创分0分
  • 专家分0分
写私信
18楼#
发布于:2005-01-20 09:44
关注中。。。
Ideas for life!
回复(0) 喜欢(0)
paladinii
paladinii
驱动中牛
驱动中牛
  • 注册日期2003-10-28
  • 最后登录2012-03-09
  • 粉丝0
  • 关注0
  • 积分282分
  • 威望74点
  • 贡献值0点
  • 好评度23点
  • 原创分0分
  • 专家分0分
写私信
19楼#
发布于:2005-02-01 11:36
怎么没有下文了?
Ideas for life!
回复(0) 喜欢(0)
上一页
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部