摘要:
以往都是习惯在开头声明了using namespace std;然后在全局直接使用,没有了解里面实际的意思。 今晚接触到namespace后,百度了一下发现理解不了其中的含义,在请教完一个前辈之后,在这用大白话解释下,希望能帮到想要了解的同学。 定义命名空间:namespace 命名空间名 声明命名 阅读全文
摘要:
上一次做完代码段加密后,又接触到了新的加密方式:IAT加密 IAT加密是通过隐藏程序的导入表信息,以达到增加分析程序的难度。因为没有导入表,就无法单纯的从静态状态下分析调用了什么函数,动态调试时,也无法直接从调用处判断出调用的函数。从而增加了程序分析的难度。 思路如下: 1.把IAT信息全部删除掉, 阅读全文
摘要:
这几天在看科锐钱老师有关PE文件的视频,感觉通过手写PE文件确实能增加对PE文件的了解,对结构也能更加熟悉,所以自己实操了下。 由于平时分析时,都是借用CFF等PE文件分析工具,对很多结构里面的成员的具体含义也不清楚,手写下来还是有点费劲的,写完之后对PE文件也清楚了很多。 主要用到的工具有WinH 阅读全文
摘要:
在软件安全里,有一种保护手段叫加密,一般情况下都是为代码段加密,使原本的代码无法被静态分析,只能动态调试。 涉及到的知识有:PE文件结构,代码重定位,shellcode。 代码加密时可用各种算法组合起来使用,只要保证解密时用逆推的方法还原成源代码即可,下面例子当中用的是最简单的异或加密 由于博主也是 阅读全文
摘要:
主要步骤: 1.将要加载的文件读取到内存中(简称为文内),检查文件格式无误后,根据可选PE头(简称op头)的SizeOfImage,申请出一块空间用于存储该文件加载到内存后展开的数据(简称为内内)。记得先全部初始化为0,免去后续拷贝中对齐补0的步骤。 2.将文件数据拷贝到申请出来内存空间中(模仿PE 阅读全文
摘要:
相关资料:https://baike.baidu.com/item/lib%E6%96%87%E4%BB%B6/2108657?fr=aladdin 意义 LIB文件中存放的是函数调用的信息,值得一提的是数据库有静态数据库(.lib文件)和动态数据库(.dll文件)。 静态编译 静态编译将导出声明和 阅读全文
摘要:
断点都是通过触发程序异常,来达到使程序断下的目的 1.普通断点:常规的有使用int 3,还有调试器平时的断点,这2种都为该类型断点,通过执行int 3达到触发异常,让程序断下的目的。但该断点修改了代码段,在反调试中容易被察觉。 2.条件断点:在普通断点的基础上,增加限定条件。适用于某一下断处会被多地 阅读全文
摘要:
本教程转自吾爱破解,作者:wwh1004 刚接触dbg这个工具,对于很多功能和快捷键还不熟悉,找到这个帖子发现挺不错的。转载过来和大家分享,文字和图片排版方面略有修改。侵删。 这篇文章主要是为.NET逆向但不会x64dbg的同学准备的,文章基本上零基础,会一点c#/vb.net就能看懂文章。文章以v 阅读全文
摘要:
消息HOOK 原理: 1. 用户输入消息,消息被放到系统消息队列。 2. 程序发生了某些需要获取输入的事件,就从系统消息队列拿出消息放到程序消息队列中。 3. 应用程序检测到有新的消息进入到程序消息队列中后,调用相应的事件去处理该消息。 所以在系统消息队列与程序消息队列的中间安装hook,即可获取消 阅读全文
摘要:
服务器: #define _CRT_SECURE_NO_WARNINGS#include<stdio.h>#include<string>#include<WinSock2.h> //网络库用2.2版本 目前系统的最高版本#pragma comment(lib,"Ws2_32.lib") //加载动 阅读全文