逆向分析
果冻&稳稳&婷婷
时刻保持激情,不断提升自我
展开
-
逆向分析之花指令1
一、 概述花指令是对抗反汇编的有效手段之一,正常代码添加了花指令之后,可以破坏静态反汇编的过程,使反汇编的结果出现错误。错误的反汇编结果会造成破解者的分析工作大量增加,进而使之不能理解程序的结构和算法,也就很难破解程序,从而达到病毒或软件保护的目的。 二、花指令分类[2.1]可执行式花指令顾名思义,可执行式花指令指的是能够正常运行的但又不改变原始程序逻辑性的一组无用指令。这类花转载 2015-04-22 13:24:27 · 3169 阅读 · 0 评论 -
逆向分析之花指令2
一、概述“jmp/call/ret+垃圾数据”这样的花指令已经是相当“老掉牙”了,OD的插件对付它们基本是“秒杀”,所以本文想说点“有点创意”的花指令,至少能对付OD的插件。 二、创意的核心[2.1]花指令因何被发现“jmp/call/ret+垃圾数据”的方法之所以容易被检测,原因是“意图太明显”,具体说任何一种检测手段,都是基于以下两点:①检测跳转结构的固定形态特征,当然原创 2015-04-22 16:50:32 · 3107 阅读 · 0 评论 -
linux逆向分析之ElfCrackme分析
前言前段日子从IDF实验室下到了一个ELF的crackeme决定练一下手,这个crackeme的标题是breakpoint,想想一定是跟断点调试有关的一个程序,但是由于自己电脑比较渣,开虚拟机远程调试一定卡到爆,所以选择利用IDA静态调试。工具使用:IDA 、WinHex、DEV C++、cygwin、readelf静态分析过程首先利用readelf查看一下该程序的信息,是32位的原创 2015-04-15 11:18:15 · 3315 阅读 · 1 评论 -
怎么访问一个整型数里面的各个字节
刚刚在讨论字节序的问题的时候出现了这么一个问题,怎么访问一个整型变量里面的各个字节,我们知道,如果要访问这个整型最低地址一个字节的数据的话,可以通过如下方式:char a = *(char*)&整型变量名;这里先将整型数通过取地址符号获得变量的开始的地址,为什么要(char*)进行强制类型转换呢,因为对于整型数据的话,表示的就是以首地址开始的4个字节,它是一个整体,取它的地址后,地转载 2015-04-13 22:59:29 · 638 阅读 · 0 评论 -
IDA 远程调试
从4.8 版开始,IDA PRO 支持通过TCP/IP 网络对x86/AMD64 Windows PE 应用程序和Linux ELF 应用程序进行远程调试。所谓“远程调试”是指通过网络调试在另一个网络上的计算机运行的代码的过程: l 运行IDA PRO界面的计算机被称为“调试器客户端”。 l 运行被调试的应用程序的计算机被成为“调试器服务器 ”。 远程调试主要用于下面一些特殊转载 2015-04-14 21:30:58 · 1895 阅读 · 0 评论 -
linux逆向分析之ELF文件详解
前言首先如果大家遇到ELF二进制文件的逆向首先考虑的可能就是通过IDA进行静态逆向分析算法,那么我们首先就要了解ELF(Executableand Linking Format)的文件格式。ELF文件格式主要分为以下几类:1. 可重定位文件(Relocatable File),这类文件包含了代码和数据,可以被用来链接成可执行文件或共享目标文件,静态链接库也可以归为这一类,如.o文件原创 2015-04-12 13:32:48 · 12841 阅读 · 2 评论