od 查找特征码和特征码模糊搜索教程

最新推荐文章于 2024-05-12 17:35:18 发布
最新推荐文章于 2024-05-12 17:35:18 发布
阅读量6k 收藏 7
点赞数 1
分类专栏: 汇编 逆向 文章标签: 汇编 特征码 模糊搜索 反汇编 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/boildoctor/article/details/121614803
版权

目录

特征码的作用

特征码的作用是用来定位一段特殊的汇编代码,一般用作定位有偏移量的汇编代码,因为如果你破解了一个文件,但是他更新以后,里面文件的汇编指令偏移量会改变.所以需要用他附近的汇编指令当做特征码来定位.看下面的例子详细说明
先看下面汇编代码

地址             16进制指令    汇编指令
768FACB7    29FD            sub ebp,edi
768FACB9    0300            add eax,dword ptr ds:[eax]
768FACBB    91              xchg eax,ecx
768FACBC    f3:0300         rep add eax,dword ptr ds:[eax]
768FACBF    2A4A 00         sub cl,byte ptr ds:[edx]
768FACC2    009408 1C005348 add byte ptr ds:[eax+ecx+0x4853001C],dl

上面6行代码中,最后一行代码 add byte ptr ds:[eax+ecx+0x4853001C],dl,这里面有个偏移量 [eax+ecx+0x4853001C],这段话意思是把数据段eax + ecx + 0x4853001C 这段内存取一个字节长度,取出其中的值 + dl,再存入到这个字节中.
但是如果程序更新以后,例如这个exe文件版本升级以后,这个偏移量+0x4853001C,可能会改变,可能会变成 +0x12345678.那么假设我们用c++修改这段内存:[eax+ecx+0x4853001C],例如这段内存是人物血量,那么因为更新以后,这个内存就不再是人物血量了,因为偏移量改变了.
我们要如何知道新的血量地址的偏移量,就需要借助上面5行代码,作为特种码,然后搜索他们的位置,从而找出第6行的代码.这样我们通过第6行代码就知道新的人物血量的偏移量是多少了.

查找这个特征码方法有2个

查找多行汇编代码

sub ebp,edi
add eax,dword ptr ds:[eax]
xchg eax,ecx
rep add eax,dword ptr ds:[eax]
sub cl,byte ptr ds:[edx]

把这5行汇编代码复制出来,然后在od中 ,右键Search for 然后 Sequence of commands .快捷键ctrl + s ,查找多行汇编指令
在这里插入图片描述
然后把这5行代码粘贴进去
在这里插入图片描述
再点击find就会找到这5行代码,然后下面的代码就是我们要找的偏移量

通过十六进制数查找特征码

把上面5行汇编指令前面的 十六进制 数字复制组合到一起

29FD
0300
91  
f3:0300
2A4A 00

然后去掉换行组合到一起就是特征码
29FD030091f303002A4A00

然后od中右键Search for 查找 再选择Binary string 二进制字符串 ,快捷键ctrl+b,如下图
在这里插入图片描述

然后把上面的29FD030091f303002A4A00 复制进去,如下图
在这里插入图片描述
就会找到这5行汇编代码,如下图:
在这里插入图片描述

模糊搜索特征码

如果好几行汇编当中,也带偏移量,那么这些偏移量也是不确定的,可以用?? 问号代替,如下,我把第3,4位和最后2位换成了?问号,代表这4个位不确定具体的汇编指令
29??030091f303002A4A??
把他用上面的ctrl+b复制进去,如下图,一样可以找到这5行汇编指令
在这里插入图片描述

Poison老师
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++搜索内存特征 支持模糊匹配
wtujoxk的博客
04-06 310
【代】C++搜索内存特征 支持模糊匹配。
通过特征查杀病毒.(小段c程序)
huabihan的专栏
09-14 3507
    杀毒软件最开始都是通过特征来查杀病毒..一般的病毒都有一个特征,通过特征来判断属于哪一种病毒.例如,你已经获得了一个病毒样本 ,知道了病毒的一些信息,例如,文件偏移地址0x0c15,  提取特征长度:0x10(16)特征内容:0A 73 53 41 2E 65 78 30 5C 5C 31 39 32 2E 31 36 我们现在就可以用程序来实现代的比较了,可以简单的一段小程序
OD模糊查找特征
weixin_33834628的博客
07-05 3267
为了更新数据,我们常常需要搜索特征,但是OD里不能直接查找模糊数据.近两天通过看壳的世界(前两课免费),我发现其实还是可以实现的,只是以前太粗心不会用.比如我们搜索如下语句:内存地址 二进制 汇编指令 备注00735EC3 33C0 XOR EAX,EAX//这条确定00735EC5 83FF 1A ...
华为OD机试之找出符合要求的字符串子串(Java源)_华为od 字符 子串
最新发布
2301_79055814的博客
05-12 321
关于面试刷题也是有方法可言的,建议最好是按照专题来进行,然后由基础到高级,由浅入深来,效果会更好。Java基础部分算法与编程数据库部分流行的框架与新技术(Spring+SpringCloud+SpringCloudAlibaba)这份面试文档当然不止这些内容,实际上像JVM、设计模式、ZK、MQ、数据结构等其他部分的面试内容均有涉及,因为文章篇幅,就不全部在这里阐述了。
特征查找教程
04-19
特征是每一钟协议中特有的固定的编特征的用处是帮助我们识别每一种 协议的包。
特征搜索工具
04-13
http://blog.csdn.net/foolpanda1168/archive/2008/04/13/2288884.aspx 后面地址,修改了进程名bug,应该忽略大小写。 http://download.csdn.net/source/415342 加了进度条 http://download.csdn.net/source/417341
特征定位
lengye7的博客
06-11 6746
标 题:详解定位特征方法附带源作 者:lisakeel时 间:2010-09-27 14:23:48 链 接:http://bbs.pediy.com/showthread.php?t=121198原来的ID(keellisa) 密丢了,现在无法找回了。下面的东西是非常基础的东西,给新手一个参考吧。        1、定位特征的原因          无论破解还是做其他与逆向相关的东西,可...
特征搜索基址 c/c++源代
01-08
游戏特征搜索基址 c/c++源代 有图有解释,拿来即可用 本人亲测,可用 代来源于互联网:)
OD 调试修改特征免杀方法 免杀教程
04-12
OD 调试修改特征免杀方法 免杀教程。 本教程针对OD动态调试特征免杀录制。学习免杀大家共同进步。 免杀教程
特征搜索器
06-10
支持通配符,通配符为两个?号,也就是 ??,举个例子 03 58 ?? 24 32 ??11 45 支持直接扫描硬盘上的EXE文件,就是游戏的客户端文件 也可以扫描开启的游戏内存。两种方式都支持。...特征OD中的搜索一样
OD修改特征的经典方法
10-17
OD修改特征是指对特征的修改,使其变得难以被检测和识别。本文将对OD修改特征的经典方法进行详细的介绍和分析。 A开头的OD修改特征经典方法主要使用了ADD、ADC、SUB、CMP等指令对特征进行修改。ADD指令...
特征修改OD篇通用跳转.rar
05-01
使用一定的算法来编制特征,标准信息摘要算法有MD4、MD5、SHA、SHA1等
OD调试修改特征免杀方法
03-01
教程针对OD动态调试特征免杀录制。学习免杀大家共同进步。
汇编语言修改特征知识
08-01
木马高级免杀修改特征需要熟练掌握的全部汇编知识.
汇编基础特征含义.一般人我不告诉他
09-10
这样给分么`汇编语言不好掌握.以下一定要记住.这只是个必要的基础.够20个字了- -!
Sunday算法特征搜索极速定位基址和call地址C++(支持通配符)
11-11
Sunday算法特征搜索极速定位基址和call地址C++(支持通配符),绝对可以用的特征搜索基址,call的地址。上传备用。
易语言编写OD插件【特征定位】-易语言
06-13
特征借用了这位楼主的...不过当特征定位存在多个地址的时候,那么这个优势就好的多了。 就算没有用,就当是学习。学习怎么写OD的插件去实现想要实现的功能。 我也是借花献佛 此插件用黑月写法,可以看下效果图
OD插件-E-debug特征识别工具
03-16
感觉对易语言分析有点帮助,...将插件与Esig文件夹放置于OD目录下 OD\plugin\E-debug.dll OD\plugin\esig即可 未加壳的程序,在text区段可直接分析. 加壳的程序,可待text区段解后,CPU窗口到达text区段再开始分析.
Windows 程序文件特征识别定位方法
溡漪幽博客
01-22 1275
常见的文件特征识别定位是基于硬编指令定位、逻辑偏移量等方法,这种方法对于定位字符串等相对固定的数据非常友好。但是,对于编译程序中经常更新的组件,定位其中的指令代就会因为版本更新而需要同步更新定位方法。文本介绍一种基于控制流程和函数调用链导向的特征匹配定位方法,同时也从个人有限的角度去分析如何更好地选择特征特征是一串二进制字符串,可以用来定位数据、判断字段、识别病毒等。特征通常是从文件或汇编中提取。特征可以被杀毒软件用来扫描病毒,也可以被病毒用来修改或掩,实现免杀。
华为od 真正的密
09-18
华为OD是指华为云OD(Openstack Distributed Virtual Data Center),是华为云平台上的一种云计算服务,提供云主机、云硬盘、云网络等资源的管理和调度。所谓真正的密,在这里可以理解为使用华为OD服务时需要输入的密。 在使用华为OD时,用户必须登录华为云账号才能使用相关功能。首先,用户需要在华为云官网注册并创建一个账号,然后在登录界面输入注册时设定的用户名和密。这个密即是登录华为云OD时所需的真正密。 为了确保账号和数据的安全,华为云采用了严格的账号密管理措施。用户在注册时要设定复杂的密,包括大写字母、小写字母、数字和特殊字符,并且密长度要求一般为8-16位,此外,账号密还支持定期更改,以增强账号的安全性。 当用户输入正确的账号和密后,系统会验证账号密的正确性,并为用户提供相应的权限和服务。用户可以通过华为OD来创建、管理虚拟机、存储等资源,实现云计算的相关功能。 需要注意的是,为了确保安全,华为OD不应与其他账号或平台的密相同,同时也要注意密不要泄露给他人。用户在使用华为OD时,应妥善保护自己的账号密,定期更改密,并使用安全可靠的方式来保存密,以提升账号和数据的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值