![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
逆向工程
attack_eg
这个作者很懒,什么都没留下…
展开
-
《逆向工程核心原理》学习总结(一) - 基本调试技巧
设置调试标记的四种技巧很多时候,当我们调试到程序的一个关键点时,想要将它记录下来,以方便下次调试可以继续从此处开始。在《逆向》书中提出了四种技巧: 设置断点(F2) 添加注释(;),右键Search for\User defined comment可查找 设置标签(:),利用Search for\User defined labels 可查找 goto 命令(ctrl+g),运行到目标地址 快速查找原创 2017-06-30 23:46:33 · 1269 阅读 · 0 评论 -
《逆向工程核心原理》学习总结(二) - 栈帧
栈帧的三个基本职能 声明局部变量 传递函数参数 保存函数返回地址 利用ebp(栈帧指针)寄存器可实现: 访问栈内局部变量 提取传递参数 访问函数返回地址 栈帧的生命周期helloworld程序main()函数的汇编代码: main函数栈帧生成: push ebp;保存上层调用函数的栈帧指针 mov ebp, esp; main函数的栈帧指针赋值为esp的值 main函数栈帧清除:原创 2017-07-01 09:19:54 · 501 阅读 · 0 评论 -
《逆向工程核心原理》学习总结(三) - 函数调用约定
函数调用约定,决定在函数调用过程中参数的传递方式、栈平衡由调用者还是被调用者执行、返回值如何传递。 三种比较基本的函数调用约定: cdelc (C调用约定) stdcall (标准调用约定) fastcall (快速调用约定) cdelc 参数通过堆栈传递,参数从右至左依次入栈; 由调用者负责执行栈平衡; 返回值一般存放于eax中; 备注:cdelc是C语言默认的函数调用约定;函数原创 2017-07-01 15:13:43 · 892 阅读 · 0 评论 -
《逆向工程核心原理》学习总结(四) - PE文件格式
介绍PE文件是windows操作系统的可执行文件格式(包括.exe、.scr、.dll、.sys、.obj等文件),PE文件指32位的可执行文件,也称为PE32。64位可执行文件称为PE+或PE32+,是PE32文件的一种扩展形式。基本结构PE文件包含PE头与PE体,研究PE文件格式,就是研究构成PE头的结构体。 PE头包含的基本结构如下: 1.DOS头 2.DOS存根 3.NT头原创 2017-07-01 20:26:33 · 964 阅读 · 0 评论