crackme杂记 003

最新推荐文章于 2022-10-25 12:55:20 发布
最新推荐文章于 2022-10-25 12:55:20 发布
阅读量156 收藏
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goat_2003/article/details/119798281
版权
本文介绍了DLL劫持的基本概念,包括查找DLL文件的路径,以及如何判断是否为系统保护的DLL。此外,文章详细讲解了如何绕过CRC检测,包括利用异常处理函数设置硬件断点的方法,以及在Win10中正确实施硬件断点的注意事项。最后,提到了一种在退出函数中下断点以定位程序停止原因的技巧,并强调了正确选择dll函数地址的重要性。
摘要由CSDN通过智能技术生成

关于dll劫持的一些补充:

如何寻找dll文件,dll文件储存在两个文件夹中,一个是system32文件夹,一个是SysWOW64文件夹,但是前者储存的却是64位程序运行的环境,后者则是32位程序运行的环境。

如何知道想要劫持的dll是否为系统重点保护的,可以查看注册表里的键值,路径如下,里面的dll都是受系统保护的

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\knowndlls

当我们想要加载的是64位的dll,系统却给我们加载了32位的dll怎么办

//判断我们的进程是否为WOW64子系统下的进程
		//返回是否成功
		if (IsWow64Process((HANDLE)-1, &isWow64Process
最低0.47元/天 解锁文章
再搭环境是狗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
crackme 杂记002
goat_2003的博客
08-18 233
实现dll劫持: 首先我们需要使用到工具:AheadLIB,这个工具可以帮我们生成dll文件的cpp代码。 什么是dll劫持,就是利用程序运行时会通过搜索名字来运行dll文件的方式,自己生成一个同名的dll文件,并且放在程序的同目录下,从而使程序会使用我们自己生成的dll文件,当然程序仍会使用系统的dll文件,因为我们自己生成的dll文件有系统dll文件的入口,否则我们就需要将系统的dll文件的代码全部生成,那样工作量会非常大,所以dll劫持的意思就是先加载我们的同名dll文件然后继续运行系统的dll文件。
WINDOWS+PE权威指南读书笔记(17)
沐一 · 林 的博客
12-29 1094
目录 动态加载技术 Windows 虚拟地址空间分配: 用户态低 2GB 空间分配: 核心态高 2GB 空间分配: HelloWorld 进程空间分析: Windows 动态库技术: DLL静态调用: DLL动态调用: 导出函数起始地址实例: 在编程中使用动态加载技术: 获取 kernel32.dll 基地址: 获取 GetProcAddress 地址: 在代码中使用获取的函数地址编程: 动态API技术编程实例: 小结: 动态加载技术 该技术可以让程序设计者脱离复杂的导
完美绕开CRC32检测的无痕hook
陈子青的博客
07-18 4926
Hook英文有钩子、曲线球的意思。简单来讲就是走弯路,比如原本程序是从A到B顺序来执行,此时我们在A点做Hook,将程序执行路线变成了从A点先到C点再到B点,这个过程就叫Hook,C点这里是我们让程序走的弯路,可以通过在C点做数据加工,就可以让程序的执行出我们想要的结果。(记住此时的ABC,下文都以此为例)............
获取Kernel32基地址的几种方法-相关结构
wowolook的专栏
04-01 4659
一、几个重要的数据结构,可以通过windbg的dt命令查看其详细信息 _PEB、_PEB_LDR_DATA、_LDR_DATA_TABLE_ENTRY 二、技术原理 1、通过fs:[30h]获取当前进程的_PEB结构 2、通过_PEB的Ldr成员获取_PEB_LDR_DATA结构 3、通过_PEB_LDR_DATA的InMemoryOrderModuleList成员获取_LIST_ENT
未加载kernelbase.pdb,问题
热门推荐
如果没有如果的博客
07-11 4万+
最近在调试新电脑的时候,配置opencv感觉完全没有问题,为什么会出现这种情况,百思不得其解,又重新配置OpenCV,又是百度,又是github。搞了好长时间没弄好,不弄之后偶尔想到了一个原因,电脑显示的原因,就能调好了,也是无语.......给大家借鉴一下这个原因,,,   上代码:很基础的显示图像的代码测试新配置的opencv环境:   #include <opencv2/op...
win7编程接口的一些变化
Changju博客
11-03 1万+
原文链接:http://www.nirsoft.net/articles/windows_7_kernel_architecture_changes.html Windows 7 introduces a new set of dll files containing exported functions of many well-known WIN32 APIs. All these file
CrackMe003-AfKayAs.2
02-20
用于学习软件逆向和软件破解的Crack Me可执行文件,含破解后的文件。
新160个CrackMe算法分析.chm
最新发布
09-12
我制作的《新160个CrackMe算法分析》视频的配套文件,内含全部课件及评分。
逆向入门Crackme003-Afkayas.1
m0_57803259的博客
10-25 266
逆向入门Crackme003-Afkayas.1
绕过HS保护的CRC校验
02-25
之前写一款游戏辅助研究了下原理 不同版本的HS原理大致相同 编译的时候可能需要更新一下基址
kernel32基地址获得学习笔记
ProgrammingRing的专栏
09-08 7111
原文链接:点击打开链接 第一种方法 通过线程初始化时, 获得esp堆栈指针中的ExitThread函数的地址,然后通过搜索获得kernel32.dll的基地址。 线程在被初始化的时,其堆栈指针指向ExitThread函数的地址,windows这样做是为了通过ret返回时来调用ExitThread地址。所以一般我们可以在我们主线程的起始位置(也就是 程序入口点处)通过获得堆栈指针中E
内核库函数Kernel32.exe提供的API
~ 飞 扬 的 天 空 ~
05-02 2299
内核库函数Kernel32.exe提供的API 函数名称  说明AddAtom 向本地原子表添加一个字符串AllocConsole 为当前进程分配一个新控制台AreFileApisANSI 确定一个WIN32文件函数集是否在使用ANSI或OEM字符集代码页BackupRead 向一缓冲区读进与给定文件相关联的数据BackupSeek 在访问数据流中向前搜索BackupWrite 将数据传送到指定的
关于kernel32基地址获取
xrain_zh的专栏
03-27 5027
[-] 关于kernel32基地址获取 一shellcode获取kernel32dll基地址二获取当前进程的PID 文件名 以及完整路径 关于kernel32基地址获取 http://joychou.sinaapp.com/index.php/Reverse/teb.html 一、shellcode(获取kernel32.dll基地址) 首先了解TEB,
软件破解逆向安全(五)CRC检测
weixin_43781139的博客
11-17 6833
我们先了解一下几种对抗游戏作弊的技术: ⒈数据检测:对基础的游戏数据进行校验,例如坐标是否违规越界地图(坐标瞬移功能),人物短时间位移距离是否过大(人物加速功能)等等 ⒉CRC检测:基于游戏程序代码的检验,例如将人物移动中判断障碍物的je条件跳转修改为jmp强制跳转(人物穿墙功能)等等 ⒊封包检测:将游戏数据封包进行校验,防止利用封包漏洞实现违规操作,例如之前的穿X火线强登(可以登录任意账号)等等 ⒋机器检测:现在鹅厂 安全组好像换人了 ,游戏机器码封的都挺狠,一封就十年,不过道高...
kernelbasedll下载_kernel32.dll
weixin_39680678的博客
12-24 805
kernel32.dll是电脑系统中动态链接库文件,如果你在运行程序或游戏时,系统出现“找不到或者没有找到kernel32.dll”错误提示信息,那你可在本站下载安装此文件,下载后即可解决。华军软件园免费为您提供,希望能帮到你。相似软件版本说明软件地址kernel32.dll功能介绍kernel32.dll是Windows中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管理、数...
WIN10使用VEH+硬件断点实现不修改代码完成破解
hambaga的博客
09-01 4239
为什么要使用硬件断点? 有些程序会启动一个线程,实时检测代码节是否被修改,这样可以防止作弊者使用OD调试程序时下CC断点,这种技术叫全代码检测或CRC检测。为了绕过这种检测,大佬们想出了很多办法: 干掉CRC线程 干掉CRC函数的判断 绕过CRC检测的位置,到更底层去修改 硬件HOOK 其他HOOK,欺骗CRC检测函数(虚表HOOK) 干掉退出函数(ExitProcess) 本文介绍的是硬件断点(硬件HOOK)。 硬件断点原理 当执行到某个指令,DR0寄存器中存储了这条指令的地址,就会触发异常。如果使用
OD逆向crackme
09-02
在 [安全攻防进阶篇] 中,有关于逆向分析的教程可以帮助你了解如何使用OllyDbg逆向CrackMe程序。 OllyDbg是一种常用的逆向工具,可以用于分析和修改程序的执行流程和内存。使用内存断点和普通断点,可以在程序执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值