CTF之Reverse
文章平均质量分 94
《CTF特训营:技术详解、解题方法与竞赛技巧》
「已注销」
这个作者很懒,什么都没留下…
展开
-
CTF-REVERSE练习之.NET逆向
目录预备知识.NET介绍AES加密算法ILSpy实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识.NET介绍.NET是由微软设计和开发的独立于操作系统之上的平台,其类似于Java虚拟机,无论机器运行的是哪一种操作系统,只要这个系统上安装了.NET框架,就可以在上面运行.NET开发的应用程序。因此,理论上来说,.NET程序也可以运行于Linux环境下,实际上就有一个叫做MONO的开源项目,可以支持.NET程序在Linux下运行。MSIL全称为Microsoft Intermediate Lang原创 2021-11-29 17:25:44 · 945 阅读 · 0 评论 -
CTF-REVERSE练习之病毒分析
目录预备知识相关实验7Zip在线沙箱实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识相关实验本实验要求您已经认真学习和完成了《CTF REVERSE练习之逆向初探》。7Zip7-Zip是一款开源软件。我们可以在任何一台计算机上使用7-Zip,包括用在商业用途的计算机。7-Zip适用于Windows 7/Vista/XP/2008/2003/2000/NT/ME/98。并且有面向Mac OS X、Linux、Unix平台的命令行版本。7zip使用起来十分方便,通过添加的右键菜单,可以尝试对任原创 2021-11-29 17:04:24 · 2925 阅读 · 0 评论 -
CTF-REVERSE练习之信息提取
目录预备知识相关实验C32Asm二维码Exif信息实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识相关实验本实验要求您已经认真学习和完成了《CTF REVERSE练习之逆向初探》。C32Asm一款非常不错的国产静态反编译工具,C32Asm现具有如下功能:快速静态反编译PE格式文件(Exe、Dll等),提供Hex文件编辑功能,功能强大,提供内存Dump、内存编辑、PE文件Dump、PE内存ImageSize修正等多种实用功能。通常主要将C32Asm当做16进制编辑器来使用,因为成熟的静态反编原创 2021-11-29 16:40:50 · 514 阅读 · 0 评论 -
CTF-REVERSE练习之脱壳分析
目录预备知识相关实验壳UPX实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识相关实验本实验要求您已经认真学习和完成了《CTF REVERSE练习之逆向初探》。壳在自然界中,植物用壳来保护种子,动物用壳来保护身体等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。他们附加在原程序上通过Windows加载器载入内存后,先于原始程序的执行,得到控制权,执行过程中对原始程序进行解密和还原操作,还原后再把控制权交给原始程序,执行原来的代码部分。加上外壳后,原始程序代码在磁盘原创 2021-11-29 14:22:40 · 1247 阅读 · 0 评论 -
CTF-REVERSE练习之算法分析2
目录预备知识一、相关实验二、异或运算实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识一、相关实验本实验要求您已经认真学习和完成了《CTF REVERSE练习之算法分析1》。二、异或运算异或运算是一种数学运算,英文为Exclusive OR,常常缩写成XOR。异或运算针对二进制0和1而言,其数学符号为⊕,异或运算的法则如下:0⊕0=01⊕0=10⊕1=11⊕1=0除了二进制以外,异或运算可以扩展到任意数据类型。因为我们所接触的任何数据都可以使用二进制来表示,所以可以对二进制里面的所原创 2021-11-29 11:21:47 · 1827 阅读 · 0 评论 -
CTF-REVERSE练习之算法分析1
目录预备知识一、相关实验二、PEiD密码算法分析插件三、IDA重命名等功能实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识一、相关实验本实验要求您已经认真学习和完成了《CTF REVERSE练习之API定位》。二、PEiD密码算法分析插件不管是在CTF竞赛的REVERSE题目中,还是在实际的商业产品中,很多程序都喜欢使用成熟的标准算法来作为注册算法的一个部分,如MD5、Blowfish等。这些算法本身往往就十分复杂和难以理解,如果从反汇编指令来阅读这些算法则更是难上加难。对于标准算法,实际上原创 2021-11-29 10:48:00 · 636 阅读 · 0 评论 -
CTF-REVERSE练习之API断点
目录预备知识一、相关实验二、输入表与API动态调用三、API断点四、MessageBox实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识一、相关实验本实验要求您已经认真学习和完成了《CTF REVERSE练习之逆向初探》、《CTF REVERSE练习之API定位》。二、输入表与API动态调用在逆向分析中经常会遇到输入表这个概念,输入表中保存的是在程序中调用的但定义在其他DLL中的函数信息以及对应的DLL信息。我们在程序中直接调用Windows API的时候,这些API都可以在程序的输入表中可原创 2021-11-27 14:28:57 · 628 阅读 · 0 评论 -
CTF-REVERSE练习之API定位
目录预备知识一、相关实验二、Windows API三、交叉引用实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识一、相关实验本实验要求您已经认真学习和完成了《CTF REVERSE练习之逆向初探》。二、Windows APIANSI的ASCII字符集及其派生字符集(也称多字节字符集)比较旧,而Unicode字符集比较新,固定以双字节表示一个字。Windows操作系统在声明一个API时,如果这个API存在字符串参数,便会指定字符集。每个含有字符串参数的API同时有两个版本:即ANSI,Unico原创 2021-11-27 11:38:08 · 617 阅读 · 0 评论 -
CTF-REVERSE练习之逆向初探
目录预备知识一、了解REVERSE二、PEiD三、Ollydbg四、IDA实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识一、了解REVERSEREVERSE是CTF竞赛中的一种常见题目类型,主要考察参赛选手逆向工程相关的知识,考查形式为通过对一个二进制程序(exe、dll或者是elf等)进行逆向分析,了解程序内部的实现机制,最终目的可能是得到一个密码,或者是编写一个注册机用于计算指定用户名对应的注册码等。二、PEiDPEiD是一款著名的查壳工具,其功能十分强大,几乎可以侦测出绝大部分的壳以原创 2021-11-26 15:42:27 · 3306 阅读 · 0 评论 -
逆向游乐园第八关
目录预备知识1.关于调试器和反编译工具简介2.PE查壳工具3.汇编指令4.寄存器5.Little-endian(小端序)实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于调试器和反编译工具简介OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级32位调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。IDA PRO简称IDA(Interactive Disassembler),原创 2021-11-24 15:52:06 · 239 阅读 · 0 评论 -
逆向游乐园第七关
目录预备知识1.关于调试器和反编译工具简介2.PE查壳工具3.汇编指令4.寄存器5.Little-endian(小端序)实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于调试器和反编译工具简介OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级32位调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。IDA PRO简称IDA(Interactive Disassembler),原创 2021-11-24 10:48:51 · 316 阅读 · 0 评论 -
逆向游乐园第六关
目录预备知识1.关于调试器和反编译工具简介2.PE查壳工具3.汇编指令4.寄存器5.Little-endian(小端序)实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于调试器和反编译工具简介OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级32位调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。IDA PRO简称IDA(Interactive Disassembler),原创 2021-11-23 20:24:41 · 208 阅读 · 0 评论 -
逆向游乐园第五关
目录预备知识1.关于调试器和反编译工具简介2.PE查壳工具3.汇编指令4.寄存器5.Little-endian(小端序)实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于调试器和反编译工具简介OLLYDB是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级32位调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。IDA PRO简称IDA(Interactive Disassembler),是原创 2021-11-23 19:39:59 · 269 阅读 · 0 评论 -
逆向游乐园第四关
目录预备知识1.关于调试器和反编译工具简介2.PE查壳工具3.汇编指令4.寄存器5.Little-endian(小端序)实验目的实验环境实验步骤一预备知识1.关于调试器和反编译工具简介OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级32位调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。IDA PRO简称IDA(Interactive Disassembler),是一个世界顶级的交互原创 2021-11-23 15:55:07 · 343 阅读 · 0 评论 -
逆向游乐园第三关
目录预备知识1.关于调试器和反编译工具简介2.PE查壳工具3.汇编指令4.寄存器5.Little-endian(小端序)实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于调试器和反编译工具简介OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级32位调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。IDA PRO简称IDA(Interactive Disassembler),原创 2021-11-13 12:20:07 · 204 阅读 · 0 评论 -
逆向游乐园第二关
目录预备知识1.关于调试器和反编译工具简介2.PE查壳工具3.汇编指令4.寄存器5.Little-endian(小端序)实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于调试器和反编译工具简介OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级32位调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。IDA PRO简称IDA(Interactive Disassembler),原创 2021-11-13 02:58:02 · 471 阅读 · 0 评论 -
逆向游乐园第一关
目录预备知识1.关于调试器和反编译工具简介2.PE查壳工具3.汇编指令4.寄存器5.VB相关函数6.Little-endian(小端序)实验目的实验环境实验步骤一1.去除程序弹窗2.Serial/Name算法分析3.对只要Serial的算法分析实验步骤二实验步骤三预备知识1.关于调试器和反编译工具简介OLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级32位调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前原创 2021-11-12 23:01:19 · 340 阅读 · 0 评论 -
利用单次追踪法进行脱壳
目录预备知识壳的概念UpxPEiDOllyDbg实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识基础的汇编语言命令以及对汇编程序的基本审计能力。壳的概念加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内原创 2021-11-11 11:45:23 · 591 阅读 · 0 评论 -
利用ESP定律进行脱壳
目录预备知识壳的概念UPXPEiDOllyDbg实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识基础的汇编语言命令以及对汇编程序的基本审计能力。壳的概念加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段。加壳过的程序可以直接运行,但是不能查看源代码。要经过脱壳才可以查看源代码。加壳是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内原创 2021-11-11 10:45:12 · 919 阅读 · 0 评论 -
gao定反调试机制之IsDebuggerPresent和进程枚举
目录预备知识1.关于Immunity Debugger2.IsDebuggerPresent3.进程枚举4.FS寄存器的某些偏移的含义,及TEB,PEB实验目的实验环境实验步骤一实验步骤二预备知识1.关于Immunity Debugger位于迈阿密的专业渗透测试技术公司immunity发布了一种新的工具。这种工具能够加快编写利用安全漏洞代码、分析恶意软件和二进制文件逆向工程等过程的速度。这个名为“debugger”的调试工具。immunity称,这个调试工具能够帮助研究人员和渗透测试人员把制作利用安全原创 2021-11-09 19:42:08 · 853 阅读 · 0 评论 -
符号执行-Angr
目录预备知识1.关于Angr实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于AngrAngr是一个利用python开发的二进制程序分析框架,我们可以利用这个工具尝试对一些CTF题目进行符号执行来找到正确的解答,即flag。当然,要注意的是符号执行的路径选择问题到现在依旧是一个很大的问题,换句话说也就是当我们的程序存在循环时,因为符号执行会尽量遍历所有的路径,所以每次循环之后会形成至少两个分支,当循环的次数足够多时,就会造成路径爆炸,整个机器的内存会被耗尽(我们这次分析的程序只有两个分支,原创 2021-11-09 16:33:46 · 1470 阅读 · 0 评论 -
IDAPython实战
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于IDAIDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名原创 2021-11-09 15:26:16 · 552 阅读 · 0 评论 -
IDAPython基础教程六
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于IDAIDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名原创 2021-10-31 21:43:14 · 468 阅读 · 0 评论 -
IDAPython基础教程五
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于IDAIDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名原创 2021-10-31 21:13:06 · 278 阅读 · 0 评论 -
IDAPython基础教程四
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于IDAIDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名原创 2021-10-31 13:37:22 · 224 阅读 · 0 评论 -
IDAPython基础教程三
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于IDAIDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名原创 2021-10-31 12:49:47 · 409 阅读 · 0 评论 -
IDAPython基础教程二
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于IDAIDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名原创 2021-10-31 11:32:02 · 419 阅读 · 0 评论 -
IDAPython基础教程一
目录预备知识1.关于IDA2.IDAPython实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.关于IDAIDA Pro(简称IDA)是DataRescue公司(www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂,要完全掌握它,需要很多知识。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名原创 2021-10-28 11:10:22 · 671 阅读 · 0 评论 -
pe结构分析之手工段表构建
目录预备知识实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识1.本文的数据段中涉及了有关stud_pe的使用方法和关于导入表的知识,因此建议先完成《pe结构分析之手工修复导入表》。2.了解PE文件结构:3.段表(节表)在PE中的作用。简单来说,段表是一个程序正真存放内容的地方。程序运行所执行的代码,执行中所用到的数据,都在段表这个结构之中。段表又被称为节表,英文(SECTION TABLES),是PE的核心内容,PE中的其他结构都是为了辅佐段表中的内容被正确加载和执行而产生的。4.区段名功原创 2021-10-25 22:52:41 · 342 阅读 · 0 评论 -
pe结构分析之手工修复导入表
目录预备知识实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识本实验要求实验者具备如下的相关知识。1.加密外壳中,破坏原程序的输入表是很关键的一步。在脱壳中,需要脱壳者对于pe格式中的输入表概念非常清楚。常见输入表的结构是为了表示从系统或外界调用DLL中的某些函数设计的。使用这些函数会涉及到函数名,函数所在的地址,这些分别用INT,IAT来表示。INT:全称import name table输入名称表。简单来说,INT表存放了若干指针,通过这些指针,你可以找到所调用的函数的名字。IAT:全称i原创 2021-10-25 20:32:26 · 1450 阅读 · 0 评论 -
重定位表结构解析
目录预备知识一、相关实验实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识一、相关实验本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《节表头解析以及RVA与文件偏移地址的转换》。本实验相关的基础知识都分散在前面几个实验中,所以如果你对其中有些概念还不是很熟悉的话,建议去回顾一下前面的几个实验。实验目的1)了解重定位的原理;2)了解PE文件的重定位表结构原创 2021-10-24 12:20:25 · 802 阅读 · 0 评论 -
资源结构解析
目录预备知识一、资源简介二、eXeScope实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识一、资源简介资源是PE文件中非常重要的组成部分,几乎所有的PE文件都包含有资源数据,不过与输入表和输出表相比,资源的组织方式就复杂多了。资源数据通常存放在PE文件的.rsrc节区中,不过正确找到资源段的方式是通过数据目录表的第三项来获取。二、eXeScope资源可以进行定制和修改,如更改字体、对话框,增加按钮、菜单等。如果大家有Visual C++/Visual Studio开发经验,那么一定对其修原创 2021-10-22 17:05:18 · 811 阅读 · 0 评论 -
输出表结构解析
目录预备知识一、相关实验二、输出表简介实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识一、相关实验本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《节表头解析以及RVA与文件偏移地址的转换》。本实验相关的基础知识都分散在前面几个实验中,所以如果你对其中有些概念还不是很熟悉的话,建议去回顾一下前面的几个实验。二、输出表简介DLL文件在将函数暴露给其他模块调原创 2021-10-20 14:58:47 · 381 阅读 · 0 评论 -
输入表结构解析
目录预备知识一、相关实验二、输入表简介三、API版本实验目的实验环境实验步骤一实验步骤二实验步骤三1.将十六进制数据转换为小端格式的数值2.提取ASCII字符串3.读取文件数据4.检查文件合法性并读取数据5.RVA转文件偏移值6.输入表结构解析预备知识一、相关实验本实验要求已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》、《节表头解析以及RVA与文件偏移地址的转换》。二、输入表原创 2021-10-18 23:13:59 · 587 阅读 · 0 评论 -
节表头解析以及RVA与文件偏移地址的转换
目录预备知识一、相关实验二、节区简介三、Python的struct模块1.struct.pack(fmt, v1, v2, ...)2.struct.unpack(fmt, string)3.fmt支持的部分格式如下图所示实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识一、相关实验本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》、《PE头之IMAGE_OPTIONAL_HEADER解析》。二、节区简介PE文件在DOS原创 2021-10-18 20:33:02 · 900 阅读 · 0 评论 -
PE头之IMAGE_OPTIONAL_HEADER解析
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二1.基地址与入口地址的查看2.子系统查看3.SizeOfImage验证实验步骤三预备知识一、相关实验本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》、《PE头之IMAGE_FILE_HEADER解析》。二、C32AsmC32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有W原创 2021-10-17 14:49:33 · 1915 阅读 · 0 评论 -
PE头之IMAGE_FILE_HEADER解析
目录预备知识一、相关实验二、C32Asm三、LordPE实验目的实验环境实验步骤一实验步骤二实验步骤三1.文件偏移地址(File Offset)2.基地址(ImageBase)3.程序入口点(EntryPoint)4.虚拟地址(Virtual Address,VA)5.相对虚拟地址(Relative Virtual Address,RVA)预备知识一、相关实验本实验要求您已经认真学习和完成了《IMAGE_DOS_HEADER解析》。二、C32AsmC32Asm是一款国产的16进制编辑器,可以十分方原创 2021-10-17 13:44:49 · 923 阅读 · 0 评论 -
IMAGE_DOS_HEADER解析
目录预备知识一、C32Asm二、PEiD三、StudPE四、LordPE实验目的实验环境实验步骤一实验步骤二实验步骤三1.e_magic字段2.e_lfanew字段预备知识一、C32AsmC32Asm是一款国产的16进制编辑器,可以十分方便的对二进制文件进行各种编辑操作,同时支持反汇编操作。本系列实验主要使用C32Asm作为编辑器,同类的编辑工具还有WinHex、010Editor等。二、PEiDPEiD是一款查壳工具,可以查看PE文件的加壳信息,如果文件没有被加壳,则可以识别PE文件的编译器信原创 2021-10-17 12:25:10 · 983 阅读 · 0 评论 -
PE文件之加载基址
目录预备知识ODWinhex关于PE文件的一些基础知识PE头总览DOS-根和签名(DOS-stub and Signature)文件头(File Header)ImageBase实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识ODOllydbg通常称作OD,是一个32位汇编级Microsoft的Windows的分析调试器,汇编代码的动态分析工具,特别是在源代码不可用的情况下非常有用。WinhexWinhex是一款16进制编辑器。它可以用来检查和修复各种文件、恢复删除文件、硬盘损坏造成的数据丢原创 2021-10-17 11:53:04 · 773 阅读 · 0 评论 -
radare2高阶
目录预备知识关于Radare2实验目的实验环境实验步骤一实验步骤二实验步骤三预备知识关于Radare2radare2是一个开源的逆向工程和二进制分析框架,包括反汇编、分析数据、打补丁、比较数据、搜索、替换、虚拟化等等,同时具备超强的脚本加载能力,它可以运行在几乎所有主流的平台(GNU/Linux,Windows *BSD,iOS,OSX,Solaris…)并且支持很多的cpu架构以及文件格式。radare2工程是由一系列的组件构成,这些组件可以在radare2界面或者单独被使用–比如我们将要在接下来实原创 2021-10-17 00:21:28 · 221 阅读 · 0 评论