web url加密 可以理解为使用对应的两位16进制ascii码值加上%u

伪代码窗口 反汇编->伪代码 Tap/f5 伪代码->反汇编 Tap 查看特定语句/变量对应的地址 在光标所在时，按下tap ida 字符串表shift+f12 数据窗口 修改数据 g键 可以跳转 交叉引用窗口按下x可以触发 可以看函数被谁调用 变量在哪里被使用 其他快捷键r 切换字符 n 重命名 总结 按键 功能 空格 反汇编窗口切换图形

逆向分析入门搜索血量(主要是使用CE软件)内存搜索 内存的分类 物理内存和虚拟内存 每一个进程都都有自己的专属的内存的，所以我们使用CE就可可以查看到对应的虚拟内存 使用CE搜索看不到的数据 通过搜索一个整体相关的内存，进行内存分析 通过类型进行判断分析内存的信息 使用cpp探索血量 123456789101112131415161718192021222324252627#include

内存池（slab）原理 `

[TOC] CTFMISC xls都当成ZIP解压。 Rc4加密，解密。

[TOC] 字符串类型 使用count()可以记录元素出现的次数 发现字串出现的位置 find() python的小数打印123# print("%.2f"%intNum)# print(f'{intNum:.2f}')print('{:.2f}'.format(intNum)) 控制进制1

段地址和偏移地址 段地址是一个16位的值，用于表示内存中的段（Segment）。每个段都有一个唯一的段地址，用于标识该段在内存中的位置。段地址乘以16后，得到段在内存中的起始地址。 偏移地址是一个16位的值，用于表示相对于段起始地址的偏移量。偏移地址指定了从段起始地址开始的具体位置。 每个段地址都会相差16个字节 汇编代码里面是不区分大小写

[TOC] 汇编扫盲lea 用于取指针的地址 invoke 用于调用函数，并且提供简单的方式传参数 offset 去变量的地址 1invoke MessageBox, 0, offset message, offset title, MB_OK MASM->addr ASSUME ASSUME指令的作用是将一个段寄存器与一个段名进行关联。它告诉汇编器，当遇到使用该段寄存器的指令时，应该

8086入门学习 8086汇编代码使用debug 在终端中输入debug进入到调式界面 查看寄存器输入R r+寄存器变量名直接修改寄存器的值 查看内存输入D 也可以添加地址，从1000段地址偏移0开始输出 改变内存的内容E 第一种方法 第二种方法 使用A添加汇编代码 T执行插入的指令 U翻译机器码 部分寄存器 指令的学习mov 注意逗号后面的控制

[TOC] win32汇编模式定义 定义了程序使用的指令集、互作模式和格式 win32环境中.386是必不可少的 后面带p则是伪指令 内存模式 但是主要使用的是flat 因win32程序只有一种内存模式，flat模式，没有64kb的限制 语言模式 除了在.model语句中指定内存模式意以外，还应该指定语言模式 stdcall的参数压栈方式是：从右往左 option语句