随笔分类 - 逆向
摘要:一. Kkrunchy介绍 KKrunchy属于压缩壳,常用于恶意代码的压缩保护。 KKrunchy [1] is a small executable packer intended for 64k intros. It does not try to pack DLLs and cannot h
阅读全文
摘要:一.资料检索以及归纳 XDBG调试时默认是只运行下断调试的线程 其它线程处于暂停挂起状态属于单线程调试。打开线程窗口可以查看线程挂起计数(+号 -号快捷键可以挂起恢复线程)双击线程可进入选择线程,如果要调试指定线程的话我的理解是应该在线程代码中下断(线程的各种系统 CALL),线程会自己断下。CE调
阅读全文
摘要:常用工具以及下载链接见文章> https://bbs.kanxue.com/thread-263443.htm#msg_header_h1_4
阅读全文
摘要:最近都在忙着学习QT开发,对于逆向有点手生了,打算拿一个程序练练手,发现电脑上的程序基本都逆向过了,只有虚拟机软件是直接用的网上的注册码,今天就来逆向分析一下这个每天都在用的虚拟机软件。 三种破解思路: 修改注册表:该程序有一个判断时间的功能,即还有几天的剩余时间。在注册表当中肯定会存储相应的时间,
阅读全文
摘要:逆向学习笔记 基本内容 1. 前置知识 C、 C++语言 x86汇编语言 少量的组成原理、编译原理等方面知识 少量Python类脚本语言编程 部分密码算法知识 熟悉Base64编码 熟悉MD5,SHA1等hash算法 熟悉DES、AES、RC4、TEA等分组加密算法 熟悉RSA等非对称加密算法 了解
阅读全文
摘要:一.常用函数 1.def hex(str) #把字符串转换成十六进制 2.def MinEA() #获取反汇编窗口中代码段的最小地址 3.def MaxEA() #获取反汇编窗口中代码段的最大地址 4.def ScreenEA() #获取光标所在位置 5.def SegEnd(str) #获取程序中
阅读全文
摘要:反调试技术 一. 使用Windows API函数 1. IsDebuggerPresent函数 2.CheckRemoteDebuggerPresent函数 3.OutputDebuggerPresent函数 二. 手动检测数据结构 1. 检测BeingDebugged属性 BeingDebugge
阅读全文
摘要:### 一. 相同目标的跳转指令 当jz与jnz的目地地址相同时,此时相当于jmp,但是IDA会将jnz后面的指令(实际上不会执行的指令)进行反汇编,这个时候如果加上比如call(E8),jmp(E9)等字节指令,那么势必会导致反汇编出现问题。 这个时候我们需要将jnz后面的代码转化为数据,然后使正
阅读全文
摘要:## 一. 复制自身至Windows文件以及用户文件 GetModuleFileName(); GetWindowsDirectory(); GetSystemDirectory(); CopyFile(); ## 二. 获得系统信息有关函数 GetVersionEx();//获取操作系统版本 Ge
阅读全文
摘要:现在我们已经学完了PE文件格式,但是尚还停留在纸上谈兵的阶段,作为Windows系统上的可执行文件格式,PE文件结构总是和结构体,指针等紧密联系在一起的。理解它的最好方法就是通过写一个类似LordPE的程序来帮助我们理解PE文件结构的底层实现逻辑。计算机到底是如何实现对于PE文件结构的读取和分析的,
阅读全文
摘要:## 1. 如何以带参数的方式调试程序 在载入程序后找到“文件——改变命令行”,点击运行,然后按照如```"path\to\aaa.exe" "arg1" "arg2" "arg3"```的方式修改命令行即可。 如图: 
浙公网安备 33010602011771号