汇编代码--逆向工程
文章平均质量分 62
Blue_Dream_
高级程序员,喜爱底层编程并从事相关软件开发,编程工具 VS.NET C/C ,ASM, Delphi
展开
-
穿透还原卡和还原软件的代码
还原卡和还原软件被广泛运用于各种公共场合的电脑上,比如学校机房和网吧。这些还原卡和还原软件(以下我简称为虚拟还原技术)能够记录下一切对硬盘的写操作,不论您对硬盘进行拷贝还是移动删除甚至是格式化分区等操作,只要一重新启动,一切都会恢复到这个操作之前的情况,因此有些虚拟还原厂商还会在广告词中加上一句“可以防范一切电脑病毒”。这种虚拟还原的方法在大部分时候的确可以对公共机房的电脑起到很好的保护作用,难道转载 2007-08-23 19:51:00 · 1211 阅读 · 0 评论 -
脱壳&破解技巧
暴力破解的一般流程1、有壳者要先脱壳2、试注册看看有何提示,让我们抓抓小尾巴3、若有提示,用OD动态调试器或者是W32静态调试器查找注册提示4、来到错误提示处分析代码找关键CALL、关键跳!5、修改代码6、复制保存!如果没有提示,我们可以使用很多断点来完成这些操作现今软件的保护方原创 2008-01-03 09:24:00 · 2617 阅读 · 0 评论 -
VB程序的破解
VB程序的破解VB程序使很多朋友感到头痛,主要是VB程序反编译时产生大量的垃圾代码,而且也找不到有用的信息,在动态调试过程中,垃圾代码太多,往往迷失于冗余的代码中,找不到方向。记住VB常用的一些函数:MultiByteToWideChar 将ANSI字符串转换成UNICODE字符WideCHatToMultiByte 将UNICODE字符转换成ANSI字符rtcT8Val转载 2008-01-03 10:10:00 · 4431 阅读 · 0 评论 -
OllyDbg应用方法大全
OllyDbg应用方法大全!所有文章均为散落在DFCG论坛各处或其他网络文集的经典。雪很冷搜集整理于学习笔记或与朋友讨论之中Ollydbg 中断方法 Quote: Originally posted by dong at 2004-6-1 10:29 PM:我问个问题在od中怎么下断点呢??现在有的程序一点注册就没反映了这样的怎么下断点呢??能介绍下什么情况下什么断点吗? 在转存中下硬件访问-转载 2008-01-03 10:26:00 · 3297 阅读 · 0 评论 -
CListCTrl 使用技巧--补充
CListCTrl 使用技巧--补充listctrl内容进行大数据量更新时,避免闪烁 m_list.SetRedraw(FALSE); //更新内容 m_list.SetRedraw(TRUE); m_list.Invalidate(); m_list.UpdateWindow(); 或者参考 http://msdn.microsoft.原创 2008-01-03 10:34:00 · 1173 阅读 · 0 评论 -
脱 PECompact 2.x -> Jeremy Collake 壳
用peid查,显示是PECompact 2.x -> Jeremy Collake的壳用OD载入后停在00401000 B8 D4A14300 mov eax,CoralQQ.0043A1D4 F8单步运行00401005 50 push eax00401006 64:FF35 00原创 2008-01-03 13:18:00 · 2540 阅读 · 0 评论 -
脱 PECompact 壳
脱 PECompact 2.x -> Jeremy Collake 壳用peid查,显示是PECompact 2.x -> Jeremy Collake的壳用OD载入后停在00401000 B8 D4A14300 mov eax,CoralQQ.0043A1D4 F8单步运行00401005 50原创 2008-01-03 13:19:00 · 1055 阅读 · 0 评论 -
脱壳的艺术--8 参考
脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁用这些保翻译 2008-01-19 13:11:00 · 1445 阅读 · 0 评论 -
脱壳的艺术--1简介
脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁翻译 2008-01-19 09:05:00 · 1282 阅读 · 1 评论 -
脱壳的艺术--3 断点和补丁检测技术
脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁用翻译 2008-01-19 09:26:00 · 1589 阅读 · 0 评论 -
脱壳的艺术--4反分析技术
脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁用转载 2008-01-19 09:34:00 · 1832 阅读 · 0 评论 -
脱壳的艺术--5 调试器攻击技术
脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁用翻译 2008-01-19 09:48:00 · 1463 阅读 · 0 评论 -
脱壳的艺术--2 调试器检测技术
脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁翻译 2008-01-19 09:16:00 · 2113 阅读 · 0 评论 -
脱壳的艺术--6. 高级及其它技术
脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁用翻译 2008-01-19 10:27:00 · 2041 阅读 · 0 评论 -
脱壳的艺术--7. 工具
脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的反逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的反逆向技术,同时也探讨了可以用来躲过或禁翻译 2008-01-19 13:05:00 · 1370 阅读 · 0 评论 -
实际加载地址和建议加载地址
原创 2008-03-17 12:56:00 · 1339 阅读 · 2 评论 -
现代dump技术及保护措施(上)
现代dump技术及保护措施(上)引自: 看雪论坛,忘了地址现代dump技术及保护措施本文目的我们都喜欢使用免费的软件,这也就意味着需要有人对它们进行破解。而破解的时候就要对付各种各样的壳和protectors。壳的工作原理和脱壳的基本方法在《Packer终结篇》(NEOx, Volodya)一文中有不错的讲解。在此文中详细的讲解了PE文件格式以及protectors对它的利用方法。转载 2007-11-26 13:02:00 · 2017 阅读 · 0 评论 -
现代dump技术及保护措施(下)
现代dump技术及保护措施(下)Dynamic unpacking另一种对付dump的常用方法就是的 dynamic packing。其思想就是,protector并不将受保护的程序完全unpack,而只是unpack一部分。首先unpack第一页,当快要进行完时protector对异常进行拦截并unpack所请求的页,这时它就可以将上一页从内存中删除。这样受保护进程的image在内存里从来都不曾转载 2007-11-26 13:06:00 · 1879 阅读 · 0 评论 -
Smss.exe 进程分析--NT 源码--当机方法
来源:http://blog.vckbase.com/windowssky/archive/2007/04/17/25544.html传说中的会话管理服务器进程,它是windows操作系统启动时引导的最重要的系统进程,它负责启动csrss.exe和winlogon.exe进程,并对它们进行监控,如果发现其中一个挂掉,它马上叫你当机,所以要想结束csrss.exe/winlogon.exe,先结束S转载 2007-08-23 20:15:00 · 1813 阅读 · 0 评论 -
实时屏幕传输
基本知识:有关 DDK 中的 mirror Driver:Mirror driver是Windows NT下的一种显示驱动,系统发往物理显卡的所有命令也同样发送给Mirror driver,可以在Mirror driver中可以模拟出当前系统的显示内容,因此称之为mirror 。利用这个特性,就能很方便的捕获到当前屏幕的内容以及系统要绘制的区域(变化部分),是一种速度很快的截屏方法原创 2007-08-24 09:15:00 · 5998 阅读 · 1 评论 -
源代码级调试汇编
对喜欢ASM 的朋友来说,程序中潜在的未知错误是不可避免的也是最头痛的事情之一. 如何在ASM环境下调试程序成了整个环节中耗时很多的工作. 许多其它编译器都附带了源代码级的调试器, VC,TC大家都不会陌生, 这使得用这些高级语言调试成了一件相对easy的事情,你可以迅速进入事故现场并排除之.ASM不同,微软并没有为他提供一个集成的开发和调试环境,我们一切都得自己来! 好在我们有强大的SoftIc转载 2007-09-15 12:44:00 · 1924 阅读 · 0 评论 -
SERVICE_BOOT_START 驱动程序逆向 2
.text:000104D2 ; void __stdcall DeferredRoutine(struct _KDPC *,PVOID,PVOID,PVOID).text:000104D2 DeferredRoutine proc near ; DATA XREF: start+15Co.text:000104D2 xor e原创 2007-09-22 08:42:00 · 1689 阅读 · 0 评论 -
逆向 C++-- 识别类及其构造函数
逆向 C++这些年来,逆向工程分析人员一直是凭借着汇编和 C 的知识对大多数软件进行逆向工程的,但是,现在随着越来越多的应用程序和恶意软件转而使用 C++语言进行开发,深入理解 C++ 面向对象方式开发的软件的反汇编技术就显得越发的必要。本文试图通过分析在反汇编时如何手工识别 C++对象,进而讨论如何自动完成这一分析过程最终介绍我们自己开发的自动化 工具,一步一步的帮助读者掌握逆向 C++程序翻译 2007-09-22 12:03:00 · 10688 阅读 · 0 评论 -
IDA 简易教程
IDA简易教程 作者:www.datarescue.com本文的主要内容就是讲如何用IDA来辅助识别各种类型的数据.版权信息:所有版权归原文作者所有,如许转载清保持文章完整性。索引1 第一节:C语言的小程序2 第二节:基本类型的识别3 第三节:操作数格式4 第四节:字符和字符串的操作5 第五节:数转载 2007-09-21 18:01:00 · 2808 阅读 · 1 评论 -
SERVICE_BOOT_START 驱动程序逆向
21:33 2007-9-20今天发现了 syser debugger 的 SDbgMsg.sys。 这个驱动程序就是SERVICE_BOOT_START 类型的驱动程序, 在windows 启动后最新给出提示信息 "Press "ESC" to Cancel Load Syser Boot Module ",我想看看到底是怎样编程实现的:打开 IDA 载入 SDbgMsg.sys原创 2007-09-21 08:33:00 · 3264 阅读 · 1 评论 -
逆向 C++-- 2 识别类
逆向 C++我们上面已经讨论了如何判断一个程序是不是用 C++写的,讨论了类的构造函数以及内存中类的实例的组织形式,这一节我们来讨论 C++的类在可执行文件中的使用情况。我们先来讨论如何确定内存中哪些部分是类(或者称为对象)下一节再来讨论如何确定类之间的关系以及类中的成员。 [1]识别构造函数和析构函数 为了能从二进制可执行文件中把类识别出来,我们必须先要理解这些类的实例——对象是怎翻译 2007-09-22 20:03:00 · 5021 阅读 · 0 评论 -
经典的重定位代码
在病毒里面经常会使用到这种技术,因为病毒的启动往往不是通过 windows 来加载,那么各个地址的重定位也就需要手工来完成,如果代码本身就具备重定位功能的话,那么手工加载病毒就会容易的多,可以轻易把病毒塞入一块任意的由 VirtualAlloc 分配的内存. 经典的代码是这样的:// call这个动作发生的时候,会把返回地址退入堆栈的顶部,此时返回地址就是delta所在位置的绝对地址原创 2008-01-23 16:31:00 · 2272 阅读 · 1 评论 -
《脱壳艺术》学习笔记--IsDebuggerPresent 检测调试器
《脱壳艺术》学习笔记 1 时间:2008年2月20日星期三,9时47分26秒 IsDebuggerPresent 检测调试器 新建 vc++ console项目,采用Windbg 调试:(1) 启动 windbg 用户级调试(2) 设置调试符号路径(3) bp main ,main 函数处下断(4) F5 ,断点命中(6) 在 wi原创 2008-01-21 13:14:00 · 2170 阅读 · 0 评论 -
经典的重定位代码
在病毒里面经常会使用到这种技术,因为病毒的启动往往不是通过 windows 来加载,那么各个地址的重定位也就需要手工来完成,如果代码本身就具备重定位功能的话,那么手工加载病毒就会容易的多,可以轻易把病毒塞入一块任意的由 VirtualAlloc 分配的内存. 经典的代码是这样的:// call这个动作发生的时候,会把返回地址退入堆栈的顶部,此时返回地址就是delta所在位置的绝对地址原创 2008-01-23 16:31:00 · 1307 阅读 · 0 评论 -
搜索PEB的相关结构获取Kernel32.DLL的基址
原创 2008-01-29 08:27:00 · 1486 阅读 · 0 评论 -
得到函数 RVA
原创 2008-02-16 08:53:00 · 1906 阅读 · 0 评论 -
PE 文件格式(收藏)
原创 2008-02-16 08:57:00 · 1930 阅读 · 0 评论 -
《脱壳艺术》学习笔记2--SEH检测调试器
《脱壳艺术》学习笔记 2时间:2008年2月22日星期五,10时5分35秒 SEH 检测调试器 新建 vc++ Console 项目, 编写下面代码测试:int main(){ bool bIsInDebugger = true ; try{ // 非法内存访问,会引发异常 int *p = NULL; *p = 0;原创 2008-01-23 09:01:00 · 1969 阅读 · 0 评论