摘要:
基于文件名的反调试: 发现改了名字之后再载入OD就不会进行反调试的操作了 反调试的过程: 1、载入OD,进行GetProcAddress这个windows api函数下CC断点,然后进行多次F9运行,直到获取到EnumProcesses该windows api函数然后执行到返回 2、然后对接下来的获 阅读全文
posted @ 2019-12-21 12:44
zpchcbd
阅读(857)
评论(0)
推荐(0)
摘要:
前言: 一个反调试IsDebuggerPresent的CreackMe IsDebuggerPresent函数的了解: IsDebuggerPresent函数检测调试过程: 1、直接加载入OD,观察是否具有IsDebuggerPresent的windows api函数,来验证反调试是不是使用的是Is 阅读全文
posted @ 2019-12-20 23:46
zpchcbd
阅读(3357)
评论(0)
推荐(1)
摘要:
计算一段假码的余数存储到edi+ebx中: 用来检测调试: 可以用于进行判断跳转 阅读全文
posted @ 2019-12-20 20:14
zpchcbd
阅读(223)
评论(0)
推荐(0)
该文被密码保护。 阅读全文
posted @ 2019-12-20 13:43
zpchcbd
阅读(9)
评论(0)
推荐(0)
摘要:
前言:基于注册表验证的逆向笔记 cm2.2 #逆向过程: **1、**最开始拿到软件的时候,就是先对其功能界面进行了解,测试发现,输入账号密码提示如下,然后它自动重启,发现还是在原来的界面,没有进行登陆 **2、**然后我们直接载入OD进行观察,最有效的发现线索就是直接查看字符串,利用智能搜索,查找 阅读全文
posted @ 2019-12-20 13:22
zpchcbd
阅读(408)
评论(0)
推荐(0)
摘要:
前言:权限维持之IIS模块后门笔记 参考文章:https://mp.weixin.qq.com/s/z1d3yvp14GWakyonTh_b8A #浅谈原理: 在.Net中,HttpModule 其实就是实现了 IHttpModule 接口的程序集。在 IIS 中 Http 请求会通过一系列 Htt 阅读全文
posted @ 2019-12-20 12:45
zpchcbd
阅读(1020)
评论(0)
推荐(0)
摘要:
前言: 感觉可能与之前有点相同,主要是介绍shark恒老师说的一种断点方法,结合了API和条件记录进行下断点 适用条件: 当我们利用简单的WINDOWS API函数如MessageBoxW/A 又或者获取文本框内容GetDlgItemText,但是我们发现点击按钮依然无法成功断点,我们可以尝试另外一 阅读全文
posted @ 2019-12-19 22:50
zpchcbd
阅读(612)
评论(0)
推荐(0)
摘要:
前言: 一开始写的时候不太懂,随着边分析边写到最后自己重新分析了下汇编指令,也懂了shark恒老师为什么说0040136B这个是关键的,文章自己也不改了,可能看起来会牛头不对马嘴,因为一开始不太懂也再写,最后懂了才把后面的内容写上 shark恒老师在判断序列号到结束的流程都走了一遍,自己也尝试着走了 阅读全文
posted @ 2019-12-19 15:46
zpchcbd
阅读(841)
评论(0)
推荐(0)
摘要:
消息断点: 个人理解OD是来捕获windows窗口过程的,比如一个按钮按下之后的处理之类的,好像又和上面自己记录的API断点类似 消息断点的实现: 1、直接运行程序,来到注册的界面,再点击图中所指向的箭头的图标,里面包含了当前的控件句柄(如果没有的话 需要右键进行刷新) 2、然后进行设置左键按钮上抬 阅读全文
posted @ 2019-12-18 18:34
zpchcbd
阅读(591)
评论(0)
推荐(1)
摘要:
API的介绍: API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。 API断点: 自己理解的,一个程序调用相应的WINDO 阅读全文
posted @ 2019-12-18 16:24
zpchcbd
阅读(680)
评论(0)
推荐(0)
浙公网安备 33010602011771号