- 博客(9)
- 收藏
- 关注
RSS订阅原创 PE文件结构(一) 基本结构
PE文件结构(一)参考书:《加密与解密》视频:小甲鱼 解密系列 视频 exe,dll都是PE(Portable Execute)文件结构。PE文件使用的是一个平面地址空间,所有代码和数据都被合并在一起,组成一个很大的结构。先看2张图,来大概了解一下PE文件结构。PE文件的框架结构 通过这张图(开始在下面),我们可以知道PE文件的大概结构,PE文件是由 DOS头,PE文件头,块表,块,调试信息 这些部分组成的。这些结构的定义在 winnt.h 中的 “Image
2014-09-18 23:52:56
4315
2
原创 OllyDbg 使用笔记 (十九)
OllyDbg 使用笔记 (十九)参考书:《加密与解密》视频:小甲鱼 解密系列 视频反调试 先看看这四个程序。 它们自己运行时都没有问题,都显示被注册信息 “You really did it! Congratz it",但是一到OD中运行就会出现未注册或者报错。 这四个程序都对OD进行了反调试。 它们都用了IsDebuggerPresent这个API函数来判断是否程序被调试器调用。 可以先看看ReverseMe.A程序,正常运行时会出现“Y
2014-09-09 22:48:34
1659
原创 OllyDbg 使用笔记 (十八)
OllyDbg 使用笔记 (十八)参考书:《加密与解密》视频:小甲鱼 解密系列 视频 这次这个程序跟原来的程序不一样,它会对自身的代码进行加密解密。 程序运行前有一个nag窗口,破解目标去除这个nag窗口。图片1 OD加载这个程序,搜索nag窗口的文字。可以找到:图片2 但是在此处下断点后,重新运行程序,发现程序没有在下断点的地方停下来。分析可以知道,这个程序有些狡诈,我们搜到的那个貌似产生nag窗口的代码可能是用来骗我们的。真正的代码可能被加密了
2014-09-08 19:00:14
1432
原创 OllyDbg 使用笔记 (十七)
OllyDbg 使用笔记 (十七)参考书:《加密与解密》视频:小甲鱼 解密系列 视频破解这个程序的注册机(keygen) 这个程序主界面就是两个输入框,跟check,about按钮。 可以从两个输入栏入手,用OD加载程序,右键-->查找-->所以摸快间的调用,搜索跟输入框的API,可以搜索GetDlgItemTextA
2014-09-06 23:23:09
1451
原创 OllyDbg 使用笔记 (十六)
OllyDbg 使用笔记 (十六)参考书:《加密与解密》视频:小甲鱼 解密系列 视频 此程序运行进行后有一个nag窗口,可以从这个nag窗口人手,用Resource Hacker这个软件查找这个nag的hInstance 可以知道这个nag窗口的hInstance为100(十进制),把程序加载到OD,搜索push 0x64 再所有push 0x64上下断点。运行程序,找到是产生nag窗口的那个call。删除其它断点。观察这个call 的前面的代码,可以发 je
2014-09-06 17:50:29
1408
原创 OllyDbg 使用笔记 (十五)
OllyDbg 使用笔记 (十五)参考书:《加密与解密》视频:小甲鱼 解密系列 视频通过对话框的hinstance 破解 win32中对话框分模态对话框与非模态对话框, 模态对话框用 int DialogBoxParam(HINSTANCE hInstance,LPCTSTR IpTemplateName,HWND hWndParent, DLGPROC IPDialogFunc,LPARAM dwlnitParam);来创建。 非模态对话框用
2014-09-05 11:19:51
1240
原创 OllyDbg 使用笔记 (十四)
OllyDbg 使用笔记 (十四)参考书:《加密与解密》视频:小甲鱼 解密系列 视频 此程序运行前会有一个nag窗口,运行结束后也有一个nag窗口。破解目的要去除这两个nag窗口。 用OD加载这个程序,按F9运行,当第一个nag窗口出现时,按下暂停。查看 堆栈调用
2014-09-04 21:02:26
2476
原创 OllyDbg 使用笔记 (十三)
OllyDbg 使用笔记 (十三)参考书:《加密与解密》视频:小甲鱼 解密系列 视频方法一:内嵌补丁 加载程序,按F9运行,点击Enter Reg.Code 输入name,key等,先不要按OK ,到OD中 按Ctrl+N打开输入输出表,搜索KillTimer,设置断点。再点击注册窗口的OK,我们可以看见: (也可以通搜索注册失败时弹出窗口中的“The registration code seems to be not valid” 来找到下面代码)
2014-09-03 16:08:27
1914
原创 OllyDbg 使用笔记 (十二)
OllyDbg 使用笔记 (十二)参考书:《加密与解密》视频:小甲鱼 解密系列 视频 安装好程序后,打开程序可以在About中看到注册界面。可以先从输入的API入手试试。 右键-->查找-->所有模块间的调用,搜索GetWindowTextA (直接输入这些字母即可搜索),选中找到的的调用,右键-->“在每个调用到GetWindowTextA设置断点”。 我们可以查看OD设置了3个断点。(我们也可以按Ctrl+N查看输入输出表搜索GetWindowTextA设置断点)。
2014-09-02 00:06:39
1661
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人