逆向
a949308398
这个作者很懒,什么都没留下…
展开
-
今天用Hex工具修改登陆器目录的时候发现原EXE文件被毁了
今天用Hex工具更改登陆器的时候把Client改成Client1发现原EXE文件被毁了,但是改成Clien1的时候又可以,原来修改时必须保持原来占的硬盘容量不发生变动的位数,也就是与改之前的Client保持一样的硬盘容量字节数原创 2014-03-03 19:33:10 · 793 阅读 · 0 评论 -
编写Win32病毒的几个关键
PE病毒是指所有感染Windows下PE文件格式文件的病毒.PE病毒大多数采用Win32汇编编写.PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的.只有在PE病毒中,我们才能真正感受到高超的病毒技术.编写Win32病毒的几个关键Api函数的获取不能直接引用动态链接库需要自己寻找api函数的地址,然后直接调用该地址一点背景:在PE Loader装入我们的程序启动后堆栈顶的地址是是转载 2014-10-15 12:41:56 · 761 阅读 · 1 评论 -
OD快捷键使用大全
无论当前的OllyDbg窗口是什么,这些快捷键均有效: Ctrl+F2 - 重启程序,即重新启动被调试程序。如果当前没有调试的程序,OllyDbg会运行历史列表[history list]中的第一个程序。程序重启后,将会删除所有内存断点和硬件断点。译者注:从实际使用效果看,硬件断点在程序重启后并没有移除。Alt+F2 - 关闭,即关闭被调试程序。如果程序仍在运行,会弹出一个转载 2014-03-26 14:28:05 · 405 阅读 · 0 评论 -
OD断点小结
OD断点小结 API断点 Ollydbg中一般下API中断的方法,有二种。 1. 在代码窗口中点鼠标右键,出现功能菜单。在[搜索]选择项下有〔当前模块的名称〕和〔全部模块的名称〕俩项,选择其中的一项就打开了程序调用 API的窗口,在这个窗口中选择你要跟踪的API函数名。双击这个函数就能到程序的调用地址处。然后用F2下中断。也可以在API窗口中选择需要跟踪的函 数点鼠标右键转载 2014-07-24 18:13:11 · 352 阅读 · 0 评论 -
貌似只改了SSDT的驱动保护
b1b465b4 8bff mov edi,edib1b465b6 55 push ebp //这两行是内核的特征,凑足5个字b1b465b7 8bec mov ebp,espb1b465b9 83ec10 sub esp,10hb1b465bc 53 push ebxb1b465bd 8b5d14 mov ebx,dword ptr [ebp+14h] // 3参 Objec转载 2014-07-01 18:37:03 · 455 阅读 · 0 评论 -
几个OD菜单里找不到的功能对用的快捷键
如题,因为菜单中找不到,故原创 2014-07-02 13:44:41 · 536 阅读 · 0 评论 -
绕过驱动保护经典例子
刚刚接触软件破解还有驱动编写,好多东西都不熟,折腾了好久,把中间可能对大家有价值的过程记录下来。刚开始碰到的问题就是不能内核调试,因为要写驱动,需要用到。一般禁用内核调试都是在驱动里调用KdDisableDebugger,往上回溯一个函数,基本上就是驱动检测禁用是否成功的代码,否则就是一个循环不停的调用KdDisableDebugger函数。我的做法是修转载 2014-07-01 18:59:10 · 3975 阅读 · 0 评论 -
VM保护技术
1.VM技术介绍我发现论坛上每当谈到虚拟机技术时,鲜有几人参与讨论,因为虚拟机技术还没有普及到大家的心中。VM 其实就是Virtual Machine(虚拟机)的缩写,这里说的VM并不是像VMWare那样的虚拟机,而是将一系列的指令解释成bytecode(字节码)放在一个解释引擎中执行。转载 2014-07-01 18:30:10 · 684 阅读 · 0 评论 -
【矛与盾】调戏调试器:反断点技术
首先声明,理解本文需要对用户态的调试器原理有所了解,否则可能有些内容会不理解。先来个测试程序,本文以分析和理解此程序为主。测试程序下载无论是逆向分析、还是脱壳破解,都离不开调试器。而windows下面用户态调试器最常用的,那就是OllyDbg了。现在就用OD载入并调试该程序,如下图所示。<img class="thumbnail" title="点击图片以查看大图图片名转载 2014-07-01 18:43:44 · 1138 阅读 · 0 评论 -
3个HOOK的低级驱动保护
【破解过程】需要工具 windbg 6.7汉化版 RkUnhooker 3.7 (请自行网上下载 资源很多)首先 安装后windbg 并运行它 与 RkUnhooker (无先后分别)然后运行 神鬼传奇 并将它更新到最新版本 游戏运行完后 停在登陆界面切换到 RkUnhooker 点 SCAN 向下看 我们看到 nt!NtOpenProcess nt!NtReadV转载 2014-07-01 18:41:07 · 695 阅读 · 0 评论 -
关于windbg通过pdf,dump,符号文件定位到蓝屏代码
有时候是不能定位到FAULTING_SOURCE_CODE的!!!害的我以为配置出问题了,换个驱动又能定位到了,记录一下!~原创 2015-04-22 20:18:38 · 575 阅读 · 0 评论