![脱壳理论教程[看雪篇]](https://img.doczj.com/imgc6/05ycf05dihrfghh16ab5-61.webp)
![脱壳理论教程[看雪篇]](https://img.doczj.com/imgc6/05ycf05dihrfghh16ab5-62.webp)
第一课 PE格式
要想学脱壳,第一步就得掌握PE格式,PE是Portable Executable File Format(可移植的执行体)简写,它是目前Windows平台上的主流可执行文件格式。
Microsoft Visual C++提供的WINNT.H里有PE数据结构的完整定义。
推荐文档:
ah007翻译的“PE文件格式”1.9版
qduwg翻译的PE文件格式
Iczelion's 的PE文件格式
PE结构各字段偏移参考
微软官方提供的PE文档(Revision 8.0 - May 16, 2006)
学习PE格式的方法是自己先准备一个十六进制工具,如HexWorkshop,WinHex,用这些工具打开一个EXE文件对照着学。强烈推荐你用
Stud_PE v.2.2.0.5这款工具辅助学习PE格式。PE格式学习的重点是在输入表(Import Table)这块。
Stud_PE工具界面:
PE结构图:
第二课 SEH技术
结构化异常处理(Structured Exception Handling,SEH)是Windows操作系统处理程序错误或异常的技术。SEH是Windows操作系统的一种系统机制,与特定的程序设计语言无关。
外壳程序里大量地使用了SEH,如果不了解SEH,将会使你跟踪十分困难。
SEH in ASM 研究(一)by hume
SEH in ASM 研究(二)by hume
Structured Exception Handling
加密与解密二版菜鸟学习笔记(2) - SEH 结构化异常处理 by ytcswb
由于 Ollydbg对SEH处理异常灵活,因此脱壳用Ollydbg会大大提高效率。
附CONTEXT结构环境:
代码:
1. 什么是壳?
在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,就把这样的程序称为“壳”了。
推荐文档:
一切从“壳”开始
描述壳的示意图:
2. 壳的加载过程
这里谈的加壳工具不是WinZIP、WinRAR等数据压缩工具,而是谈压缩可执行文件EXE或DLL的工具。加壳过的EXE文件是可执行文件,它可以同正常的EXE文件一样执行。用户执行的实际上是外壳程序,这个外壳程序负责把用户原来的程序在内存中解压缩,并把控制权交还给解开后的真正程序,这一切工作都是在内存中运行的,整个过程对用户是透明的。
壳和病毒在某些方面比较类似,都需要比原程序代码更早的获得控制权。壳修改了原程序的执行文件的组织结构,从而能够比原程序的代码提前获得控制权,并且不会影响原程序的正常运行。
这里简单说说一般壳的装载过程。(参考了Ljtt以前写过的一篇文章)
1)获取壳自己所需要使用的API地址
如果用PE编辑工具查看加壳后的文件,会发现未加壳的文件和加壳后的文件的输入表不一样,加壳后的输入表一般所引入的DLL 和API函数很少,甚至只有Kernel32.dll以及GetProcAddress这个API函数。
壳实际上还需要其他的API函数来完成它的工作,为了隐藏这些API,它一般只在壳的代码中用显式链接方式动态加载这些API 函数:3个脱壳相关的重要函数介绍
2)解密原程序的各个区块(Section)的数据
壳出于保护原程序代码和数据的目的,一般都会加密原程序文件的各个区块。在程序执行时外壳将会对这些区块数据解密,以让程序能正常运行。壳一般按区块加密的,那么在解密时也按区块解密,并且把解密的区块数据按照区块的定义放在合适的内存位置。
如果加壳时用到了压缩技术,那么在解密之前还有一道工序,当然是解压缩。这也是一些壳的特色之一,比如说原来的程序文件未加壳时1~2M大小,加壳后反而只有几百K。
3)重定位
文件执行时将被映像到指定内存地址中,这个初始内存地址称为基地址(ImageBase)。当然这只是程序文件中声明的,程序运行时能够保证系统一定满足其要求吗?
对于EXE的程序文件来说,Windows系统会尽量满足。例如某EXE文件的基地址为0x400000,而运行时Windows系统提供给程序的基地址也同样是0x400000。在这种情况下就不需要进行地址“重定位”了。由于不需要对EXE文件进行“重定位”,所以加壳软件把原程序文件中用于保存重定位信息的区块干脆也删除了,这样使得加壳后的文件更加小巧。有些工具提供“Wipe Reloc”的功能,其实就是这个作用。
不过对于DLL的动态链接库文件来说,Windows系统没有办法保证每一次DLL运行时提供相同的基地址。这样“重定位”就很重要了,此时壳中也需要提供进行“重定位”的代码,否则原程序中的代码是无法正常运行起来的。从这点来说,加壳的DLL比加壳的EXE更难修正。
4)HOOK-API
程序文件中的输入表的作用是让Windows系统在程序运行时提供API的实际地址给程序使用。在程序的第一行代码执行之前,Windows系统就完成了这个工作。
壳一般都修改了原程序文件的输入表,然后自己模仿Windows系统的工作来填充输入表中相关的数据。在填充过程中,外壳就可填充HOOK-API的代码的地址,这样就可间接地获得程序的控制权。
5)跳转到程序原入口点(OEP)
从这个时候起壳就把控制权交还给原程序了,一般的壳在这里会有明显的一个“分界线”。但现在的猛壳己没这界限了,壳里有肉,肉里有壳。
3. 压缩引擎
各类加壳软件,其压缩算法一般不是自己实现的,大多是调用其他的压缩引擎。目前压缩引擎种类比较多,不同的压缩引擎有不同特点,如一些对图像压缩效果好,一些对数据压缩效果好。而加壳软件选择压缩引擎有一个特点,在保证压缩比的条件下,压缩速度慢些关系不是太大,但解压速度一定要快,这样加了壳的EXE文件运行起来速度才不会受太大的影响。例如下面几个压缩引擎就能满足这要求:
1. aPLib压缩引擎 https://www.doczj.com/doc/ca7667869.html,/,这个库对于低于64K的文件压缩效果较好,速度较快。
2. JCALG1压缩引擎,相对于aPlib,JCALG1对于大文件效果好些。
3. LZMA压缩引擎 https://www.doczj.com/doc/ca7667869.html,/zh-cn/sdk.html,LZMA 是 7-Zip 程序中 7z 格式的默认压缩算法,压缩率很高。
第四课常见压缩壳与加密壳
加壳软件按照其加壳目的和作用,可分为两类:一是压缩(Packers),二是保护(Protectors)。压缩这类壳主要目的是减小程序体积,如ASPacK、UPX和PECompact等。另一类是保护程序,用上了各种反跟踪技术保护程序不被调试、脱壳等,其加壳后的体积大小不是其考虑的主要因素,如ASProtect、Armadillo、EXECryptor等。随着加壳技术的发展,这两类软件之间的界线越来越模
糊,很多加壳软件除具有较强的压缩性能,同时也有了较强的保护性能。
目前流行的一些壳可以参考这里:https://www.doczj.com/doc/ca7667869.html,/tools/packers.htm
1.常用压缩壳介绍
1). ASPacK
主页:https://www.doczj.com/doc/ca7667869.html,/
ASPack是款Win32可执行文件压缩软件,可压缩Windows 32位可执行文件(.exe)以及库文件(.dll、.ocx),文件压缩比率高达40%~70%。
2). UPX
主页:https://www.doczj.com/doc/ca7667869.html,/
UPX是一个以命令行方式操作的可执行文件经典免费压缩程序,压缩算法自己实现,速度极快。(开源)
3). PECompact
主页:https://www.doczj.com/doc/ca7667869.html,/
PECompact同样也是一款能压缩可执行文件的工具(支持EXE、DLL、SCR、OCX等文件)。相比同类软件,PECompact提供了多种压缩项目的选择,用户可以根据需要确定哪些内部资源需要压缩处理。同时,该软件还提供了加解密的插件接口功能。
2.加密保护壳介绍
为了保护自己的软件不轻易被他人“借鉴”,有必要对软件进行一些加密保护,而这方面目前己有成熟的专业加密软件可选择。但不要太依赖壳的保护,大多数壳是可以被攻破的,还是在自身保护上下些功夫。加密软件比较多,但在强度与兼容性上做的好的并不多,这里向大家介绍几款常见的。
现在壳的发展一个趋势就是虚拟机保护,利用虚拟机保护后,能大大提高强度,因此建议尽可能使用此类技术保护软件。如Themida ,WinLicense,EXECryptor等壳带有虚拟机保护功能,因此得用好其SDK。
1). ASProtect
主页:https://www.doczj.com/doc/ca7667869.html,/
ASProtect是一款非常强大的Windows 32位保护工具,这4、5年来,其一直在更新进步。其开发者是俄国人Alexey Solodovnikov。它拥有压缩、加密、反跟踪代码、反-反汇编代码、CRC校验和花指令等保护措施。它使用Blowfish、Twofish、TEA等强劲的加密算法,还用RSA1024作为注册密钥生成器。它还通过API钩子(API hooks,包括Import hooks(GPA hook)和Export hooks)与加壳的程序进行通信。甚至用到了多态变形引擎(Polymorphic Engine)。反Apihook代码(Anti-Apihook Code)和BPE32的多态变形引擎(BPE32的Polymorphic Engine)。并且ASProtect为软件开发人员提供SDK,实现加密程序内外结合。
ASProtect SKE系列己采用了部分虚拟机技术,主要是在Protect Original EntryPoint与SDK上。保护过程中建议大量里使用SDK, SDK使用请参考其帮助文档,在使用时注意SDK不要嵌套,并且同一组标签用在同一个子程序段里。ASProtect使用相当的简单,打开被保护的EXE/DLL文件后,选上保护的选项。再单击菜单Modes,单击Add Mode按钮,将Is this Mode Avtive选上,最后,单击Protection标签,对软件进行保护即可。ASProtect加壳过程中也可外挂用户自己写的DLL文件,方法是在上图中的External Options选项加上目标DLL即可。这样,用户可以在DLL加入自己的反跟踪代码,以提高软件的反跟踪能力。
强度评介:由于ASProtect名气太大,研究它的人很多,因此很容易被脱壳,不推荐使用。
2). Armadillo加密壳
Armadillo也称穿山甲,是一款应用面较广的壳。可以运用各种手段来保护你的软件,同时也可以为软件加上种种限制,包括时间、次数,启动画面等等!很多商用软件采用其加壳。Armadillo对外发行时有Public,Custom两个版本。Public是公开演示的版本,Custom是注册用户拿到的版本。只有Custom才有完整的功能,Public版有功能限制,没什么强度,不建议采用。
强度评介:Armadillo中比较强大的保护选项是Nanomites保护(即CC保护),用的好能提高强度,其他选项没什么强度。
3). EXECryptor加密壳
EXECryptor也是一款猛壳,可能由于兼容性等原因,采用其保护的商业软件不是太多。这款壳的特点是Anti-Debug做的比较隐蔽,另外就是采用了虚拟机保护一些关键代码。
强度评介:用好EXECryptor 虚拟机保护功能,将关键敏感代码用虚拟机保护起来,能提高强度。EXECryptor 壳能脱的人很多,但对付其虚拟机代码的人不多。
4). Themida加密壳
Themida是Oreans的一款商业壳,官方链接:https://www.doczj.com/doc/ca7667869.html,。Themida 1.1以前版本带驱动,稳定性有些影响。Themida最大特点就是其虚拟机保护技术,因此在程序中擅用SDK,将关键的代码让Themida用虚拟机保护起来。Themida最大的缺点就是生成的软件有些大。WinLicense这款壳和Themida是同一公司的一个系列产品,WinLicense主要多了一个协议,可以设定使用时间,运行次数等功能,两者核心保护是一样的。
强度评介:用好其虚拟机保护功能,将关键敏感代码用虚拟机保护起来,能提高强度。
5). VMProtect
VMProtect是一款纯虚拟机保护软件,官方链接:www.VMProtect.ru。它是当前最强的虚拟机保护软件,经VMProtect处理过的代码,至今还没有人公开宣称能还原。
但也有缺点,就是会影响程序速度,因此在一些对速度要求很高的场合就不适合用了。VMProtect 1.22.3之前是免费版,可以支持EXE,DLL等文件。更高版本需要购买,其支持驱动的保护。现在流行的做法,先用VMProtect将你的核心代码处理一下,再选用一款兼容性好的壳保护。
(1).关键代码自己定位
VMProtect并没有提供使用说明,必须告诉VMProtect你要加密的代码具体地址,这对使用者有一定的要求,至少要懂一些跟踪技术,可以用调试器,如OllyDbg跟踪到程序需要保护的地址,然后添加地址到VMProtect。
在这以一个记事本程序为例来演示一下使用方法。
运行VMProtect后,打开NOTEPAD.EXE文件。单击Dump标签,输入要加密的起始地址,光标来到要加密代码起始地址后,点击菜单“project/new procedure”,会出现一个新的项目,如下图。
需要处理其他地址时,请依次操作。
注意事项:
1.用VMProtect处理,请多测试,如果不稳定,请调整被保护代码的范围。
2.VMProtect对双线程支持不是太好,请同一次仅处理一个线程内的代码。
(2).用SDK标记代码
VMProtect v1.2以上支持SDK了,可以编程时插入一个标记,然后在加密时,VMProtect会认出这些标记,并在有标记的地方进行保护。在程序源码中,用这对标签将一些核心代码包含,编译成EXE文件。然后用VMProtect打开EXE,单击“Project”菜单下的“New procedure”或者单击工具栏中的“New procedure”按钮,在弹出的添加地址窗口中会自动将SDK定义代码的地址填上。然后在VMProtect的“Options”窗口中设置相应的选项,最后单击工具栏中的“Compilation (F9)”按钮,便可对目标软件进行保护。经VMProtect处理过的软件,可以继续用Asprotect, Themida等加壳软件进一步保护。
VMProtect是当前最强的虚拟机保护软件,经过VMProtect处理的软件基本是没法分析原程序思路的,关键是用好,一定要将程序关键代码进行处理。另外,经虚拟机处理代码效率会降低,因此一些对效率要求比较高的代码就不要用VMProtect进行处理。
Delphi 中的标记模式
代码:
VC的VMProtect的宏:代码:
VMProtect使用相关文档:
VMProtect配合PESpin的SDK加密的另一方法作者:acafeel
VMProtect SDK+ASProtect SDK混合编程[代码演示] 作者:Anskya
VMProtect 与 ASProtect 在VC中的SDK编程作者:glucose
3.小结
更多与壳有关的描述参考:
纵横间谁能相抗―论壳与加壳技术作者:forgot
常见加密壳官方站点
ASProtect https://www.doczj.com/doc/ca7667869.html,/
ACProtect https://www.doczj.com/doc/ca7667869.html,/
Armadillo https://www.doczj.com/doc/ca7667869.html,
EXECryptor https://www.doczj.com/doc/ca7667869.html,/
Obsidium http://www.obsidium.de/
PESpin http://pespin.w.interia.pl/
VMProtect http://www.polytech.ural.ru/
Xtreme-Protector https://www.doczj.com/doc/ca7667869.html,/xprotector/
Themida/WinLicense https://www.doczj.com/doc/ca7667869.html,
本站的工具栏目:https://www.doczj.com/doc/ca7667869.html,/tools/packers.htm
第五课文件类型分析
拿到一个壳,第一步就是用相关工具分析一下是什么壳,然后就可心中有数地跟踪分析。文件分析工具有PEID,FileInfo等。
1.PEiD
PEiD的GUI界面操作非常方便直观。它的原理是利用查特征串搜索来完成识别工作的。各种开发语言都有固定的启动代码部分,利用这点就可识别出是何种语言编编译的。同样,不同的壳也有其特征码,利用这点就可识别是被何种壳所加密。PEiD提供了一个扩展接口文件userdb.txt ,用户可以自定义一些特征码,这样就可识别出新的文件类型。
有些外壳程序为了欺骗PEiD等文件识别软件,会伪造启动代码部分,例如将入口代码改成与Visual C++ 6.0所编程程序入口处类似代码,即可达到欺骗目的。所以,文件识别工具所给出的结果只是个参考,文件是否被加壳处理过,还得跟踪分析程序代码才可得知。可参考这个文档了解如何伪装:让侦测工具把壳识别为VC++7.0的源代码。目前Hying的壳PE-Armor伪装能力是最强的:
PEiD分析不出类型的文件就报告是“Nothing found *”,如出现这情况一般都是未知壳或新版的壳。
下面PEiD识别出这个软件是用Asprotect 1.2x加的壳。
2.FileInfo
FileInfo(简称Fi)另一款不错的文件检测工具。Fi运行时是DOS界面,在DOS窗口中运行程序相当不便,建议采用下面的技巧:
1.用鼠标将文件拖到Fi主文件上。
2.将Fi快捷方放进Windows的SendTo文件夹里.以后要分析某文件,只需右击“发送到”功能就可打开Fi。
FileInfo升级慢,其识别库不能自定义。而PEiD升级比较频繁,用户也可自定义特征码,因此PEiD用的比较普遍。
有时,FileInfo和PEID会报“PE Win GUI”,Win GUI就是Windows图形用户界面程序统称,表明程序可能没加壳。但不排除也有加壳的可能性,下图是一个ExeCryptor 2.2x的壳,FileInfo报“*PE Win GUI *section* ??”,其不能识别出来。识别信息中带了个问号,表明FI对给出的结果不是太肯定。
第六课寻找OEP
一般的压缩壳,如Aspack等都有专用的脱壳机。而加密壳(如ASProtect,Armadillo)一般很少有脱壳机,必须手工脱壳。手工脱壳一般情况是分三步:一是查找程序的真正入口点(OEP);二是抓取内存映像文件;三是输入表重建。(当然现在的加密壳复杂些,要考虑更多的东西)
OEP是Original Entry Point缩写,即程序加壳前的真正的入口点。
外壳初始化的现场环境(各寄存器值)与原程序的现场环境是相同的。加壳程序初始化时保存各寄存器的值,外壳执行完毕,会恢复各寄存器内容。其代码形式一般如下:
PUSHFD ; 将标志寄存器入栈保存
PUSHAD ; push eax, ecx, edx, ebx, esp, ebp, esi, edi
…… ; 外壳代码部分
POPAD ; pop edi, esi, ebp, esp, ebx, edx, ecx, eax
POPFD ; 恢复标志寄存器
JMP OEP ;
OEP: …… ; 解压后的程序原代码
为了讲述方便,本节用UPX加壳的Win98记事本来演示。首先用PEid查看加壳前的记事本:
PEid显示Notepad.exe程序是用Microsoft Visual C++ 6.0编译的,接下来用UPX来加壳,方法是开个DOS窗口,用命令
upx notepad.exe。如下图所示:
这时再用PEid查看加壳的文件,PEid会给出如下信息:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
UPX的壳可以用UPX.exe自身来脱,命令是:upx -d 文件名。一些变种的UPX壳用UPX.EXE自身脱不了,这时可以试试UPX ShellEx这款工具。
本节实例下载:notepad.upx.rar
脱壳前建议用PE工具LordPE打开目标文件查看一下区块,以尽可能地多了解一些信息,对脱壳有帮助,如下图:
1.根据跨段指令寻找OEP
推荐用Ollydbg来调试脱壳,比SoftICE和TRW2000方便多了。运行Ollydbg,点击菜单“选项/调试设置”,将第一次暂停设在WinMain 函数上。再用Ollydbg打开实例notepad.upx.exe就可中断在外壳的入口点处了:
上图相关代码如下:
0040E8C0 > 60 pushad //一开始Ollydbg就会中断这行,这个就是外壳的入口点,注意这个pushad指令
绝大多数加壳程序在被加密的程序中加上一个或多个段,所以依据跨段的转移指令(JMP)就可找到真正的入口点,此时就会有POPAD/POPFD指令出现。UPX 用了一次跨段的转移指令(JMP),在跳到OEP处会看到虚拟地址的值有一个突变,此时就能确定OEP 了。
UPX壳比较简单,大家不必要跟踪去找这个跨段的转移指令,中断WinMain后,只需要在Ollydbg里往下翻屏,就会发现这个跨段转移指令:
上图相关代码如下:
0040EA0E 61 popad //注意这里的popad指令,和开始的pushad对应
0040EA0F - E9 B826FFFF jmp 004010CC //这里跳到OEP,将光标移到这,按F4执行到这行
这一句0040EA0F jmp 004010CC 就是跳到OEP的指令,执行到这,UPX外壳己将程序解压完毕,并模拟Windows加载器的将原始程序加载到内存,004010CC 就是映射到内存目标程序的入口点,此时就可抓取内存映像文件了。
2.根据堆栈平衡原理找OEP
这个堆栈平衡原理其找OEP原理这篇文档描述的比较详细:寻找真正的入口(OEP)--广义ESP定律作者:Lenus
操作方法:多数壳在运行到OEP的时候ESP=0012FFC4,这就是说程序的第一句是对0012FFC0进行写入操作,只要在0012FFC0下硬件写入断点(命令行里键入HW 12FFC0),我们就能停在OEP的第二句处。
注意:并不是所有程序加载时,ESP的值是0012FFC4,这个值是什么由操作系统决定,将SizeOfStackCOmmit改大ESP就会变,这是因为操作系统从这个页向上找一个足够大地方当作stack了(感谢forgot解释)。你只要记住你系统加载时的ESP值,对其设断即可。
用OllyDBG重新加载实例程序notepad.upx.exe,在命令行下硬件写断点:
按F9执行程序,就会中断在OEP第二行:
此时如果将光标向上移,会发现第一句代码变乱了:
004010C7 000D 0A000055 add [5500000A], cl
004010CD 8BEC mov ebp, esp
这是因为Ollydbg将数据当汇编代码来分析了,你可以按 Ctrl+ALT+向上光标键将当前显示的代码向上滚动一个字节就可看到正确的汇编代码了:
004010CC 55 push ebp
004010CD 8BEC mov ebp, esp //中断在这行
004010CF 83EC 44 sub esp, 44
004010D2 56 push esi
004010D3 FF15 E4634000 call [4063E4] ; kernel32.GetCommandLineA
中断后,别忘点击菜单“调试/硬件断点/”打开硬件断点面板,将刚才的硬件断点删除。
小知识:硬件断点的原理作者:Lenus
3.根据编译语言特点找OEP
各类语言编译的文件入口点都有一些规律,可以这利用这点来寻找入口点。
1)Delphi程序
执行程序,用LordPE(或Prodump)选dump(full)脱壳,存为dump.exe。接着用Hex Workshop打开dump.exe,搜索文本“runtime”,搜到后,向前查找离“runtime”最近的十六进制数字“55 8B EC”,数字所在的地址就是程序的OEP。
2)Visual C程序
----------------<小A分>---------------- 一、概论 壳出于程序作者想对程序资源压缩、注册保护的目的,把壳分为压缩壳和加密壳(强壳)两种 "UPX" "ASPCAK" "TELOCK" "PELITE" "NSPACK(北斗)" ... "ARMADILLO" "ASPROTECT" "ACPROTECT" "EPE(王)" "SVKP" ... 顾名思义,压缩壳只是为了减小程序体积对资源进行压缩,加密壳是程序输入表等等进行加密保护。 当然加密壳的保护能力要强得多! -----------<小A分割线>------------- 二、工具的认识 OllyDBG ring3 shell层级别的动态编译工具、 PEid、 ImportREC、 LordPE、 softIce ring0级别调试工具 -------------<小A分割>------------------- 三、常见手动脱壳方法 预备知识 1.PUSHAD (入栈/压栈)代表程序的入口点, 2.POPAD (弹栈/出栈)代表程序的出口点,与PUSHAD想对应,一般找到这个OEP就在附近 3.OEP:程序的入口点,软件加壳就是隐藏了OEP(或者用了假的OEP/FOEP),只要我们找到程序真正的OEP,就可以立刻脱壳。 ------------<小A分割线>-------------------- 方法一:单步跟踪法 1.用OD载入,点“不分析代码!” 2.单步向下跟踪F8,实现向下的跳。也就是说向上的跳不让其实现!(通过F4) 3.遇到程序往回跳的(包括循环),我们在下一句代码处按F4(或者右健单击代码,选择断点——>运行到所选) 4.绿色线条表示跳转没实现,不用理会,红色线条表示跳转已经实现! 5.如果刚载入程序,在附近就有一个CALL的,我们就F7跟进去,不然程序很容易跑飞,这样很快就能到程序的OEP 6.在跟踪的时候,如果运行到某个CALL程序就运行的,就在这个CALL中F7进入 7.一般有很大的跳转(大跨段),比如 jmp XXXXXX 或者 JE XXXXXX 或者有RETN 的一般很快就会到程序的OEP。 近CALL F7 远CALL F8 Btw:在有些壳无法向下跟踪的时候,我们可以在附近找到没有实现的大跳转,右键-->“跟随”,然后F2下断,Shift+F9运行停在“跟随”的位置,再取消断点,
湖心亭看雪字词批注译文及知识点完全归纳 崇祯五年十二月,余住西湖。大雪三日,湖中人鸟声俱绝。 是日更定矣,余拏一小舟,拥毳衣炉火,独往湖心亭看雪。 雾凇沆砀,天与云与山与水,上下一白。 湖上影子,惟长堤一痕、湖心亭一点、与余舟一芥、舟中人两三粒而已。 到亭上,有两人铺毡对坐,一童子烧酒炉正沸。 见余,大喜曰:“湖中焉得更有此人!”拉余同饮。 余强饮三大白而别。问其姓氏,是金陵人,客此。 及下船,舟子喃喃曰:“莫说相公痴,更有痴似相公者!” 译文 崇祯五年(公元1632年)十二月,我住在西湖边。 大雪接连下了多天,湖中的行人、飞鸟的声音都消失了。 这一天晚上八点左右,我撑着一叶小舟, 穿着毛皮衣,带着火炉,独自前往湖心亭看雪。 (湖面上)冰花一片弥漫,天和云和山和水,天光湖色全是白皑皑的。 湖上的影子,只有一道长堤的痕迹, 一点湖心亭的轮廓,和我的一叶小舟,舟中的两三粒人影罢了。 到了湖心亭上,看见有两个人铺好毡子,相对而坐,一个小孩正把酒炉(里的酒)烧得滚沸。(他们)看见我,非常高兴地说:“想不到在湖中还会有您这样的人!” (他们)拉着我一同饮酒。我尽情的喝了三大杯酒,然后和他们道别。 (我)问他们的姓氏,(得知他们)是南京人,在此地客居。 等到了下船的时候,船夫喃喃地说:“不要说相公您痴,还有像相公您一样痴的人啊!” 一、【重点注释】 1、是日更定矣是:这。 定:完了,结束 2、余挐一小船,拥毳衣炉火。 挐:通“桡”,撑,划。毳衣:用毛皮制成的衣服。 3、雾淞沆砀。 沆砀:白气弥漫的样子 4、湖中焉得更有此人焉: 哪里。更:还 5、余强饮三大白而别 强:勉强。白:指酒杯 6、上下一白 一白:全白 7、客此。及下船 客此:在此地客居;及:等到 8、相公: 旧时对士人的尊称。 二、词类活用 1.大雪三日大雪:名词活用作动词,下大雪。
群联Phsion最新,最详细的U盘量产教程 注意:请耐心阅读! 【量产的好处】 1. 安全:处理后,U盘上的光盘所在区域完全不可写,分区、病毒无法破坏!(要是你处理U盘的过程中不慎将病毒引入,那也是超级顽固的!) 2. 兼容性好:由于各厂家主板在USB-HDD和USB-ZIP处理方式上的不同,常规方法制作的U盘启动盘,常常在这台电脑上可用,在另外一台电脑上又引导失败。而USB-CDROM模式不存在这个问题。 3. 彻底解决了常规U盘启动后硬盘盘符混乱的问题。 4. 和光盘相比,启动速度快。现在的电脑都支持USB 2.0模式启动,启动WINPE 到桌面不超过一分钟。 5. 可以满足某些人近似变态的DIY情结,当然……只能暂时缓解,不能根治,绝症! 6. 量产后,U盘只有在读取时才会亮灯,平时不亮。这算不上“好处”,但是我喜欢。 【量产的缺点】 1、不是所有U盘都可以,取决于U盘主控芯片厂家是否提供该功能的量产工具;相信以后会越来越多。 2、本文象征意义大于实际意义,主要是提供一种思路。 3、目前网上下载的启动光盘没有考虑到这种启动方式,启动后可能出现一些错误,虽然几率很小。 4、处理以后checkudisk就不能查看U盘信息(ID)了,而且很多启动盘制作软件不能识别U盘。 5、DOS下的USB驱动程序可能不支持处理后的U盘(但是你可以从U盘引导后使用),WIN PE没问题。
【工具下载】 1、ChipGenius v2.7 USB设备芯片型号检测工具: https://www.doczj.com/doc/ca7667869.html,/viewthread.php?tid=55326 2、群联量产工具:https://www.doczj.com/doc/ca7667869.html,/viewthread.php?tid=55483 3、量产专用ISO镜像:https://www.doczj.com/doc/ca7667869.html,/viewthread.php?tid=55598 【量产图文教程】 一、用ChipGenius V2.7(目前最新版本)检测USB设备芯片型号:
12* 湖心亭看雪教案 西湖很美——春季,白居易“最爱湖东行不足,绿杨阴里白沙堤”;夏季,苏轼“欲把西湖比西子,淡妆浓抹总相宜”;秋季,杨万里“只言山色秋萧索,绣出西湖三四峰”。在这个冬季,张岱带领我们一起去湖心亭看雪。 1.积累一些文言实词、虚词。 2.了解作者、写作背景以及雪后西湖的奇景、作者游湖的雅趣等。 3.把握文章运用的白描手法,赏析课文熔叙事、写景、抒情于一炉的写作特色。 4.理解作者遗世独立的高洁情怀和不随流俗的生活态度以及消极避世的意绪。 一、新课导入 冬季最温暖的日子无疑是下雪的日子,那飘扬的雪花,凝聚了春雾夏雨秋露的情绪,播撒而来,从每一个点上摩挲着我们,感化着我们,让我们享受热烈、静穆、自由。啊,下雪,真好!让我们步入张岱的世界,去品品《湖心亭看雪》。 二、自学指导(一)——预习与交流 1.朗读课文,找出文中生字词并注音 崇祯 ..(chóng zhēn) 是日更.定(gēng) 拏.一小舟(ná) 毳.衣炉火(cuì) 雾凇沆砀 ...(sōng)(hàng)(dàng) 铺毡.对坐(zhān) 焉得更.有此人(gèng) 余强.饮三大白(qiǎng) 喃.喃(nán) 2.听老师朗读课文,用“/”划出课文朗读的停顿 崇祯五年/十二月,余/住西湖。大雪/三日,湖中/人鸟声俱绝。是日/更定矣,余/拏一小舟,拥/毳衣炉火,独往湖心亭/看雪。雾凇/沆砀,天/与云/与山/与水,上下/一白。湖上/影子,惟/长堤一痕,湖心亭一点,与/余舟一芥,舟中人/两三粒而已。 到亭上,有两人/铺毡对坐,一童子烧酒,炉正沸。见余大惊喜,曰:“湖中/焉得/更有此人!”拉余/同饮。余/强饮三大白/而别。问其姓氏,是金陵人,客此。及下船,舟子/喃喃曰:“莫说/相公痴,更有/痴似相公者!” 3.理解课文重点词语 (1)一词多义 是:①是日更定矣(代词,这) ②是金陵人(表判断) 一:①上下一白(副词,全) ②长堤一痕(数词) 更:①更有痴似相公者(副词,还) ②是日更定矣(古代夜间的计时单位) 白:①强饮三大白而别(古人罚酒用的酒杯,这里代指酒) ②上下一白(白色)
小学二年级语文《看雪》教案 【教材分析】: 课文主要讲了台湾小朋友只看见过棉花做成的雪,没有见过真正的雪。老师给他们讲了自己小时候在故乡北京玩雪的情景,激起了小朋友们想去北京看雪的愿望。课文以对话为主,内容贴近同学心理特征,前面语言浅显易懂,师生最后的对话蕴含着海峡两岸人民企盼祖国统一的愿望。 【学情分析】: 二年级的同学对识字的方法有了一定的积累,自主识字的能力有了一定的提高,识字的愿望更强。他们充满好奇心,爱玩爱动,对雪有一种向往留恋之情;同时,他们富于想象,容易进入虚拟的情境;但是他们逻辑思维能力还很低,对课文蕴含的“海峡两岸人民企盼祖国统一的愿望”领悟会有困难;对话语的情感揣测能力不够,读问句和感叹句的语气需要具体指导。 【设计理念】: 1、通过猜谜语的形式导入以及猜字谜活动,满足了学生的好奇心、求知欲,让学生充分的感受学习的乐趣。 2、用多种活动鼓励自主阅读、自由表达,充分激发他们的问题意识和进取精神,让学生大胆质疑,并带着问题去读书,并能感受到
成功的乐趣。 3、低段教学首要目标还是识字写字,把识字教学贯穿到整个教学过程之中,采用独立识字与合作学习相结合的方法,降低了识字难度,增强了识字的兴趣。 4、对重点句段进行简单理解,让学生感受到祖国的语言美。 【教学目标】: 1.会认“省、店”等十个字,会写“指、接”两个字。 2.正确、流利地朗读课文,初步体会文章的思想感情。 【教学重、难点】 1.会认“省、店”等十个字,会写“指、接”两个字。 2、初步体会文章的思想感情。 【教学过程】 导入揭题 师:同学们,今天老师给大家带来了一首谜语,看一看,能猜出来吗?(出示谜语) 生:读,猜(雪)。 师:真棒!一下就猜出来了,喜欢雪吗?一起来写一写这个字吧! (师板书,生书空。) 师:下雪了,多好玩啊!你们是怎么玩的?(同学回答) 师:今天,老师给大家带来一个故事,名字就叫做《看雪》。(补充课题)快来读一读吧! 初读、识字
《湖心亭看雪》教学设计 执教:严沁雯 教学目标: 1、熟读课文,理解课文大意,积累文言词汇,力求当堂背诵; 2、品位雪后西湖的美景和作者游湖的雅趣,探究作者的精神世界。 教学重点: 积累文言词汇,感受作者情怀。 教学难点: 理解作者精神世界,把握写景抒情的关系。 教学过程: 一、导入 常言道:“上有天堂,下有苏杭。”杭州最美在西湖。许多文人墨客用他们的生花妙笔描摹了西湖春夏的美。杨万里说“接天莲叶无穷碧,映日荷花别样红”,这是明艳妖娆的西湖,白居易说“最爱湖东行不足,绿杨阴里白沙堤”,这是杨柳依依生机盎然的西湖。那么,寒冬大雪后的西湖又是一番怎样的景象呢?这节课,就让我们一起去《湖心亭看雪》,感受张岱的一片痴心。(板书课题、作者) 二、作者作品 指明学生介绍书中注释一: 张岱,字宗子,又字石公,号陶庵,又号蝶庵居士,明末清初山阴人。寓居杭州。出身仕宦世家,少为富贵公子,爱繁华,好山水,晓音乐、戏曲,明亡后不仕,入山著书以终。有《陶庵梦忆》、《西湖梦寻》等。 三、初读课文,了解文意 1、自由读课文,结合文下注释初步了解课文内容。 2、小组交流、解决疑难。 3、小组汇报,尚未解决的疑难问题。 4、学生逐句翻译课文。 四、再读课文,解读痴人 1、生读课文,在文中找出一个最恰当的字评价张岱。 2、指名读第一段。你发现张岱有哪些“痴”的表现?在文中找出句子。 (1)“湖中人鸟声俱绝”(翻译)。 明确:天寒地冻,人和鸟的声音都消失了。“绝”字一词多义拓展。 课本附录了柳宗元的诗《江雪》,看一看哪个句子和课文的意境相似? 千山鸟飞绝,万径人踪灭。 (2)“独往湖心亭看雪”(翻译),“独”字表现出他的遗世独立; 张岱说是独往,真的是一人去的吗?有没有同行的人? 明确:舟子只是撑船的随从,不是看雪人,不能说同往看雪。表现出张岱很清高,孤傲,不愿与舟子为伍。
加壳与脱壳的应用与实现
一、加壳 (2) 1.什么是壳 (2) 2.加壳原因 (2) 3.壳的加载过程 (3) 4.压缩引擎 (5) 5.常见的加壳工具 (6) a.常用压缩壳介绍 (6) b.加密保护壳介绍 (7) 二、脱壳 (10) 1.侦壳 (10) 2.脱壳 (13) a.查找程序的真正入口点(OEP) (13) b.抓取内存映像文件 (15) c.输入表重建 (15) 附:视频“加壳与脱壳(软件)”和“手动脱壳” (17)
加壳与脱壳 一、加壳 1.什么是壳 在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,就把这样的程序称为“壳”了。 图1.1 2.加壳原因 就把这样的程序称为“壳”了。 作者编好软件后,编译成exe可执行文件。 1)有一些版权信息需要保护起来,不想让别人随便改动,如作者
的姓名,即为了保护软件不被破解,通常都是采用加壳来进行保护。 2)需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩。 3)在黑客界给木马等软件加壳脱壳以躲避杀毒软件。实现上述功能,这些软件称为加壳软件。 3.壳的加载过程 1)获取壳自己所需要使用的API地址 如果用PE编辑工具查看加壳后的文件,会发现未加壳的文件和加壳后的文件的输入表不一样,加壳后的输入表一般所引入的DLL和API函数很少,甚至只有Kernel32.dll以及GetProcAddress这个API 函数。 壳实际上还需要其他的API函数来完成它的工作,为了隐藏这些API,它一般只在壳的代码中用显式链接方式动态加载这些API函数2)解密原程序的各个区块(Section)的数据 壳出于保护原程序代码和数据的目的,一般都会加密原程序文件的各个区块。在程序执行时外壳将会对这些区块数据解密,以让程序能正常运行。壳一般按区块加密的,那么在解密时也按区块解密,并且把解密的区块数据按照区块的定义放在合适的内存位置。 如果加壳时用到了压缩技术,那么在解密之前还有一道工序,当然是解压缩。这也是一些壳的特色之一,比如说原来的程序文件未加壳时1~2M大小,加壳后反而只有几百K。
人教版小学语文二年级上册《看雪》 说课稿一,说教材 一位台湾老师正在给孩子们讲述自己童年玩雪的情景:冬天,天上飘着雪花,地上铺着银毯,树上披着银装,到处一片洁白.小伙伴们在雪地上堆雪人,打雪仗,玩得可高兴了! 此时此刻,我们仿佛看到了台湾小朋友脸上向往的神情.是啊!隔着海峡,望着宝岛,听着阵阵涛声,想着美丽的日月潭.那里有春节,那里有龙舟,那里有浓浓的乡音,那里有深深的乡愁.只是,那里很少有雪.那里的孩子们多么希望能看到雪呀! 这是小学语文第三册《看雪》一课的内容. 针对课文特点和二年级学生的实际,确定如下教学目标: 认识10个生字.会写8个生字. 正确,流利,有感情地朗读课文,体会课文中老师和孩子们对雪,对北京的向往之情.有盼望台湾回归,实现祖国统一的愿望. 教学重难点: 重点:通过重点词句,体会孩子对雪,对北京的向往之情. 难点:从课文最后一句话中激发学生盼望台湾回归,祖国统一的愿望. 二,说设计理念[小学教学设计网https://www.doczj.com/doc/ca7667869.html,] 本课以对话为主,内容浅显易懂,教师不必作过多讲解,让学生在"原汁原味"的对话中感悟台湾师生向往祖国北京,北京的小朋友盼望和台湾小朋友一起玩的心情. 教学设计根据儿童认知规律,把实践与认识结合起来,通过看看,读读,想想,议议,写写,唤醒学生主体意识,激发学生的主动参与,调动学生的阅读积极性,丰富学生语言感受力.将课堂与生活,课内与课外,文本与经验有机结合.丰富学生的认识,开阔学生的视野,在延伸中拓展,在拓展中深化.
三,说教法 本文内容和儿童生活有一定的距离,学生体会文中的思想感情难度较大.教学本课我采用小组合作,探究性阅读的方式,引导学生在探究和朗读中体会课文的思想感情. 创设"自读自悟,合作探究"的环节,激活每个学生的内驱力,倡导自主,合作,探究的学习方式,让学生增强自信心.使阅读教学具有持久活力; 创设"多种形式的朗读"活动,促使学生乐而不疲地把书读好.激发学生的读书兴趣.使每一位学生都喜欢读书,乐于读书.在轻松愉快的阅读实践中,自悟自得,获得情感的体验.创设"向台湾小朋友发出邀请"的活动,激活学生运用祖国语言文字的能力,同时锻炼学生解决问题的意识和能力. 四,说学法 在识字教学中,调动学生的识字积累,发展他们的思维能力和想象能力,进行自主性和创造性的学习. 倡导小组合作探究的学习方式,将"合作探究法"贯穿课堂教学的始终.鼓励学生组内合作,组外竞争.学生一定能在互帮互学的基础上促进自身表达能力的发展. 五,说教学资源的储备 多种资源整合:北国雪景风光及音乐片段.课文朗读录音带,中国地图等. 六,说教学过程 (一),复习谈话,导入新课 1.大家还记得"识字3"里讲台湾岛的三字经吗谁愿意背给大家听一听 2.谈话 (把以前对台湾的了解运用到本课的学习中.) (二),观看图片,初读课文
《湖心亭看雪》教学流程 导入:杭州西湖,作为千古名胜,自古以来就获得无数文人的赞美。白居易用“乱花渐欲迷人眼,浅草才能没马蹄”写出了春天里生机勃勃的西湖,杨万里用“接天莲叶无穷碧,映日荷花别样红”写出了夏天里妖娆妩媚的西湖,孙锐用“白苹红蓼西风里,一色湖光万顷秋”写出了秋天里如画般的西湖。有人说,西湖是“晴湖不如雨湖,雨湖不如月湖,月湖不如雪湖”,乾隆五年的那场大雪,因了文学的魅力而经久不化。今天我们就跟着清代文人张岱的脚步,去赏一赏冬天里如梦幻般的西湖——今天我们就学《湖心亭看雪》(板书题目《湖心亭看雪》张岱) 过程:首先我们要明确一下本节课的学习目标(出示,全班齐读) 学习目标:1、积累常用的文言词语。2、品味语言,理解作者的情怀。 一、自学检测 同学们在自学的过程中还有遗留没解决的问题吗?还有问题吗,没有问题我们就开始检测。 现在开始字词读音的检测,我们开火车检测,每位同学读两个:
毳( ) 衣雾凇( ) 沆( )砀( )铺毡( )更( ) 定.. 崇( )祯( )更( )有此人强( )饮Ch óng zh ēn cuìs ōng hàng dàng g ēng zh ān gèng qi ǎng 比一比 1、余挐一小舟(撑,划) 3、雾凇沆砀(冰花一片弥漫)2、上下一白。 4、长堤一痕(全白)(一道痕迹) 一、请说出下列带横线的字词的意思。 5、与余舟一芥 6、及下船
、雾凇沆砀,天与云与山与水,上下一白。 4、莫说相公痴,更有痴似相公者。 好,我们在疏通文意后,把课文齐读一遍(齐读) 好,同学们读的非常流利,但是同学们想声情并茂的读课文,就要先把握文章的基调,这需要以理解文章的内容为基础。下面听视频范读,大家在听的时候,要注意朗读的读音、断句及语气,并且边听边想,在文中找出一个最恰当的字来评价张岱。 下面我们请同学们从文章中找出一个字来评价作者张岱。你认为哪个字合适,说出观点。 自学指导 思考:从哪里可以看出作者的痴? (独立思考1分钟后大胆举手发表你的见解) 二、咬文嚼字品痴行
U 盘量产详细图文教程(附工具下载)
文章导读:“U 盘量产”我想大家都有可能听说过,最近有很多网友在寻修问吧提出这个问题,笔 者最近也做了个量产的尝试,结果非常顺利地做好了量产,接下来我就把我做量产的经验分享给 大家。
“U 盘量产”我想大家都有可能听说过,最近有很多网友在寻修问吧提出这个问题,笔者最 近也做了个量产的尝试,结果非常顺利地做好了量产,接下来我就把我做量产的经验分享给大 家。 首先来了解一下量产软件的定义,量产软件英文 USB DISK PRODUCTION TOOL,简称是 PDT,意思是 U 盘生产工具。U 盘生产厂家不像我们玩家,一次就搞一两个 U 盘,他们生产都是 按批计算的,是用电脑连上 USB HUB,同时连上8-16个(甚至更多)U 盘,然后用 PDT 向众 多 U 盘写入相同数据,完成 U 盘生产的最后工序。所以 PDT 因此得名量产软件—即工厂大批 量生产 U 盘的专用软件。 实战: 需要用到的软件:ChipGenius,用于检测 U 盘芯片型号。 U 盘量产软件:基本上每一种芯片都有专门的量产工具软件,大家先用 ChipGenius 检测芯 片型号后作出选择。 ChipGenius v3.01下载地址:https://www.doczj.com/doc/ca7667869.html,/software.aspx?id=1347 50种 U 盘量产工具大全 下载地址:https://www.doczj.com/doc/ca7667869.html,/software.aspx?id=1369 首先启动 ChipGenius,然后把 U 盘插上,ChipGenius 就开始检测 U 盘芯片组。 可以得知芯片型号是联盛的 UT165。
VB加壳脱壳程序源码 1、窗体代码 Private Sub Check1_Click() Text2.SetFocus End Sub Private Sub Image2_MouseUp(Button As Integer, Shift As Integer, X As Single, Y As Single) Image10.Visible = False End Sub Private Sub Image3_Click() If Text1.Text = "" Then MsgBox "Please Select A File First!", vbInformation Else List1.Visible = True List2.Visible = False Frame3.Visible = False List1.Text = " UPX 1.24 " Text2.SetFocus End If End Sub Private Sub Command2_Click() Dim path As String, back_path As String, file_t As String 'Dim's strings Text2.SetFocus CommonDialog1.ShowOpen Text1.Text = CommonDialog1.FileName path = Text1.Text back_path = "Backupfile.exe" If Check1.Value = 1 Then i = FreeFile Open path For Binary As #i file_t = Space(LOF(i)) Get #i, , file_t Close #i Open back_path For Binary As #i Put #i, , file_t Close #i MsgBox " A Backup of the file has been created in the same location as the original file", vbInformation End If End Sub Private Sub Image3_MouseDown(Button As Integer, Shift As Integer, X As Single, Y As Single) Image8.Visible = True End Sub Private Sub Image3_MouseUp(Button As Integer, Shift As Integer, X As Single, Y As Single) Image8.Visible = False
小学二年级语文看雪教案 【教学目标】 1、认识10个生字,练写带提手旁的三个字。 2、能正确流利有感情地朗读课文。体会课文中老师和孩子对雪、对北京的向往之情。激发学生盼望祖国回归的愿望。 3、学习课文中的重点词句,知道词语搭配的妙处。 【教学重难点】 1、教学重点: 通过重点词句,体会孩子对雪、对北京的.向往之情。 2、教学难点: 从课文最后一句话中激发学生盼望台湾回归,祖国统一的愿望。 【教具准备】 多媒体课件。 【教学过程】 一、猜谜激趣,导入新课 1、猜谜语“一片一片又一片片片鹅毛飞满天,掉在地上处处白,落在水里都不见。” 2、板书课题,齐读课题。 二、初读课文,学习字词 1、自读课文,划出生字,标出自然段。 2、师提问:是哪的小朋友想看到雪?他们希望到哪里看雪?(板书:台湾、北京) 3、认读生字: ⑴自由练读生字。
⑵开火车读生字。 ⑶生字排序,学生观察找排序规律。 ⑷去拼音读生字。 4、认读词语: ⑴看词语,心里默读。 ⑵齐读词语。 三、感悟课文,指导朗读 1、学习一、二自然段: ⑴齐读一、二自然段。 ⑵师提问:假如你是台湾小朋友,看到这种人工做的雪景,会想些什么,说些什么呢? 2、学习三-八自然段: ⑴同桌合作朗读三-八自然段。 ⑵指名朗读。 ⑶指导有感情地朗读学生们问的句子: ①您看到过真的雪吗?(读出好奇的语气) ②您是在哪儿见过的呢?(读出惊奇的语气) ③北京离这儿很远吧?(读出打探的语气) ⑷指导有感情地朗读老师回答的句子: ①老师微笑着点点头。 ②小时候,在我的故乡。(学生在地图上指出北京和台湾的位置) ③不算太远。
3、学习九自然段: ⑴自由轻声朗读九自然段。 ⑵课件出示雪景图,学生在课文中找句子配图。 ⑶完成课后连线题。 ⑷指导有感情地朗读第一句话。 ⑸指导有感情地朗读第二句话。 ⑹齐读全段。 4、学习十、十一自然段: ⑴指名朗读十、十一自然段。 ⑵学生填空: ()的小朋友正盼着()去和他们一起玩儿呢! ⑶学生把自己当作北京的小朋友,为台湾小朋友介绍北京的名胜景点。 ⑷欣赏台湾的名胜景点介绍。 四、朗读全文,指导写字 1、全文朗读。 2、指导写“打”“指”“接”三个生字: ⑴观察三个字的共同点。 ⑵老师范写,学生书空。 ⑶学生练写。 【板书设计】 12看雪 台湾北京
重要说明:在操作前一定要详细阅读本文,否则可能导致制作失败,同时U盘报废(吓唬你的,本文有解决办法,但是仍然具有危险性,你需要为自己的操作及后果负责) 好处: 1. 安全:处理后,U盘上的光盘所在区域完全不可写,分区、病毒无法破坏!(要是你处理U盘的过程中不慎将病毒引入,那也是超级顽固的!) 2. 兼容性好:由于各厂家主板在USB-HDD和USB-ZIP处理方式上的不同,常规方法制作的U盘启动盘,常常在这台电脑上可用,在另外一台电脑上又引导失败。而USB-CDROM模式不存在这个问题。当然,新鲜事物还需要验证和完善。 3. 彻底解决了常规U盘启动后硬盘盘符混乱的问题。 4. 和光盘相比,启动速度快。现在的电脑都支持USB 2.0模式启动,启动WINPE到桌面不超过一分钟。 5. 可以满足某些人近似变态的DIY情结,当然……只能暂时缓解,不能根治,绝症! 6. 量产后,U盘只有在读取时才会亮灯,平时不亮。这算不上“好处”,但是我喜欢。 缺点: 1. 不是所有U盘都可以,取决于U盘主控芯片厂家是否提供该功能的量产工具。相信以后会越来越多。Kingston U盘保有量不是很多,所以本文象征意义大于实际意义,主要是提供一种思路, 2. 目前网上下载的启动光盘没有考虑到这种启动方式,启动后可能出现一些错误,虽然几率很小。 3. 处理以后checkudisk就不能查看U盘信息(ID)了,而且很多启动盘制作软件不能识别U盘。 4. DOS下的USB驱动程序可能不支持处理后的U盘(但是你可以从U盘引导后使用),WIN PE没问题。 预备知识 我买的U盘是金士顿DTI 2G(绿色,Vid_13fe&Pid_1d00),以下方法只能保证在这种型号U盘上适用,其他型号的U盘需要下载专用软件。Kinston U盘使用的主控芯片相当混乱,主要有擎泰SK6201,SK6281,还有用Toshiba,群联Phison,假货就更乱了。我的U盘用的是群联的主控芯片。 量产工具:U盘生产出来以后,还需要使用U盘控制芯片厂家提供的批量生产工具,(简称量产工具。为什么不叫批产工具#!@%…#!~)刷入底层资料(固件Firmware),格式化,关闭坏的区块,才得到可以使用的U盘。所以量产工具是维修U盘的终极武器,只要不是硬件故障,用量产工具几乎可以100%修复。把U盘模拟成USB-CDROM,用常规方法是不可能做到的,因为要修改底层资料(固件),量产工具必不可少。实际上,如果量产工具不提供这项功能,我们就不可能做到。 如果你的U盘是其他型号,请下载专用量产工具。先用checkudisk查看U盘ID,类似于Vid_13fe&Pid_1d00,再到网址https://www.doczj.com/doc/ca7667869.html,/usb.ids查找对应的主控芯片厂家、型号(假货可能不准),然后下载专用量产工具。如果该量产工具不支持USB-CDROM,你只能期待新版本。 除了量产工具,你还需要准备一个可启动的光盘ISO或BIN文件。大小不可超过U盘总容量(废话)。还有,量产成功后,你可以使用的有效容量是扣除光盘以
软件脱壳、破解精典实例教程 我要破解的软件:网络填表终结者破解需要的软件(点击下载): 侦壳language.exe 脱壳AspackDie.exe 反编译W32Dasm黄金中文版 16进制编辑器UltraEdit.rar 在破解之前先复习一下基础知识: 一.破解的等级 初级,修改程序,用ultraedit修改exe文件,称暴力破解,简称爆破 中级,追出软件的注册码 高级,写出注册机 二.用w32dasm破解的一般步骤: 1.看软件的说明书,软件注册与不注册在功能上有什么区别,如何注册 2.运行此软件,试着输入你的姓名和任意注册码去注册,有什麽错误提示信息,将错误提示信息记下来 3.侦测有无加壳(第一课).若加壳,脱壳(第二课) 4.pw32dasmgold反汇编 5.串式参考中找到错误提示信息或可能是正确的提示信息双击鼠标左键 6.pw32dasmgold主窗口中分析相应汇编,找出关键跳转和关键call 7.绿色光条停在关键跳转,在pw32dasmgold主窗口底部找到关键跳转的偏移地址(实际修改地址) 8.用ultraedit找到偏移地址(实际修改地址)修改机器码,保存 壳的概念:版权信息需要保护起来,不想让别人随便改动,exe可执行文件压缩,最常见的加壳软件ASPACK ,UPX,PEcompact 脱壳:拿到一个软件,侦测它的壳,然后我们要把它的壳脱去,还原它的本来面目.若它没有加壳,就省事不用脱壳了.脱壳软件unaspack,caspr,upx,unpecompact,procdump 实际修改地址(偏移地址)和行地址(虚拟地址)pw32dasmgold反汇编出来的代码由三列组成 第一列行地址(虚拟地址) 第二列机器码(最终修改时用ultraedit修改)
湖心亭看雪教案 〖学习目标〗 了解作者及写作年代,品味雪后西湖的奇景和作者游湖的雅趣,理解课文融叙事、写景、抒情于一炉的写作特色。体会本文清新淡雅的意境和严整而富于变化的语言。 积累文言词汇,培养古文的阅读理解能力,能在理解文意的基础上背诵全文。 掌握白描写作的手法。 体会人物语言的妙处,感悟作者的思想感情。 〖导入新课〗 冬季最令人高兴的莫过于下雪了,那飘扬着的雪花,凝聚着对大地的热爱,从无垠的天幕洒落,在我们头顶飞舞,抚摸着我们,感化着我们,让我们享受热烈、静穆、自由。下雪啦,多好! 雪带给我们的感受?——静穆、纯洁、纯净、阔大而辽远—— 今天,我们一起学习明末张岱的小品《湖心亭看雪》。阅读课文,动脑思考,看看张岱是如何抓住“看”字写雪的。 〖作者简介〗 张岱(1597—1679)字宗子,又字石公,号陶庵,山阴(今浙江绍兴)人。著有《石匮书》《史阙》《陶庵梦忆》《西湖梦寻》《琅yuan集》《快园道古》《夜航船》等。其小品文多回忆个人经历的生活琐事。同时也是对晚明社会文化风俗的出色平述。其中表现出对乡土和故园的怀念,也流露出不少伤感情绪。描写细腻生动,风格流丽清新,极富诗情画意。在晚明小品中独树一帜文体:《湖心亭看雪》是一篇小品文。 〖理清文章线索〗 叙事是本文的线索,请同学们在文中找出记叙文的要素——看雪的时间、目的地、人物、事件? 明确:时间——崇祯五年十二月,大雪三日之后的更定时分; 目的地——西湖湖心亭; 人物——作者、及两个金陵人?(舟子、小童); 〖合作探究〗 (一)既然题目是《看雪》,现在我们就共同来品味张岱眼中的雪世界。请大家在文中找出描写雪景的句子并加以评析。
系统安装重装维护再也不麻烦。感觉简直是超爽。 有了PE直播平台以后在网吧,企事业单位,破机,盗取资料简直不敢想像。 默认密码见附件 量产必读 何为“量产”:顾名思义即大批量生产。因为现在的电脑USB接口较多,而各种U盘的参数均可以通过软件更改,加之一些共用的数据有时也要统一写入到U盘,于是各闪盘芯片厂家均自主开发了设置写入软件,能够利用电脑上的USB口对多个U盘进行写入操作,因此称为“量产”。这无疑给一些单位小批量生产特殊格式的U盘提供了方便,而广大的爱好者也用来定制自己的U盘,当然爱好者的“产量”是很低的。究其过程,有点象写主板Bios,称为“烧录”更适当一些,主板Bios写坏了不能开机,U盘写坏了不要紧,机子不会“死”,可以再写,因此大家都想“量产”一把。 笔者分析,U盘量产变得热门还有几个原因。一者就是操作系统软件并没有提供对U盘进行分区的功能,随着U盘容量的增加,分区也应该是理所当然的,我想未来的操作系统可能会加这个功能;二者就是硬件支持上了台阶,首先是新的主板对USB设备提供了Bios级的支持,使主板对U盘的识别更好,速度更快。再一个就是U盘越做越小巧,容量却越做越大,速度越做越快;三者就是U盘启动技术变得成熟,象Windows嵌入式技术(即WindowsPE),新的一些DOS维护工具,如Grub引导技术等。U 盘如此小巧、又能自启动机器,在电脑维护上具有无可比拟的优势,特别是WindowsPE技术,使得从U盘启动的系统可以进行日常的应用,这是一个多么大的变革,再仔细想一下这种影响有多大? 笔者要在这里作个大胆预测,以后笔记本本可能会慢慢消亡,不远的将来,台式机到处都有,每个人怀揣几个大容量U盘,插入-->开机-->按F11-->选从俺的U盘启动-->进俺自己的U盘PE系统?看电影玩游戏上网破解盗资料……真不敢想像,系统安全性可能要重新评估……听说现在有的人在网吧上网从来就不用花钱的了,他根本不从你的系统启动,你能够计费吗?(我建议老板用泥巴将USB接口塞了,这是终极解决方案!!)这里不妨再作一个预测,如果U盘速度能够更快、容量能够更大的话,台式电脑硬盘都会消失,谁会把自己的资料放到人人都能用U盘启动的电脑上?因此干脆不装了,让用户将所有东西都用U盘随身携带吧! 当然,前景是很诱人的,不过因为生产标准未统一,导致U盘内部格式不一,因此各个厂家的量产工具都不一样,就是同一个厂家不同型号的也不一样,所以此文在量产工具的具体设置上是无通用性的,希望读者注意。这也是操作系统中没有对U盘进行分区的功能的原因。 针对回帖某些人:不知道的不要乱说,量产是看主控芯片,不是说我有某牌子的量产工具就可以量产某牌子的U盘,不然说出去叫人笑话。 这个工具,现在包括了市面上U盘主控芯片的量产软件在90%以上,能不能量产就看你的造化了。
应用程序加壳与脱壳 计算机与信息学院 信息安全专业11级1班 朱航宇 20112878 (1)实验目的 通过对灰鸽子自带的加壳程序,实现对改程序的加壳操作,并对加壳前后作出相应比较。从而了解什么是加壳,什么是脱壳,以及加壳的原理、作用。 (2) 实验内容 使用灰鸽子黑防专版生成加壳和未加壳程序;使用PEID测试加壳程序;使用UPXUnpack汉化版(利用OD脱壳)对已加壳的程序进行脱壳操作。 (3) 实验步骤 1. 加壳 1. 打开灰鸽子黑防专版。 2. 配置服务程序,生成不加壳程序。 点击工具栏上的“配置服务程序”按钮,自动上线设置中,ip设置为127.0.0.1;选择“高级选项”,选择 不加壳,设置保存路径保存路径当前文件夹,保存文件名称为 Server.exe ,然后点击 生成服务器。此时在系统桌面上将生成该程序。这个程 序即为没有加壳的灰鸽子程序。 3.配置服务程序,生成加壳程序。 在主界面点击配置服务程序,打开服务器配置对话框设置好IP地址为127.0.0.1,然后点击“高级选项”选择:使用UPX加壳,保存路径当前文件夹,保存文件名设置为Server_jiake.exe ,并点击生成服务器按钮。生成的程序如图1所示。
图1.灰鸽子生成加壳和不加壳的server 4.打开PEID程序;将这两个文件分别拖到PEiD程序界面。分别查看检测结果 ,以下两个图分别是未加壳和加了壳的检测结果,如图2,图3,可以看出,未加壳程序所检测出来的是文件开发工具,而加了壳的文件检测出来的是加壳信息。
图2.未加壳的检测 图3.加壳的检测
2. 脱壳 1、打开UPXUnpack汉化版程序,主界面如下;直接拖动 Server_jiake.exe文件到程序内,显示如图4所示,生成脱壳文件Server_tuoke。 图4.加壳server脱壳 2. 再次打开PEID程序,检测Server_tuoke.exe文件的加壳信息,如图5 所示。 可以看到它的信息和未加壳server是相同的。
第 12 课《湖心亭看雪》 预习知识点 课 前 预 习 一、作品梗概 张岱出身于书香门第,明亡以前未曾出仕,一直过着布衣悠游的生活。明亡以后,他曾参加抗清斗争,后消极避居于山中,坚守贫困,潜心著述。《陶庵梦忆》和《西湖梦寻》即写于他入山以后。书中缅怀往昔风月繁华,追忆前尘往事,字里行间流露出深沉的故国之思和沧桑之感。本文便选自《陶庵梦忆》 二、作者简介及背诵提示 张岱(1597 一 1689),字宗子,号陶庵,明末清初文学家。他的小品文描写细腻生动,风格清新,极富诗情画意,在晚明小品文中独树一帜。著有《陶庵梦忆》《西湖梦寻》《琅嬛文集》等。本文需熟读背诵。 知 识 重 点 一、全文展示 湖心亭看雪 崇祯五年十二月,余住西湖。大雪三日,湖中人鸟声俱绝。是日更定矣,余拏一小舟,拥毳衣炉火,独往湖心亭看雪。雾凇沆砀,天与云与山与水,上下一白,湖上影子,惟长堤一痕、湖心亭一点、与余舟一芥,舟中人两三粒而已。 到亭上,有两人铺毡对坐,一童子烧酒炉正沸。见余大喜曰:“湖中焉得更有此人!” 拉余同饮。余强饮三大白而别。问其姓氏,是金陵人,客此。及下船,舟子喃喃曰:“莫说相公痴,更有痴似相公者。” 二、主题概述 本文记述了一次湖心亭赏雪的往事,描绘了西湖雪后的洁净之美,以及亭上的遇人之乐,表达了作者痴迷于天人合一的山水之乐以及闲情雅致,隐含着淡淡的故国之思。 三、文言知识积累 (一)古今异义 1. 是日更定矣 古义:这;今义:用于判断,与 “非” 相对。 2. 余拏一小舟 古义:我;今义:剩下。
(二)一词多义 1. 是日更定矣(古代夜间的计时单位) 更有痴似相公者(还) 2. 余拏一小舟(数词) 上下一白(全) 3. 上下一白(白色) 余强饮三大白而别(古人罚酒时用的酒杯) 4. 是日更定矣(这) 是金陵人(动词,表判断) (三)词类活用 1. 大雪三日(名词作动词,下大雪) 2. 客此(名词作动词,客居) (四)重要虚词 1. 其 问其姓氏(代词,他们的) 2. 而 余强饮三大白而别(连词,表承接,可不译) (五)特殊句式 1. 判断句 问其姓氏,是金陵人,客此。(“是” 表示判断) 2. 倒装句 更有痴似相公者。(状语后置,正常语序应为 “更有似相公痴者”。) 四、鉴赏品读 1. 开头第一句 “崇祯五年十二月,余住西湖” 有什么作用? 交代了看雪的时间和地点。不着痕迹地引出下文的大雪和湖上看雪。作者在写此文时已是清朝初年,但仍使用明朝 “崇祯” 年号,含蓄地表达了他的故国之思。
《看雪》二年级语文教案 【课前准备】 课前布置学生了解台湾的有关情况,雪景图,补充儿歌。 【教学过程】 第一课时 一、谈话导入 同学们,你们喜欢雪吗?能给咱们讲讲你看到的雪吗? 雪真美,真有趣啊!今无我们要学习的课文就是《看雪》(板书)。 二、初读课文,学习生字 1、用自己喜欢的方式读课文,遇到不认识的字借助拼音朋友读一读,难读的句子画下来,多读几遍。 2、攻克难读的句子: ⑴ 在我国台湾省,是很难看到雪的。 ⑵ 过春节的时候,孩子们在商店的橱窗里看到了美丽的雪景。 ⑶ 她顺手指了指地图上的北京。 ⑷ 接着她就给孩子们讲起童年玩雪的情景。 ⑸ 天上飘着雪花,地上铺着雪毯,树上披着银装,到处一片洁白。 ⑹ 小伙伴们在雪地上堆雪人、打雪仗,玩得可高兴了! 老师发现这些句子有点难读,咱们看着黑板练习读一读,特别注意读准红色的字词。还可以读给同座的小朋友听,互相帮助一下。 指名读,正音。最后全班齐读五个句子。 3、再读生词(活动词卡)。 4、在小组里用巧办法记一记这些字。
5、全班交流记字方法。 6、游戏:猜字谜: 眼睛上面一少年,勤俭节约少花钱。 站而不立,庆而不大,街边一间房,买卖东西忙。 一堆毛,两把火,睡在上面很暖和。 7、指名读课文: 检查通读课文情况。 三、朗读课文1~2自然段 1、自由读,你读懂了什么?有什么疑问吗? 2、说说你对台湾的了解。 3、在小组里互相读读课文,读完讨论:台湾小朋友只能在商店里看到用棉花做成的雪景,他们会想些什么,说些什么呢? 四、书写生字 书写讲、打、指、接、惊五个字。 观察它们的结构,注意都要写得左窄右宽。 学生在书上试写一个,指名上黑板书写。 评价同学的字。再写,同位互评欣赏。 第二课时 一、复习导入 上节课我们学习了《看雪》的生字新词,读了1、2自然段,这些词语还会读吗?读词语。 台湾小朋友只能在商店里看到用棉花做成的雪景,(指图说)他们会想些什么,说些什么呢? 二、朗读课文3~11自然段
《湖心亭看雪》教学设计(公开课教案) 洪塘中学郑静素 一、教学目标: 1、熟读美读课文,理解“绝、拿、强、更、痴”等字。 2、赏析雪后奇景,体味白描手法。 3、解读张岱的精神世界。 二、教学重点: 赏析雪后奇景,体味白描手法。 ^ 三、教学重难点: 解读张岱的精神世界。 四、教学过程: (一)导入新课 (出示四幅西湖风光图片)你知道这些图片展示的是什么地方的风光吗 是西湖。 回忆一下我们曾学过哪些有关西湖景色的诗词。 (很好,看来大家积累了不少古诗文,善于积累是学好语文的一大法宝呢)< 有人说,西湖观景,晴景不如雨景,雨景不如雾景,雾景不如月景,月景不如雪景。在前人的笔下西湖的阴晴风雨已经被描绘得变幻多端,摇曳生姿了。西湖的雪景又将有怎样一番动人的意韵呢今天,我们就跟随着张岱去湖心亭看雪,去领略西湖的雪景。 (二)了解作者 谁告诉我张岱是谁你是通过什么了解到张岱的(你表现很棒,因为你懂得借助工具书、注解来预习课文) “明亡后不仕”,是什么意思为什么“不仕”——不想给清廷做事。这说明他有深深的故国之思。 《湖心亭看雪》是他的代表作。这节课我们就赏读《湖心亭看雪》。(三)初读课文,整体感知
1、读顺,读通 下面先请大家自由朗读课文,读准字音。 ~ 老师来考考大家,这些字音你都读准了吗 桡毳衣雾凇沆砀一芥铺毡强饮(幻灯) 下面老师请一个学生读课文,这次要求更高一点,不仅要读准字音还要注意节奏。 好,你不仅读得字正腔圆,而且读得有板有眼。 2、读懂 书读百遍,其义自见。现在我们来齐读一遍,读的过程中去发现一个字,一个评价张岱的字。 “痴” “痴”说通俗点就是什么 ) 傻,笨,举止异常。 是啊,生活中有些人的行为就是古怪,显得呆气。比如:有一位老师,研究数学非常投入,常常走路也在思考数学题。有一次,他不小心碰到一根电线杆,他忙道歉连声说:对不起,对不起!现在,我们说张岱也很痴,举止也有些异常。 你能用原文中的句子来回答吗 大雪三日,人鸟声俱绝,独往湖心亭看雪。 冬天看雪有什么难理解的呢 大雪三日,人鸟声俱绝。 绝消失 想到了哪首诗千山鸟飞绝,万径人踪灭。 ] 为什么这时会鸟飞绝,人踪灭 天太冷。 可以说是天寒地冻呀,作者还选择了哪个时辰前往看雪 更定 更定