反汇编windows避让陷阱

最新推荐文章于 2024-04-17 22:32:02 发布
最新推荐文章于 2024-04-17 22:32:02 发布
阅读量609 收藏
点赞数
分类专栏: OllyDbg调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huninglei3333/article/details/78787019
版权 
00401000 > $  6A 00         push    0                                ; |/pModule = NULL
00401002   .  E8 64020000   call    <jmp.&KERNEL32.GetModuleHandleA> ; |\GetModuleHandleA
00401007   .  A3 77214000   mov     dword ptr [402177], eax          ; |
0040100C   .  C705 97214000>mov     dword ptr [402197], 4003         ; |
00401016   .  C705 9B214000>mov     dword ptr [40219B], 004011A6     ; |
00401020   .  C705 9F214000>mov     dword ptr [40219F], 0            ; |
0040102A   .  C705 A3214000>mov     dword ptr [4021A3], 0            ; |
00401034   .  A1 77214000   mov     eax, dword ptr [402177]          ; |
00401039   .  A3 A7214000   mov     dword ptr [4021A7], eax          ; |
0040103E   .  6A 04         push    4                                ; |/RsrcName = 4.
00401040   .  50            push    eax                              ; ||hInst => NULL
00401041   .  E8 3F030000   call    <jmp.&USER32.LoadIconA>          ; |\LoadIconA
00401046   .  A3 AB214000   mov     dword ptr [4021AB], eax          ; |
0040104B   .  68 007F0000   push    7F00                             ; |/RsrcName = IDC_ARROW
00401050   .  6A 00         push    0                                ; ||hInst = NULL
00401052   .  E8 C8020000   call    <jmp.&USER32.LoadCursorA>        ; |\LoadCursorA
00401057   .  A3 AF214000   mov     dword ptr [4021AF], eax          ; |
0040105C   .  6A 00         push    0                                ; |/hTemplateFile = NULL
0040105E   .  68 6F214000   push    0040216F                         ; ||Attributes = READONLY|HIDDEN|SYSTEM|ARCHIVE|TEMPORARY|402048
00401063   .  6A 03         push    3                                ; ||Mode = OPEN_EXISTING
00401065   .  6A 00         push    0                                ; ||pSecurity = NULL
00401067   .  6A 03         push    3                                ; ||ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
00401069   .  68 000000C0   push    C0000000                         ; ||Access = GENERIC_READ|GENERIC_WRITE
0040106E   .  68 79204000   push    00402079                         ; ||FileName = "Keyfile.dat"
00401073   .  E8 0B020000   call    <jmp.&KERNEL32.CreateFileA>      ; |\CreateFileA
00401078   .  83F8 FF       cmp     eax, -1                          ; |
0040107B   .  75 1D         jnz     short 0040109A                   ; |
0040107D   .  6A 00         push    0                                ; |/Style = MB_OK|MB_APPLMODAL
0040107F   .  68 00204000   push    00402000                         ; ||Title = " Key File ReverseMe"
00401084   .  68 17204000   push    00402017                         ; ||Text = "Evaluation period out of date. Purchase new license"
00401089   .  6A 00         push    0                                ; ||hOwner = NULL
0040108B   .  E8 D7020000   call    <jmp.&USER32.MessageBoxA>        ; |\MessageBoxA
00401090   .  E8 24020000   call    <jmp.&KERNEL32.ExitProcess>      ; \ExitProcess
00401095   .  E9 83010000   jmp     0040121D
0040109A   >  6A 00         push    0                                ; /pOverlapped = NULL
0040109C   .  68 73214000   push    00402173                         ; |pBytesRead = reverseM.00402173
004010A1   .  6A 46         push    46                               ; |BytesToRead = 46 (70.)
004010A3   .  68 1A214000   push    0040211A                         ; |Buffer = reverseM.0040211A
004010A8   .  50            push    eax                              ; |hFile
004010A9   .  E8 2F020000   call    <jmp.&KERNEL32.ReadFile>         ; \ReadFile
004010AE   .  85C0          test    eax, eax
004010B0   .  75 02         jnz     short 004010B4
004010B2   .  EB 43         jmp     short 004010F7
004010B4   >  33DB          xor     ebx, ebx
004010B6   .  33F6          xor     esi, esi
004010B8   .  833D 73214000>cmp     dword ptr [402173], 10
004010BF   .  7C 36         jl      short 004010F7
004010C1   >  8A83 1A214000 mov     al, byte ptr [ebx+40211A]
004010C7   .  3C 00         cmp     al, 0
004010C9   .  74 08         je      short 004010D3
004010CB   .  3C 47         cmp     al, 47
004010CD   .  75 01         jnz     short 004010D0
004010CF   .  46            inc     esi
004010D0   >  43            inc     ebx
004010D1   .^ EB EE         jmp     short 004010C1
004010D3   >  83FE 08       cmp     esi, 8
004010D6   .  7C 1F         jl      short 004010F7
004010D8   .  E9 28010000   jmp     00401205
004010DD      00            db      00
004010DE   .  00000000      dd      00000000
004010E2      00            db      00
004010E3      00            db      00
004010E4      00            db      00
004010E5      00            db      00
004010E6      00            db      00
004010E7      00            db      00
004010E8      00            db      00
004010E9      00            db      00
004010EA      00            db      00
004010EB      00            db      00
004010EC      00            db      00
004010ED      00            db      00
004010EE      00            db      00
004010EF      00            db      00
004010F0      00            db      00
004010F1      00            db      00
004010F2      00            db      00
004010F3      00            db      00
004010F4      00            db      00
004010F5   .  EB 00         jmp     short 004010F7
004010F7   >  6A 00         push    0                                ; |/Style = MB_OK|MB_APPLMODAL
004010F9   .  68 00204000   push    00402000                         ; ||Title = " Key File ReverseMe"
004010FE   .  68 86204000   push    00402086                         ; ||Text = "Keyfile is not valid. Sorry."
00401103   .  6A 00         push    0                                ; ||hOwner = NULL
00401105   .  E8 5D020000   call    <jmp.&USER32.MessageBoxA>        ; |\MessageBoxA
0040110A   .  E8 AA010000   call    <jmp.&KERNEL32.ExitProcess>      ; \ExitProcess

huninglei3333
关注
专栏目录
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 5万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
小巧的win32反汇编工具
04-02
小巧的反汇编工具. 如果这款不符合你的要求, 我还上传一款有界面的反汇编工具, 请访问我的空间.
Windows下程序的反汇编
03-08 1313
下编写的程序经编译链接之后,就可用debug等调试工具调试执行,也能看到反汇编的结果,这很便于理解“汇编指令”是如何翻译成“机器指令”的。对Windows程序,这样的工具有很多,像SoftICE、TRW、W32dasm、IDA、Hiew等。这里准备谈一下W32dasm。 ;===========================================================
简单win32反汇编学习
数据库
07-01 235
windows代码如下: #include&lt;windows.h&gt; int WINAPI WinMain(HINSTANCE hInstance,HINSTANCE hPrevInstance,PSTR szCmdLine,int iCmdShow) { MessageBox(NULL,TEXT("你好,编程世界"),TEXT("你好"),0x00000000); return 0...
反汇编
joy
05-21 1704
反汇编 概述 反汇编:把目标代码转为汇编代码的过程,也可以说是把编程语言转换为汇编语言代码、低级转高级的意思,常用于软件破解(例如找到它是如何注册的,从而解出它的注册码或者编写注册机)、外挂技术、病毒分析、逆向工程、软件汉化等领域。学习和理解反汇编语言对软件调试、漏洞分析、OS的内核原理及理解高级语言代码都有相当大的帮助,在此过程中我们可以领悟到软件作者的编程思想。总之一句话:软件一切
什么是反汇编
春风得意,马蹄仍急;少年豪情,一笑难回。
02-02 2406
转自:百科 反汇编    反汇编:把目标代码转为汇编代码的过程,也可说是把机器语言转为汇编语言代码,低级转高级的意思,常用于软件破解。   通常,编写程序是利用高级语言如C,pascal等高级语言进行编程的,然后再经过编译程序生成可以被计算机系统直接执行的文件(机器语言)。反汇编即是指将这些执行文件反编译还原成汇编语言或其他高级语言。但通常反编译出来的程序与
Windows反汇编大全 pdf文件
08-28
对于软件安全行业的人员可以细细品味
C51F.rar 51单片机的反汇编工具
01-04
这是一款免费的Windows窗口界面的MCS-51反汇编软件,又称“智能反编译器”,因为它能自动区分代码段和数据段。 1. 优点: (1)Windows界面,使用简单、直观; (2)可选择需反汇编的地址段; (3)具有数据块自动...
STM8S反汇编
12-28
STM8S反汇编器是一款专门针对STM8系列微控制器的工具,用于将STM8的机器码转换为可读的汇编语言代码。STM8是意法半导体(STMicroelectronics)生产的一系列8位微控制器,广泛应用于各种嵌入式系统设计。反汇编器在...
IDA反编译软件-windows版本的
03-29
交互式反汇编器专业版(Interactive Disassembler Professional),人们常称其为IDA Pro,或简称为IDA,是总部位于比利时列日市(Liège)的Hex-Rayd公司的一款产品。开发IDA的是一位编程天才,名叫Ilfak Guilfanov。...
Win32反汇编WinHexv19.3中文免费版.zip
05-26
Win32反汇编WinHexv19.3中文免费版 WinHexv1
win32 exe 反汇编
04-30
win32 exe 反汇编 一个静态反汇编工具,也是破解人常用的工具之一
windows软件进行反汇编修复流程
Hello_Ray的博客
10-11 1298
本文以Crackme160为例子,示例文件都在该例子中https://gitee.com/cnhellorui/Crackme160 节一 前言与总结 该节里只需x64dbg即可,windows 7和windows 10,xp都可以。 该节中修复掉那个弹框关键做法:找到关键call,找到关键跳。 找到关键call的目的是:确定你所看到的那个弹框或者事件,在反汇编代码的哪个位置发生的,那么你知道那个事件在哪里发生的后,你所想要修复的逻辑就在他的附近。幸运汇编语言按行一条一条执行,找到那个关键call后,那个逻
Windows系统下查看C语言文件反汇编
最新发布
obstacle19的博客
04-17 1281
MinGW 的全称是:Minimalist GNU on Windows ,MinGW 就是 GCC 的 Windows 版本 。 MinGW-w64 与 MinGW 的区别在于 MinGW 只能编译生成32位可执行程序,而 MinGW-w64 则可以编译生成 64位 或 32位 可执行程序。 MinGW-w64是2005年为了将ObjectiveC程序移植到64位Windows问题,由OneVision Software根据 净室设计原则 (ReactOS是一个逆向工程Windows而净室实现的开源操
windows 消息循环 反汇编学习
七夜
03-31 195
当断到消息处理入口函数,此时栈的分布如下:esp          返回地址                                                                    esp + 8  ==umsg                    hwnd                                                       ...
反汇编是什么
HAPP NEW JAVA
11-03 3426
反汇编:把目标代码转为汇编代码的过程。 通常,编写程序是利用高级语言如C,Pascal等高级语言进行编程的,然后再经过编译程序生成可以被计算机系统直接执行的文件。反汇编即是指将这些执行文件反编译还原成汇编语言或其他高级语言。但通常反编译出来的程序与原程序会存在许多不同,虽然执行效果相同,但程序代码 会发生很大的变化,非编程高手很难读懂。
深入探索Windows内核:从汇编到反汇编
"《天书夜读》是一本关于反汇编Windows底层编程的书籍,旨在帮助读者从汇编代码中理解Windows内核的工作原理。书中内容包括基础的Windows程序与汇编指令,深入讲解Windows内核的编程、调试和阅读方法。适合C/C++...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值