一个快速查看API的汇编和机器码的工具.发布源码
2013-08-22 20:30
591 查看
提供一个早年写的一个小工具,一直在用,赶紧很顺手,特推荐给大家。
欢迎垂询。
1,在OD正在跟踪分析某个保护壳的一段code的时候,感觉似曾相识,好像在哪里见过,好像是某个API。----这个时候你就需要用【fosomAPI速查】,快速找到这个API。
2,在用OD手动Hook的时候,jmp长跳之后,用汇编写一个小小的Call的时候,需要用一个API,但是IAT被破坏了。---这个时候,你就需要用【fosomAPI速查】,快速查到API,然后把机器码直接copy到OD里面,就OK了。
3,随便一个Dll,需要查一下EAT,并且看看某个导出函数的汇编,---这个时候,你就需要用【fosomAPI速查】。
4,几个机器码,可以查看对应的汇编。
5,根据Call首地址,快速查找API Name。或者,反之。
API速查.rar.
Code First character after #:
A: Direct Address.
C: Reg field in ModRm specifies Control register.
D: Reg field in ModRm specifies Debug register.
E: General purpose register or memory address specified in the ModRM byte.
F: EFlags register
G: Reg field in ModRM specifies a general register
H: Signed immidiate data
I: Imidiate data
J: Relative jump Offset
M: memory address spcified in the ModRM byte.
O: Relative Offset Word or DWord
P: Reg field in ModRM specifies a MMX register
Q: MMX register or memory address specified in the ModRM byte.
R: general purpose register specified in the ModRM byte.
S: Reg field in ModRM specifies a Segment register
T: Reg field in ModRM specifies a MMX register
P: Seg prefix override.
Second character after #
a: two Word or two DWord, only used by BOUND
b: Byte.
c: Byte or word
d: DWord
p: 32 or 16 bit pointer
q: QWord
s: 6Byte
v: Word or DWord
w: Word
t: Tera byte
Third character after #
j: jump Operand (Relative or absolute)
First character after @
e: used by register (@eax, @esp ..) return e with the character following when
operand size = 4 ortherwise only the following character.
g: Group, return the group insruction specified by OperandType
and the reg field of the ModRM byte.
h: Operand for group, return operands for the group insruction specified
by OperandType and the reg field of the ModRM byte.
m: Must have size, Size indicator always set.
o: Operand size, returns the name (bwdq) of the number following, divided
by two when operand size <> 4.
p: Seg prefix override. Sets the prefix to the following charchter + 's'
s: Size override (address or operand).
follow by o: operand size override
a: address size override
First character after %
c: Use the opcode instead in addition to the assembler instruction
今天发布源码。留着也没什么意思。
http://pan.baidu.com/share/link?shareid=3624365833&uk=3895584076
欢迎垂询。
1,在OD正在跟踪分析某个保护壳的一段code的时候,感觉似曾相识,好像在哪里见过,好像是某个API。----这个时候你就需要用【fosomAPI速查】,快速找到这个API。
2,在用OD手动Hook的时候,jmp长跳之后,用汇编写一个小小的Call的时候,需要用一个API,但是IAT被破坏了。---这个时候,你就需要用【fosomAPI速查】,快速查到API,然后把机器码直接copy到OD里面,就OK了。
3,随便一个Dll,需要查一下EAT,并且看看某个导出函数的汇编,---这个时候,你就需要用【fosomAPI速查】。
4,几个机器码,可以查看对应的汇编。
5,根据Call首地址,快速查找API Name。或者,反之。
API速查.rar.
Code First character after #:
A: Direct Address.
C: Reg field in ModRm specifies Control register.
D: Reg field in ModRm specifies Debug register.
E: General purpose register or memory address specified in the ModRM byte.
F: EFlags register
G: Reg field in ModRM specifies a general register
H: Signed immidiate data
I: Imidiate data
J: Relative jump Offset
M: memory address spcified in the ModRM byte.
O: Relative Offset Word or DWord
P: Reg field in ModRM specifies a MMX register
Q: MMX register or memory address specified in the ModRM byte.
R: general purpose register specified in the ModRM byte.
S: Reg field in ModRM specifies a Segment register
T: Reg field in ModRM specifies a MMX register
P: Seg prefix override.
Second character after #
a: two Word or two DWord, only used by BOUND
b: Byte.
c: Byte or word
d: DWord
p: 32 or 16 bit pointer
q: QWord
s: 6Byte
v: Word or DWord
w: Word
t: Tera byte
Third character after #
j: jump Operand (Relative or absolute)
First character after @
e: used by register (@eax, @esp ..) return e with the character following when
operand size = 4 ortherwise only the following character.
g: Group, return the group insruction specified by OperandType
and the reg field of the ModRM byte.
h: Operand for group, return operands for the group insruction specified
by OperandType and the reg field of the ModRM byte.
m: Must have size, Size indicator always set.
o: Operand size, returns the name (bwdq) of the number following, divided
by two when operand size <> 4.
p: Seg prefix override. Sets the prefix to the following charchter + 's'
s: Size override (address or operand).
follow by o: operand size override
a: address size override
First character after %
c: Use the opcode instead in addition to the assembler instruction
今天发布源码。留着也没什么意思。
http://pan.baidu.com/share/link?shareid=3624365833&uk=3895584076
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 分享一个强大的工具,可以快速查看自己公司网站或竞争对手网站的CDN情况
- 发布一个存储过程定义查看的小工具
- [导入]查看mfc源码的一个很好的导航工具
- 查看mfc源码的一个很好的导航工具
- 发布一个存储过程定义查看的小工具
- 查看mfc源码的一个很好的导航工具
- 发布一个Dataset、Datatable、Datarow、Datarow[]、Dataview的查看工具(vs2003/vs2005)
- C# 关闭/打开显示器工具+源码(一个API的简单操作)
- C# 关闭/打开显示器工具+源码(一个API的简单操作)
- 查看MFC源码的一个很好的导航工具
- 发布一个EMF图像文件查看分析工具
- 发布一个最新版Productivity Power Tools中的CopyAsHtml扩展的修改版(含工具和源码)
- 分享一个强大的工具,可以快速查看自己公司网站或竞争对手网站的CDN情况
- 32位汇编第四讲,干货分享,汇编注入的实现,以及快速定位调用API的数量(OD查看)
- 用四大门户网站的微博api,做一套更简约的微博查看工具(源码放在github.com)
- 自己写的一个HOOKAPI的汇编例子
- Eclipse中如何快速查看jar包中 的class源码
- 免费发布一个简单而有趣的计算工具
- 使用库函数API和C代码中嵌入汇编代码两种方式使用同一个系统调用
- CYQ.IISLogViewer 一款IIS 日志分析工具 V1.0 发布[提供源码]