crackme杂记 005

最新推荐文章于 2022-04-07 16:20:52 发布
最新推荐文章于 2022-04-07 16:20:52 发布
阅读量150 收藏
点赞数 1
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goat_2003/article/details/119845475
版权
本文介绍了在分析加壳程序时如何利用creatwindowsEXA和creatwindowsEXW这两个创建窗口函数设置断点。文章指出,W版本为Unicode编码,A版本为ASCII编码,并提醒在下断点时应同时考虑两种情况。此外,还分享了IDA工具的使用技巧,如通过快捷键x查找函数引用,并提示注意可能出现的编码混淆问题,如将数据类型错误地识别为非字符类型。
摘要由CSDN通过智能技术生成

加壳的程序的断点技巧:creatwindowsEXA ,creatwindowsEXW
这两个函数是创建窗口函数,可以让我们在壳之前下断点。两个函数有什么区别呢?W是unicode编码,而A是ascii编码。而我们程序在调用API的时候,一般都会从A调用到W,就比如32位的程序,在64位的操作系统中,最后都会调用64位的API一样。当然也有例外,所以我们在下断点的时候最好两个函数都下断点。

IDA快捷键: x可以查看引用函数的位置。
ida有时候字符串感觉有些怪异的话,比如特别短,可能是因为unicode编码被当成了ascii编码,可以选择修改

在这里插入图片描述
如上图所示,(BYTE)(i+a2)是不是看着感觉怪怪的,出现这种情况,很有可能是a2的数据类型给搞错了,将阿
数据类型改为char* 型,
在这里插入图片描述

再搭环境是狗
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CrackMe005全破详解
逆向驿站
01-20 680
前言 “CrackMe005,都说比较变态,很多人给放过去了,但是我还是决定上了它,既然变态就分两篇,上篇先实际说流程,到底应该怎么上它,下篇会告诉逆向分析的过程和方法” 版权保护,全文阅读请点击全文链接,谢谢 全文链接 CrackMe005全破详解 https://mp.weixin.qq.com/s/ckx0brqQsfYjYlPwrSKNyg ** 最后喜欢的请关注,定期发布逆向破解、病...
反调试学习
haodawei123的博客
12-18 233
1、PEB反调试 BeingDebugged :1 NtGlobalFlag :0x70 ```cpp #include "..//ntdll//ntdll.h"//导入ntdll.h头文件 #pragma comment(lib, "..//ntdll//ntdll_x86.lib")//静态链接库 #define OUTMESSAGE(a,b) printf("%-36s %s\n",...
crackme005
weixin_52971884的博客
04-07 274
一、CrackMe2.exe基本信息 1.1运行情况 1.2 32位VB程序,无壳 二、OD打开分析 2.1根据搜索字符串到底关键函数 2.2分析主要判断 三、破解方法 #include<string.h> #include<stdio.h> int main() { char name[256] = {0}; char Serial[256] = {0}; scanf("%s",name); int len=strlen(name); for(int i=0;i
阻止删除文件(文件占坑)+nevergone逆向代码一份
daiafei
03-25 3760
文章来源:http://forum.eviloctal.com/thread-32738-1-3.html 信息来源:邪恶八进制信息安全团队(www.eviloctal.com) 逆向作者:nevergone 作者:Written by 风泽(EvilHsu)[E.S.T] 真正的技术作者是DebugMan上《ring3文件占坑大法》的作者。 介绍: dhfile是参
crackme杂记
goat_2003的博客
08-31 316
关于PDB文件和debug的关系,PDB文件中存储着程序的符号文件,因为只是debug是放不下那么多的。 易语言按钮事件特征码:FF 55 FC 5F 5E,准确来说是易语言控件消息的必经之地,包括时钟调用都一定会经过这个特征码。 寻找易语言的MFC按钮事件特征,我们已经知道了MFC按钮事件的特征码,并且再_AfxDispatchCmdMsg函数中第四个参数是按钮的函数,可是当我们在易语言程序中这样寻找时,却发现,没找到特征码,是因为易语言并不纯粹是MFC,还包含了一些其他的东西,实际上易语言的按钮事件是.
crackme杂记 006
goat_2003的博客
08-22 142
c语言中什么函数执行的最早? main函数吗?不是,还有更早执行的函数,比如初始化全局变量的构造函数。我们都知道,od在反汇编一个exe的时候会停止在oep的位置上,那么有比oep还要更早执行的函数吗?有的,比如TLS。 既然tls比ebp都早,那么我们是否可以利用到它呢?比如反调试,如下图代码 #include<iostream> #include<tchar.h> #include"ntdll/ntdll.h" #include<windows.h> DWORD i
crackme 杂记002
goat_2003的博客
08-18 233
实现dll劫持: 首先我们需要使用到工具:AheadLIB,这个工具可以帮我们生成dll文件的cpp代码。 什么是dll劫持,就是利用程序运行时会通过搜索名字来运行dll文件的方式,自己生成一个同名的dll文件,并且放在程序的同目录下,从而使程序会使用我们自己生成的dll文件,当然程序仍会使用系统的dll文件,因为我们自己生成的dll文件有系统dll文件的入口,否则我们就需要将系统的dll文件的代码全部生成,那样工作量会非常大,所以dll劫持的意思就是先加载我们的同名dll文件然后继续运行系统的dll文件。
crackme杂记 003
goat_2003的博客
08-19 156
关于dll劫持的一些补充: 如何寻找dll文件,dll文件储存在两个文件夹中,一个是system32文件夹,一个是SysWOW64文件夹,但是前者储存的却是64位程序运行的环境,后者则是32位程序运行的环境。 如何知道想要劫持的dll是否为系统重点保护的,可以查看注册表里的键值,路径如下,里面的dll都是受系统保护的 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\knowndlls 当我们想要加载的是64位的dll,
CrackMe005 - ajj.2
02-25
用于学习软件逆向和软件破解的Crack Me可执行文件,含破解后的文件。
crackme杂记007
goat_2003的博客
08-23 153
花指令的特征: 遇到这种指令,可以立即判断出这是一个花指令,所以花指令较多的话,我们也可以通过搜索代码的方式快速去除 如上图,我们已经知道 E8 01 00 00 00 ?? ?? ?? ?? ?? C3 是花指令,所以我们直接搜索这擦混代码一个一个nop就可以了。 易语言中的特征码: 想要搜索易语言程序的特征码,最好在程序的开始位置搜索, 1.字符串比较函数的特征码: test edx,3 执行到这里停住以后,注意观察ECX,EDX寄存器,比骄傲的字符串一定就在这两个寄存器里面,并且我们可以放根据找
nck课程笔记:破解补丁工具的使用
goat_2003的博客
06-27 1673
破解一个程序的时候我们可以通过搜索字符串的方式来寻找关键点,那么假如我们在编写一个程序的时候,怎么提防这种简单的暴破方式呢? 上一篇文章中已经提到过od里面实现搜索字符串功能是一个插件,视频中的作者给我们展示了一下这个插件的源码,下图是插件的核心函数: 可以看出,该函数显示读取整个模块的内存,然后开始寻找push,mov,lea指令,并读取他们的操作数,当他读到’\0’的时候就认为这是一个字符串,但是问题也来了,如下图 我们可以看到,上图的push ebp中的ebp是以\0结尾的,但是很明显,这
main函数和WinMain 函数
goat_2003的博客
06-18 586
Windows支持两种类型的应用程序: 一种是基于控制台用户界面的应用程序(Console User Interface,简称CUI), 另一种是基于图形用户界面的程序(Graphic User Interface,简称GUI)。 main函数和WinMain 函数是分别做为CUI和GUI的进入点函数被使用的。 但请注意一点,OS 本身不会调用我们编写的进入点函数(main 或WinMain),它调用的是 C/C++运行期启动函数。 ———————————————— 版权声明:本文为CSDN博主「jia
BUU_re_[ACTF新生赛2020]usualCrypt
goat_2003的博客
09-04 243
首先拖入ida中 int __cdecl main(int argc, const char **argv, const char **envp) { int v3; // esi int result; // eax int v5[3]; // [esp+8h] [ebp-74h] BYREF __int16 v6; // [esp+14h] [ebp-68h] char v7; // [esp+16h] [ebp-66h] char v8[100]; // [esp+18h] [
BUUCTF reverse 刮开有奖
goat_2003的博客
06-18 191
每天一道ctf,能多不能少 题目链接 下载好以后双击点开 发现是这么个玩意儿,但我们却没法对它进行操作,好吧,查一下壳,然后直接用ida打开,查看主函数,这里我发现主函数是这种的 学识短浅的我只能去百度,大概了解了一下:windows支持两种应用程序,一种是一种是基于控制台用户界面的应用程序(Console User Interface,简称CUI),另一种是基于图形用户界面的程序(Graphic User Interface,简称GUI)。然后main函数和WinMain函数分别是这两种应用程序的主函
crackme 004
goat_2003的博客
08-13 113
这道题是169道crackme 004 先打开程序,程序如下图。 根据同时下载好的txt文档可以知道,如果注册成功会出现朱茵的美图。好了,直接拖入od试一试。 还是先试试中文搜索,可以发现有个注册成功字符串。那么我们直接双击进去,往上查找,可以看到一个jnz,但是是往上跳的,继续网上找,看到了一个关键跳 刚好跳过了注册成功,直接nop填充,破解成功。可以看到朱茵的美照。 然后再试一试不用中文搜索的方法。 查看一下api函数,emm…数不清有多少个,肯定搞不了了,还是算了,直接注册机吧。 由于这个是del
2021-06-14
goat_2003的博客
06-14 111
esp定律脱壳 ————————————纯属个人理解,如有不对求大佬指正。 看了好多关于esp定律脱壳的文章,都没看懂,o(≧口≦)o,可能是本人太笨了吧。所以就来浅谈一下自己对于esp脱壳的理解。 个人对于esp脱壳的理解是先把壳跑完,此时的oep就是真正的程序入口。然后再将源程序通过工具dump出来为一个exe文件,再进行一些修复操作,就脱壳完毕了。 接下来是实战操作 ┭┮﹏┭┮ ,我直接通过buuctf里的新年快乐题目来操作吧。 查壳 首先拖入ide中,我们会发现只有两个函数,是不是很可疑, 所以我
crackme杂记 004
goat_2003的博客
08-20 90
创建窗口函数: CreatWindowsExA,有时候想要找信息窗口找不到的话可以通过这个函数查找。 花指令:花指令就是类似于jmp,call,ret的指令用来影响我们正常进行反汇编,比如使用花指令的话,IDA就无法正常编译汇编代码。 举例: 如上图,我们自己写了一个裸函数,可以看到,先写一个jmp Lable,跳转到下面的Lable函数,然后通过 _emit 0e8h 写入一个e8,但是我们知道,e8是call对应的硬编码,所以od就会认为这是一个call ,但是call后面都会跟着一个地址啊,所以od
OD逆向crackme
最新发布
09-02
在 [安全攻防进阶篇] 中,有关于逆向分析的教程可以帮助你了解如何使用OllyDbg逆向CrackMe程序。 OllyDbg是一种常用的逆向工具,可以用于分析和修改程序的执行流程和内存。使用内存断点和普通断点,可以在程序执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值