随笔分类 -  软件逆向

关于徒手脱壳的几种方法
摘要:首先我们先来说说壳的原理吧,简单说下就好,带壳程序运行以后,都会做哪些事情呢? (想要了解更多的朋友们就去读看雪大哥的《加密与解密(第三版)》吧) 1、保存现场(pushad/popad,pushfd/popfd)>>2、获取壳自己需要的API地址>>3、解密原程序各个区块>>4、IAT的初始化>> 阅读全文
posted @ 2017-06-20 08:01 hijacklinux 阅读(4917) 评论(0) 推荐(0)
.NET 逆向基础
摘要:上图为.NET程序.text区块的构成 阅读全文
posted @ 2017-06-15 06:37 hijacklinux 阅读(191) 评论(0) 推荐(0)
调试时值得重视的API函数
摘要:不需要背下来,需要的时候来查一下就好了 1、限制程序功能的函数,按钮变灰啦,不能点击啦这种的: EnableMenuItem:菜单变灰或禁止 EnableWindow:允许或禁止鼠标和键盘控制指定窗口和条目(禁止时菜单变灰) 2、对话框函数 顺便说下什么非模态对话框,什么是模态对话框吧(PS:主要目 阅读全文
posted @ 2017-06-12 04:46 hijacklinux 阅读(310) 评论(0) 推荐(0)
PE结构图
摘要: 阅读全文
posted @ 2017-06-08 03:47 hijacklinux 阅读(392) 评论(0) 推荐(0)
VB P-code 动态调试要点
摘要:P-code伪编码,用od太麻烦,需用到WKTVBDebugger 方法1: 把cm放到wktv目录下面,打开,运行 机器码与命令: BranchF: 机器码1C 类似jnz/jne 如果堆栈为0就跳 BranchT: 机器码1D 类似je/jz 如果堆栈为-1就跳 Branch: 机器码1E 类似 阅读全文
posted @ 2017-06-02 17:28 hijacklinux 阅读(1915) 评论(0) 推荐(1)
谈谈字符串那点事
摘要:在od破解软件过程中,大家对于字符串应该是再熟悉不过了,但是往往事情不尽如人意,总是搜索不到想要的字符串,这时往往有的人会被迫用别的方法,消息断点,内存断点,硬件断点等等,今天咱们只谈字符串,把我所掌握的查找字符串的步骤都总结到这里,当然,本人水平有限,难免有不足和纰漏的地方,还请指正。也正是因为水 阅读全文
posted @ 2017-06-01 23:58 hijacklinux 阅读(284) 评论(0) 推荐(0)