随笔分类 - 逆向
摘要:转载自CSDN博主「九阳道人」大神。 版权声明:本文为CSDN博主「九阳道人」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/qq_31507523/article/details/89154454 熊猫烧香病
阅读全文
摘要:IAT在内存中和在文件中的特征? IAT在内存中是一个函数地址数组,在文件是是一个RVA数组 重定位的原理是什么? 重定位地址的计算: addr = 映像基地址+VA+OffSet 重定位地址处的数据: [addr] – 原基地址 + 现基地址 [addr] + (现基地址–原基地址) 重定位在内存
阅读全文
摘要:脱壳0.upx.exe ① 找OEP ESP定律 跟脱aspack.exe方法差不多。 脱壳0.exe(FSG 2.0) ① 找oep 单步跟踪 跳转到OEP代码: 观察寄存器,看是否有在获取导入表的代码附近代表快到OEP了。 就能找到 JMP DWORD PTR DS:[EBX+0xC] ②
阅读全文
摘要:概述 脱壳是一项综合技术,结合PE文件格式、汇编指令的分析,调试加密的程序并将其还 原的一个过程。 壳一般分为两种,加密壳和压缩壳,里面所使用的技术有,压缩算法、对代码加密、 对IAT加密、对资源加密。 我们从简单入手压缩壳 关于压缩算法 有损压缩 一个像素点:RGB 红绿蓝 一个图片:(3,4,
阅读全文
摘要:恢复内容开始 脱壳之序言 回顾 PE文件的Magic code(魔数、幻数)是什么? MZ头、PE头 PE文件中文件头的信息有哪些? 运行平台、时间戳、PE文件属性、区段数量、扩展头的大小 PE文件中扩展头的信息有哪些? EP的RVA、ImageBase(400000)、代码段起始地址、数据段起始地
阅读全文
摘要:vector :动态数组 我们可以通过ecx查看对象的内存 list: 双向循环链表 map: 树 第一个是指向自己指针。 第二个是指向结构体 第三个是元素个数 MFC程序 CWinApp的派生类中的 InitInstance CDialog的OnInitDialog 各种消息处理函数 分析MFC程
阅读全文
摘要:OD一些常用的功能?? 设置软件断点:F2 运行程序:F9 单步步入:F7 单步步过:F8 运行到光标处:F4 如果说我们分析的时候,在反汇编窗口中看到一个地址,想查看这个位置的内存: 右键》数据窗口中跟随 如果说想在反汇编窗口查看一个代码: 右键》反汇编窗口中跟随
阅读全文
摘要:1. IDA使用 (1)搜索、下载并执行IDA Pro,对可执行程序lab05-01.dll进行装载,分别以图形模式和文本模式查看程序的反汇编结果 运行IDA Pro,打开Lab05-01.dll,以图形化界面显示: 直接定位到DLLMain开始的位置上。用空格键可以切换到文本模式查看: 运行IDA
阅读全文
摘要:中断的设置 断点列表和代码的切换 断点的操作与切换 转到表达式, 用于在汇编窗口直接查找API 查找程序中使用的API,并对关注的API下端点. 确定在程序领空内. 需要在主程序领空查看API列表. 如果在系统DLL中, 查看的API列表就是那个DLL调用的API列表. 可以在程序入口点到主视图或主
阅读全文
摘要:1.什么是OD OD全称Ollydbg,是反汇编常用的工具,经常用作动态调试。 2.界面简介 3.默认功能 1)汇编代码对应的地址窗口(虚拟地址,一般情况下,同一程序的同一条指令在不同系统环境下此值相同。) 2) 汇编代码对应的十六进制机器码窗口 3)反汇编窗口 4)反汇编代码对应的注释信息窗口 5
阅读全文
摘要:CE训练营 1.【打开进程】 2.【修改数值】 生命值100,攻击会变少,根据数值找到直接修改 3.【未初始化数值】 有的没有确切的数值,首次扫描可以先选择未初始化数值, 然后根据变动再筛选 4.【浮点跟双精度浮点】 有的生命或者子弹数是浮点类型或者双精度浮点类型的。 5.【修改写入此地址的位置】
阅读全文
摘要:创建的是dll动态链空文件。 调试环境设置
阅读全文
摘要:插件Demo dllmain.cpp framework.h
阅读全文
摘要:检测程序是否被调试 BeingDebug PEB.NtGlobalFlag 通过判断 PEB.ProcessHeap 中具体的标志位来确定是否被调试 原理就是查询 EPROCESS 结构体中相关的ProcessDebugPort字段 原理就是查询 EPROCESS 结构体中相关的0x1E字段, 原理
阅读全文
浙公网安备 33010602011771号