【调试原理】逆向peid-判定vc

最新推荐文章于 2022-04-20 21:18:47 发布
最新推荐文章于 2022-04-20 21:18:47 发布
阅读量1.8k 收藏 1
点赞数 1
分类专栏: 逆向分析 文章标签: 调试 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nightsay/article/details/44977741
版权
本文探讨了如何通过逆向工程技术分析PEID 0.94版,了解其如何判断程序是否由Visual C++ 6.0编译。使用Ollydbg和IDA等工具,作者跟踪了判定过程,揭示了获取程序RVA的方法,并讨论了可能的进一步判定步骤。在分析过程中,发现了程序加载时的数据处理和OEP(入口点RVA)的确定,为理解PEID的工作原理提供了洞察。
摘要由CSDN通过智能技术生成

以前一直认为一个工具只要会用就可以了,可是作为一名喜欢安全的渣渣来讲,会用还远远不够,你还得了解它,欺骗它,改造它,提升它!
上一篇文章讲了如何脱掉peid0.94版本的壳
[调试原理]逆向peid_脱壳
这一篇文章对peid开始逆向分析它的原理。开始的时候,从最简单的分析起:如何判断程序有vc编译器编译的。

逆向工具:ollydbg,ida,winhex
分析对象:peid v0.94(完美脱壳后uppeid)
测试程序:TraceMe.exe

打开peid加载TraceMe.exe发现为Microsoft Visual C++ 6.0编写,所以直接打开ollydbg,查找字符串Microsoft Visual C,发现字符串
这里写图片描述
双机来到这个字符所在的地方
这里写图片描述
发现跳转来自的地方,往上寻找,发现这个函数的起始部分
这里用IDA一样可以达到相同的效果
直接下断,然后用peid加载我们的测试程序TraceMe.exe,后F9,程序中断下来
单步运行,将分析的算法写在下面的代码中:

00438C26  |.  53            push ebx
00438C27  |.  55            push ebp
00438C28  |.  56            push esi
00438C29  |.  57            push edi                                 ;  下面就是填充一个数组
00438C2A  |.  B0 72         mov al,0x72                              ;  "r"
00438C2C  |.  884424 2F     mov byte ptr ss:[esp+0x2F],al
00438C30  |.  884424 31     mov byte ptr ss:[esp+0x31],al
00438C34  |.  884424 34     mov byte ptr ss:[esp+0x34],al
00438C38  |.  884424 39     mov byte ptr ss:[esp+0x39],al
00438C3C  |.  8844
最低0.47元/天 解锁文章
Nightsay
关注
专栏目录
*** PEid插件——Generic OEP Finder 原理分析 ***
老裴
07-31 2098
***    PEid插件——Generic OEP Finder 原理分析    ***   PEid的这个小插件用了很久了,一直觉得功能不错,准确率也挺高的,自己在写壳的过程中也曾尝试避开其检测,但一直没有成功,于是抽了些时间看看它的实现原理,这才恍然大悟。   下面是这个插件的一级输出函数:10001870 ; Exported entry   1. DoMyJob1000187010001
PEiDv0.94查壳工具
03-19
PEiDv0.94查壳工具,觉得很强大,发给大家共享!
peid逆向记录
03-21 4372
【文章标题】: peid逆向记录【文章作者】: layper【作者邮箱】: layper2002@yahoo.com.cn【作者主页】: www.sy135.com【下载地址】: 自己搜索下载【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!----------------------------------------------------------------------
逆向判断
柠檬不萌只是酸i
07-06 346
需求: 如果reLogin为true,需要强制重新登录; reLogin为false,不需要强制重新登录。 一般的话,像我就会直接写: var reLogin; if(option.reLogin == 'true'){ reLogin = option.reLogin; } 但是,当我师傅帮我检查代码的时候,发现并告诉我你这样写是有问题的:因为这个页面会有好几个入口,如果是从...
VC++下C++逆向基础
AkeyMaker的博客
11-05 859
局部变量 EBP-8,EBP-C...Debug : PUSH EBP MOV EBP,ESPRELEASE : ESP+XX 参数 EBP+8,EBP+CPUSH EBP MOV EBP,ESP 调用方式 _stdcall 函数内平衡堆栈,有一个参数ret 4,两个ret 8_cdcel函数外平衡堆栈,有一个参数retn,函数外add esp,4
逆向分析】PEiD查壳
qq_45972928的博客
04-20 3810
工具PEiD 链接:https://pan.baidu.com/s/1nDuMf6AnHKZUBG1hv-ACvw?pwd=8108 提取码:8108 PEiD界面(中文版) 选项: 一般使用正常扫描就能出结果,不行的话就是用核心扫描等 查壳:将PE文件拉入PEiD界面,程序会自动分析 如果成功扫描,会在下方文本框给出所加壳的信息 有时文本框不显示,可以看EP节点名字,可能就是所加壳的类型 查看程序导入函数,分析功能 可以在导入表中切换查看所含的函数名,根据函数名推测这个函数的功能 .
PEiD-v0.95-20081103绿色免安装.rar
12-21
PEiD-v0.95:强大的PE文档加壳侦测工具》 在信息技术领域,软件保护技术是一项至关重要的环节。"PEiD-v0.95"是一款备受推崇的查壳工具,专用于检测PE(Portable Executable)文档的加壳类型和签名。这款工具因其...
PEiD-0.95 侦壳工具
10-16
PEiD-0.95 是一款广泛应用于软件分析和逆向工程领域的专业工具,它主要用于检测可执行文件(.exe 和 .dll)的保护壳。这个工具因其简单易用且高效的特点,在IT安全和恶意软件分析社区中备受推崇。现在,让我们深入...
peid--工具.zip
04-14
peid工具peid工具peid工具peid工具peid工具peid工具peid工具
peid-finder:在 NodeJS 中运行的原始 PEID 查找器
06-22
peid-finder 将找到从可执行文件中提取可移植的可执行入口点字符串(最多 32 个字符)以进行识别。 NOTE: an issue with arch misidentification has been fixed for 32 bit node on 64 bit windows. 32 bit ...
PEid 0.94 查看软件编写语言工具
12-19
PEid 0.94 查看软件编写语言工具 非常好用
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档
最新发布
01-15
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。
最好的查壳工具DIE (大家可以试试比PEID好用)
11-17
非常好用的查壳的工具,比PEID好用,没有查不出来的,可以反汇编 非常方便(强烈推荐)
PEiD,PEiD,PEiD
09-08
PEiD,PEiD,PEiD,PEiD,PEiDPEiD,PEiD,PEiD
PEiD 0.94版本
03-29
PEiD是一款著名的查壳工具PEiD功能强大,几乎可以侦测出所有的壳,PEiD数量已超过470 种PE 文档 的加壳类型和签名。PEiD内置有差错控制的技术,所以一般能确保扫描结果的准确性。 PEiD新增加WinNT平台下的自动脱壳器插件,可以应对现在大部分的软件脱壳(包括PEiD自身的UPXShit0.06壳)! 现在软件越来越多的加壳了,给破解带来非常大的不便,但是这个PEiD软件可以检测出 450种壳,非常方便! 增加病毒扫描功能,是目前各类查壳工具中,性能最强的。另外PEiD还可识别出EXE文件是用什么语言编写的,比如:VC++、Delphi、VB或Delphi等。 支持文件夹批量扫描; 插件增加到5个:General OEP、Kanal 1.3,FSG v1.33 Unpacker,CRC32(新增加的),PEiD 通用脱壳器 Forwinnt2kxp(新增加的), ……功能全部开放!强烈推荐!
vc++ 逆向工具_勒索病毒加密算法逆向识别
weixin_39623050的博客
11-21 356
1 前言使用IDA Pro进行分析时,通常只是利用它的反汇编功能,更快的分析汇编代码辅助后续需要采用的动态调试过程。由于hexray插件的强大,极大的提升了逆向效率。但是对于没有签名库匹配的情况下,得到都是未命名的函数,所以识别这些函数就成了一个问题。提及一下FLIRT的原理:从函数的前32个字节中提取模式并使其成为签名。当然,如果模式相同,则会发生冲突。如果需要提取签名的库很大,则会遇...
逆向与反汇编实战(一)--PEiD分析复现
Hk_Mayfly的博客
12-01 1321
准备 简介: PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。 整个过程需要测试文件成品:https://www.lanzous.com/b07r7qu0d 首先使用PEiD检测之前做的一个异常捕捉测试程序。源码在下面,编译器为VC++ 6.0,编译方法为 Win32 Releas...
PEiD的工作原理
weixin_30337157的博客
03-18 608
开发环境识别 检查oep的合法性 提取oep附近的机器码,对比特征码 检查 “.rdata” 节是否存在 检查oep是否处于 “.text” 节中 开发环境的伪造 找到oep,在 “.text” 节中找到一段空白处,填写机器码 在oep检查结束后执行 “CALL 0x........(oep)” ,将程序重新调整回真正的oep处 检查程序是否存在 “.rdata” ...
基于VC平台下C++反汇编与逆向分析研究——No.1
三缺
05-27 4316
首先感谢小生我怕怕大神,这个是他的随笔,作为一个业余爱好者,确实挺喜欢这门技术,所以做了这个系列的转载,后面会慢慢更新! 不过时间有限,一边考研,为了给自己枯燥的生活带来点乐趣,故选择随便看些东西! ———————————————————————————————————————————————— 分析环境:WIN7sp1 所用工具VC++6.0/OllyDBG/IDA 适用人群
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值