holycall holycall

I encountered following message box while I am using x64dbg + scyllahide. In the manual (ScyllaHide.pdf), it says that we need to download NtAPITool.rar and copy NtAPICollection.ini to x64\plugins folder.But the NtAPITool.rar does not fix this error. The OS minor version of the ini file is incorrect. So we need to fix the OS minor version. I am using Windows 8.1, so the OS minor version is 3. So..

The visual studio solution file in Intel Pin 3.0 needs to be fixed to build onVisual Studio 2015. The solution file at \pin\source\tools\MyPinTool is for Visual Studio 2010. It is converted to Visual Studio 2015 with warnings. The following file describes what is needed to build. https://software.intel.com/sites/default/files/managed/8e/f5/PinCRT.pdf The converted solution file already have most..

In visual studio command prompt, editbin /dynamicbase:no bin.exe

Visual Studio compiled programs use fastcall calling convention. Functions use RCX, RDX, R8, R9 first. After using them, functions use the stack. In variable argument functions such as printf, stack values are used.

With a faulty dump executable file, some conditional variables are defined although they are undefined in the real executable file. In such cases, hex-rays decomipler misunderstand the conditional expressions have constants and omit code chunks such that the decompiled function code contains small part of the original function. If we undefine the constants, then decompiler contains the ommited a..

Bindiff를 국내에서 쓰지 못하게 되어서 불편해 졌다. 아직까지 Darungrim을 사용할 수는 있지만 개발이 중단되어 있다. 단순히 텍스트 바이너리 형태로 비교를 하려고 한다면 % xxd b1 > b1.hex % xxd b2 > b2.hex% vimdiff b1.hex b2.hex 이 정도면 충분한 것 같다. kdiff3도 괜찮지만 파일이 커지면 문제가 발생하는 듯 하다. 물론 상용 프로그램인 BeyondCompare가 용량 문제나 속도나 편리함이나 가장 괜찮은 것 같다.

Windows 7 환경에서 Visual Studio 2010 SP1 이 설치된 상태에서는 설치에 문제가 생긴다. StackOverflow에 보면 SP1을 제거하고 VS2010 Redistributable Package 설치하지 않은 상태에서 하면 잘 된다고 한다. 실제 해 보면 잘 안 되는 경우가 발생하여, Visual Studio 2010 전체를 하나 하나 삭제 후 Windows SDK for Windows 7 and .NET Framework 4를 설치한다. 이 중 모두 Unckeck 하고 Debugging Tools만 설치하면 된다.

For Lvalue, ESP is applied after calculating ESP. For Rvalue, ESP is applied before calculating ESP. Therefore, POP [esp] ::= esp := esp0 + 4 [esp] = [esp0 + 4] := [esp0] PUSH [esp] ::= esp := esp0 - 4 [esp] = [esp0 - 4] := [esp0] POP [esp+4] ::= esp := esp0 + 4 [esp] = [esp0 + 4] := [esp + 4] = [esp0 + 4] ==> [esp0 + 4] = [esp0 + 4] => no change PUSH [esp+4] ::= esp := esp0 - 4 [esp] = [esp0 - ..