- 博客(48)
- 资源 (33)
- 收藏
- 关注
RSS订阅转载 IDA来远程调试Linux程序
IDA来远程调试Linux程序,感觉很不一样,当然gdb非常强大,相辅相成吧。作为永远都是Linux的新人,感觉要学的东西真多啊。在sangfor的时候经常使用pshell,这款工具强大的很啊。特别是文件可视化的功能1:在IDA目录下找到linux_server程序,把它拷贝传到LINUX的某个文件目录下。2:修改文件访问权限。chmod a+x 命令将文件改成所
2016-06-30 16:15:37
12913
转载 使用IDA 进行远程调试
从4.8 版开始,IDA PRO 支持通过TCP/IP 网络对x86/AMD64 Windows PE 应用程序和Linux ELF 应用程序进行远程调试。所谓“远程调试”是指通过网络调试在另一个网络上的计算机运行的代码的过程: l 运行IDA PRO界面的计算机被称为“调试器客户端”。 l 运行被调试的应用程序的计算机被成为“调试器服务器 ”。 远程调试主要用于下面一些特殊
2016-06-30 16:15:14
2296
转载 OD消息断点的设置方法
这一篇讲的是 消息断点和RUN跟踪的简单知识 这一篇没怎么看明白 大概使用知道了 怎么用不太清楚。介绍本次软件特点输入后木有反应(纱布垃圾的。。哈哈)-- 消息断点 RUN跟踪" title="学OD -- 消息断点 RUN跟踪" style="margin:0px; padding:0px; border:0px; list-style:none">
2016-06-30 12:03:04
17883
2
转载 Win7 od下send断点
参考文章:http://laokaddk.blog.51cto.com/368606/283702---------------------------------------------------------------------------------------------------------------------------------在win7中,如果直接bp sen...
2016-06-30 11:52:29
4101
1
转载 HOOK -- IAT HOOK 本进程MessageBox
下面转自网上的,给读者共享,本来自己写点的,但是一直在讲课,没有时间,姑且先复制粘贴下)======================================================================================== 结合网上资料、使用IAT HOOK截获MessageBox函数、、、步骤如下1..写
2016-06-30 11:16:24
780
1
转载 另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)
标 题: 【原创】另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)作 者: 堕落天才时 间: 2007-04-14,11:09:49链 接: http://bbs.pediy.com/showthread.php?t=42705*********************************************************
2016-06-30 11:15:29
1371
转载 SSDT Hook的妙用-对抗ring0 inline hook
********************************************************标题:【原创】SSDT Hook的妙用-对抗ring0 inline hook **作者:堕落天才 **日期:2007年3月10号
2016-06-30 11:14:31
1531
转载 Ring3下Dll注入方法整理汇总
1.dll劫持,粗略整理了下,可以劫持的dll有(持续更新):lpk.dll、usp10.dll、msimg32.dll、midimap.dll、ksuser.dll、comres.dll、ddraw.dll以lpk为例,在win7下由于lpk被加入KnownDLLs且该注册表值不可修改,使得lpk强制从系统目录加载,不过可以将lpk.dll加入ExcludeFromKnownDlls
2016-06-30 11:08:54
1607
转载 OD断点使用大全
拦截窗口:bp CreateWindow 创建窗口bp CreateWindowEx(A) 创建窗口bp ShowWindow 显示窗口bp UpdateWindow 更新窗口bp GetWindowText(A) 获取窗口文本拦截消息框:bp MessageBox(A) 创建消息框bp MessageBoxExA 创建消息框bp MessageBoxIndir
2016-06-30 10:48:21
4075
1
转载 OD断点大全
OD断点[Breakpoints] OllyDbg支持数种不同类型的断点: 一般断点[Ordinary breakpoint],将您想中断的命令的第一个字节,用一个特殊命令INT3(调试器陷阱)来替代。您可以在反汇编窗口中选中要设断点的指令行并按下F2 键就可以设定一个此类型的断点。也可以在快捷菜单中设置。再次按下F2 键时,断点将被删除。注意,程序将在设断指令被执行之
2016-06-30 10:47:32
1657
转载 OD的命令大全
命令行插件支持的命令CALC判断表达式WATCH添加监视表达式AT在指定地址进行反汇编FOLLOW跟随命令ORIG反汇编于 EIPDUMP在指定地址进行转存DA转存为反汇编代码 DB使用十六进制字节格式转存DC使用 ASCII 格式转存DD
2016-06-30 10:39:25
1187
转载 写外挂需要准备的东西
一套自己的网络框架,能够处理客户端和控制台之间的各种消息通讯,同时也用在了单机控制台和网络控制台之间的通讯上;一套自己的Hook引擎,用于在关键点挂接,比如帧数优化、反和谐等。这里面采用的方式有Jmp跳转方式的inline-hook、调试中断(包括int3中断和硬件中断),其他的还有内存访问中断等;为了配合上下文信息的获取,还有调用堆栈的处理等;一套自己的DLL加载器,通过DLL加载器,彻
2016-06-30 09:12:54
3123
转载 使用PowerDbg自动化Windbg调试过程
PowerDbg是一个PowerShell脚本,使用这个脚本可以连接到windbg上面,远程控制windbg,可以通过编程的方式分析windbg输出;加之PowerDbg强大的编程能力,方便我们编写一些强大的调试脚本。使用方法比较简单,从http://www.codeplex.com/ 下载powerdbg,这是一个开源的程序—实际上下载下来的就是一个可以执行PowerShell脚本。Po
2016-06-29 10:55:39
645
转载 Windbg 教程-调试非托管程序的基本命令下
前面的文章调试非托管程序的基本命令中讲到如何使用windbg在程序中设置断点,既然断点已经设置好了,下一步就是直接执行程序,程序中断以后,第一件事情就是查看堆栈。在windbg中查看堆栈使用k命令就可以,在最新的windbg中(记不得从哪个版本开始了),如果你加载了sos.dll,k命令也可以显示托管程序部分的堆栈信息。下面是程序在_ttol函数入口处中断时的堆栈输出:0:
2016-06-29 10:53:42
582
转载 Windbg教程-调试非托管程序的基本命令中
前面的文章调试非托管程序的基本命令上讲到如何在windbg里面启动一个程序并且加载调试符号文件。一旦符号文件加载完毕以后,就可以进行调试了,例如设置断点,查看堆栈信息等等。 因为是刚刚启动程序(main函数还没有机会执行),可以查看源代码了解要设置断点的地方。设置断点可以使用bp、bu和bm来做,其中bp可以根据函数名、指令地址以及源代码文件地址来设置断点。 bp命
2016-06-29 10:52:59
670
转载 Windbg教程-调试非托管程序的基本命令上
Windbg是跟visual studio差不多的一个调试器,可以用来调试非托管程序(native application),也可以调试托管程序(managed application)。它比VS强的地方是你可以使用它来调试Windows操作系统,因此它也被叫做kernel mode debugger,同样为kernel mode debugger的调试器还有随着windbg一起安装的kd.e
2016-06-29 10:52:21
885
转载 给网游写一个挂吧(四) – 调用游戏函数
前面的文章给网游写一个挂吧 – 启动外挂上或给网游写一个挂吧 – 启动外挂下将外挂启动后,那就可以进行读写游戏内存和调用游戏的一些操作了。 读写内存很简单,如果是内挂的话,因为是运行在进程内,甚至都可以使用普通的指针操作就可以了,本文介绍调用游戏内部函数的方法,这里以WOW为例解释调用过程,方法可以在WOW 3.x上使用,大家可以建个私服试试。 我们知道WOW里有很
2016-06-29 10:51:04
1777
转载 给网游写一个挂吧(三) – 启动外挂下
前面的文章给网游写一个挂吧 – 启动外挂上介绍了输入法注入的方法,本文解释第二种方法。 有的游戏限制比较多,可能会将输入法注入也禁用掉……这个时候就需要另想方法了。其实我们的目的很简单,就是要让不知道我们挂存在的游戏,在某个时刻将挂作为游戏的一个组件加载进来。输入法注入是操作系统强制塞给游戏的,当然游戏有权利选择不要。那么我们可以用暴力解决,强制游戏加载外挂:1.
2016-06-29 10:50:31
1245
转载 给网游写一个挂吧(二) – 启动外挂上
前面的文章给网游写一个挂吧 – 反反外挂驱动的驱动,我们已经可以访问游戏的内存之后,接下来需要:1. 找到游戏里关键元素的偏移量,比如生命值的内存的位置。一般来说,大部分大型3D游戏都是用C++编写的,游戏里面的元素都是面向对象的,比如玩家是一个对象,那么生命值、魔法值之类的东西都是这个对象的一个属性。按照C++的内存布局,一般来说,只要源代码里的结构体不发生变化,属性的偏移量
2016-06-29 10:49:27
1195
2
转载 给网游写一个挂吧(一) – 反反外挂驱动的驱动
去年做了一些研究,研究做外挂的一些相关技术,打算放出来跟大家分享,分享一下我们做挂的一些思路,挂的原理,希望抛砖引玉。 外挂说白了就是用程序代替人去操纵游戏,模拟人向游戏程序发送键盘、鼠标消息。一般的流程就是:1、 通过Windows系统的OpenProcess API打开目标进程 – 也就是游戏,以便能读写目标内存的数据,甚至是调用目标进程的函数,比如某些世界级的游戏里的
2016-06-29 10:48:40
7440
1
转载 反调试技术二
五、使用NtQueryInformationProcess函数NtQueryInformationProcess函数是一个未公开的API,它的第二个参数可以用来查询进程的调试端口。如果进程被调试,那么返回的端口值会是-1,否则就是其他的值。由于这个函数是一个未公开的函数,因此需要使用LoadLibrary和GetProceAddress的方法获取调用地址,示例代码如下: /
2016-06-29 10:44:27
533
转载 反调试技术
在调试一些病毒程序的时候,可能会碰到一些反调试技术,也就是说,被调试的程序可以检测到自己是否被调试器附加了,如果探知自己正在被调试,肯定是有人试图反汇编啦之类的方法破解自己。为了了解如何破解反调试技术,首先我们来看看反调试技术。一、Windows API方法Win32提供了两个API, IsDebuggerPresent和CheckRemoteDebuggerPresent
2016-06-29 10:43:57
342
转载 JMP指令转换公式推导
看完郁金香第020课总结:同样的一句指令 JMP 88881234在不同位置有以下现象 找规律:88881234 - 010073bb = 87879E7988881234 – 010073c0 = 87879E7488881234 – 010073c5 = 87879E6F因为机器码 如E9 749e8787 是按字节排列的所以87
2016-06-29 10:35:41
1405
转载 VC6.0蕉HOOK_timeGetTime 达到变速效果
注意这个 MytimeGetTime 函数内部的加速算法是有问题的,对有些进程只能加速,不能减速,减速后就会卡主。。。本帖隐藏的内容#include "StdAfx.h" //预处理文件放第一行 ,否则 有些函数 会报错#include #include DWORD dwAddrtimeGetTime; //保存真的timeGetTime
2016-06-29 09:21:08
2584
转载 INLINE HOOK过驱动保护的理论知识和大概思路
INLINE HOOK过驱动保护的理论知识和大概思路,简单驱动保护就是简单的HOOK掉内核API的现象找到被HOOK的函数的当前地址在此地址处先修改页面保护属性然后写入5个字节。5个字节就是一个简单的JMP指令。这里说一下JMP指令,如下:001 JMP 002 这样我们就会跳到001 (在此地址写入JMP指令)+ 002(我们要写入的JMP操作数) +5(jmp指令的字节
2016-06-29 09:17:35
1648
转载 C++静态多态(模版模拟多态)的讨论
说到面向对象特性之一“多态”,以我的水平已经说不出太多新意了。相信很多程序员代码K多了,做梦都在“多态中”运行着。常规的多态是C++语义内置支持的一种特性,通过虚函数可以实现这个特性,为了后面以示区别,我们姑且把这种多态称为“动态多态”或”运行期多态“,而本文总主要想讨论下“静态多态”,也可以叫“编译期多态”,同时一起来看下,静态多态会给我们带来哪些惊喜之处,拭目以待吧。 首先
2016-06-27 13:19:35
648
转载 Google Protocol Buffer 的使用和原理
简介什么是 Google Protocol Buffer? 假如您在网上搜索,应该会得到类似这样的文字介绍:Google Protocol Buffer( 简称 Protobuf) 是 Google 公司内部的混合语言数据标准,目前已经正在使用的有超过 48,162 种报文格式定义和超过 12,183 个 .proto 文件。他们用于 RPC 系统和持续数据存储系统。Pro
2016-06-25 19:33:21
580
转载 OD+IDA6.1破解HideWizardv9.29(无忧隐藏)
标 题: 【原创】OD+IDA6.1破解HideWizardv9.29(无忧隐藏)作 者: hsluoyz时 间: 2012-04-22,22:01:19链 接: http://bbs.pediy.com/showthread.php?t=149743偶以前搞过一些破解,但都是一些软柿子,前几天有隐藏木马这么个需求,包括进程、窗口、硬盘文件等,非要用HideWIzard出手不可
2016-06-24 13:01:38
3327
转载 IDA Pro逆向实战之Crackme(简单篇)
IDA Pro逆向实战之Crackme(简单篇) 今天手闲的很,没事就拿出了以前没解决的逆向题来做一下,具体的源程序在附件里,废话少说,直接上菜: 0. 源程序运行效果(输入不对的,直接退出): Exeinfo PE 查壳:
2016-06-22 20:23:48
20504
3
转载 外挂制作必备工具下载.
外挂制作必备工具下载.工具下载:peid 0.94 用于查壳,知道什么壳就可以脱壳拉.http://www.pediy.com/tools/unpack/File_analysers/peid/peid.rarOllyDbg调试器 调试游戏.http://www.pediy.com/tools/Debuggers/ollydbg/OllyICE.rarO
2016-06-22 18:47:05
22625
12
转载 国服游戏封包解密-外挂制作全过程
[软件]国服游戏-路尼亚战记[工具]OD,Wep,以及其它的一些文本工具[目的]研究游戏保护技术,深论协议级分析。意在抛砖引玉,抵制游戏外挂。我会在每个分析点做出一些保护上的思考。开始正文。一个多月前,有看过一些游戏,DNF,路尼亚战记。他们大概是属于那种靠操作,连招一张地图一张地图那种游戏。DNF是由腾迅公司代理的,自己做了点不强的小保护,但是还是被别人开发出了外
2016-06-22 17:23:55
31933
4
转载 基于 ida 的反汇编转换 Obj 的可行性 笔记(2)
前面一章讲述了一个简单的 exe 智能反汇编引擎推导实现方法,但是实际操作要比上文要困难的多,其中涉及很多烦琐的细节, 这里不进行进一步的讨论。现在公认静态分析比较强的工具是 ida, 它有的智能反汇编和灵活的人工参与方式都是同类软件没法相比的。这里讨论就是利用其强大的反汇编引擎,做一个把 ida 的汇编结果直接输出为可利用性极高的 obj 文件,减轻逆向成本(ida 的插件机
2016-06-21 16:51:12
992
转载 基于 ida 的反汇编转换 Obj 的可行性 笔记(1)
标 题: 【原创】基于 ida 的反汇编转换 Obj 的可行性 笔记(1)作 者: dummy时 间: 2007-08-18,16:33链 接: http://bbs.pediy.com/showthread.php?t=49910以前有种工具可以叫 exe2c, 听过可以把一个可执行文件转换成 c 代码,没有用过。但是其中显示出的令人振奋的功能,其中很多问题一直想去了解,
2016-06-21 16:50:38
1406
转载 IDA Plugin 编写基础
IDA Plugin 编写基础IDA是迄今为止最为强大的反汇编器,它有着众多的功能。但是如果它不具备通过附加的模块来对标准的函数进行扩展的功能(粗俗点说就是plugin)的话,也就有负此盛名了。现在我们就来更为详细地研究一下如何编写这些plugin。喏,首要的就是要有这个叫做IDA的反汇编器,同时还要有与之匹配的IDA SDK。SDK里主要的部分就是include目录及其下的所有文
2016-06-21 16:45:25
3255
转载 使用IDA的调试器
一个小bug程序这个小程序只是简单的计算了一下一组数据(1,2,3,4,5)的平均值。这组数据被保存在两个数组里,一个是8bit的数值,一个是32bit数值表示。#include charchar_average(char array[],int count){int i;char average;average = 0;for (i
2016-06-21 13:46:08
1598
转载 socket connec连接超时处理
最近把win32下的网关服务转到linux平台时遇到connect连接超时问题,经过多方收集资料简单整理下方便以后查找connec连接超时处理" alt="socket connec连接超时处理" src="http://www.sinaimg.cn/uc/myshow/blog/misc/gif/E___7474ZH00SIGG.gif" type="face" style="border:no
2016-06-21 11:29:33
2324
转载 使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接库函数的调用过程
标 题: 【原创】使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接库函数的调用过程。作 者: shayi时 间: 2015-02-12,05:19:54链 接: http://bbs.pediy.com/showthread.php?t=197829使用IDA PRO+OllyDbg+PEview 追踪windows API 动态链接库函数
2016-06-19 19:39:30
6314
1
转载 IDA+OD双剑合璧=逆向无敌
标 题: 【原创】IDA+OD双剑合璧=逆向无敌作 者: Tennn时 间: 2015-12-12,22:25:19链 接: http://bbs.pediy.com/showthread.php?t=206437我这一周学是薛老师讲课, 大多挺深,我就列出一个典型的吧。 准备工具: ollydbg ida vs2012 ----------------
2016-06-19 17:53:42
4868
转载 第一次使用OD和IDA动静结合找出软件的注册算法
大牛路过的时候除了拍砖外,还请多多指点目标软件:PDF2TXT v3.2下载地址:http://www.verypdf.com/app/pdf-to-txt-converter/index.html1. OD载入目标软件后运行,弹出注册框注册提示框.png (16.21 KB, 下载次数: 1)下载附件 保存到相册2015-3-20 11:52 上传
2016-06-19 17:45:02
4354
转载 Crypto++库在VS 2005中的使用——RSA加解密
源代码:下载 一. 下载Crypto++ Library Crypto++ Library的官方网:http://www.cryptopp.com/ 二. 建立自己使用的Crypto++ Library 由于从官方网下载的Crypto++库是开源的,只有源文件和几个可以生成lib、dll的工程,以及一个使用的例子工程,因此希望生成自己建的工程能使用的S
2016-06-18 17:39:05
1147
2
SSDTHook实现进程保护
2017-06-09
SkinSharp开发库+百款皮肤+皮肤编辑器
2017-05-24
minhook-1.3.2
2017-05-09
python2.7.8 32
2016-05-25
AStar 算法实例
2015-07-18
Visual Assist X补丁
2015-06-18
cmake-3.14.3-win64-x64.zip
2019-09-05
跨平台高性能TCP服务器框架 &boost;
2018-06-25
网狐IOCP压缩版
2018-06-22
用C++实现的壳
2017-09-14
像加载DLL一样加载EXE
2017-09-10
protobuf-2.61最新版
2017-08-28
Gh0stVC6到VS2010迁移所有问题的解决方法
2017-08-15
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人