网络安全学习第1篇 - 简单使用ida工具和破解分析

最新推荐文章于 2024-06-12 16:24:30 发布
最新推荐文章于 2024-06-12 16:24:30 发布
阅读量4.3k 收藏 12
点赞数 3
分类专栏: 网络安全 文章标签: ida 破解 安全 汇编 实验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guanshanyue96/article/details/89001669
版权

实验目的

目的:了解使用ida工具和破解分析(题目如下)

请使用IDA等工具逆向分析Sample_1、Sample_2以及Sample_3这三个exe文件。
说明:
1、IDA Pro下载链接:https://pan.baidu.com/s/1ErHbDG70jD-bg9eW_rEPsA
提取码:91sc
1、IDA查看地址方法:Options->General,在Line prefixes前面打勾。
2、Sample_1分析范围:0x00401000至0x0040104A;Sample_2分析范围:0x00401000至0x0040105E;Sample_3分析范围:0x00401000至0x00401062。
3、写出关键API函数的功能、重点参数的含义以及流程跳转逻辑等

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

实验内容

实验开始准备阶段:

首先下载资源,然后把自己电脑的杀毒软件关掉,因为Sample_3带有自动复制文件的功能,会被杀毒软件认为是病毒。所以要把杀毒软件关掉。

---------------------------------------------------------------------------------------------------------------------------------------------------------------------

                                                                                              Sample_1

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

1、Sample_1

通过cmd运行exe文件,首先要添加文件的后缀名,如果没有后缀名,cmd不能识别这个文件。

cmd运行程序如下:

 

 

分析代码如下:

 

.text:00401000 _wWinMain@16 proc near

 -- WinMain@16是Windows的图形界面的启动函数,VC里面的启动部分会调用这个开始程序的运行。

 -- proc near 如果你的子程序和主程序在同一个代码段,则使用near,调用发生后,主程序堆栈中只压入ip值;如果你的子程序和主程序不在一个代码段,则使用far,调用发生后,主程序堆栈中将压入cs、ip值;

 

注:

  1. 对于一个不是GUI(图形界面)的程序而言,开始的函数叫做main,对于一个非图形界面的程序来说可能没有定义这个WinMain@16函数,所以就无法找到WinMain@16。找不到就无法启动这个程序。所以你应该查看是否存在函数WinMain,如果不存在,看看是否存在main,如果存在main,修改为控制台(CONSOLE)类型就可以了,有些系统的入口点是_tmain等等,具体看手册。

 

  1. CS为代码段寄存器,IP为指令指针寄存器,从名称上我们可以看出它们和指令的关系。在CPU中,程序员能够用指令读写的部件只有寄存器,程序员可以通过改变寄存器中的内容实现对CPU的控制。CPU从何处执行指令是由CS、IP中的内容决定的,程序员可以通过改变CS、IP中的内容来控制CPU执行目标指令。

 

链接:

(3)http://blog.sina.com.cn/s/blog_6471e1bb0100i3mr.html - 关于汇编中proc near与proc far的用法

 

 

.text:00401000

.text:00401000 hInstance= dword ptr  8

.text:00401000 hPrevInstance= dword ptr  0Ch

.text:00401000 lpString1= dword ptr  10h

.text:00401000 nShowCmd= dword ptr  14h

 

解释:所有参数的大小都是dword,也就是4字节,而总共4个参数,那么就是16个字节大小,转换成16进制,就变成了10H,所以在函数调用结束后,需要10H的大小来恢复栈。

 

HINSTANCE 是“句柄型”数据类型。相当于装入到了内存的资源的ID。HINSTANCE对应的资源是instance.句柄实际上是一个 无符号长整数。但它是“句柄型”,所以你不能把它当成真的无符号长整数,拿来派别的用处,例如,不能拿来做四则运算。HINSTANCE常出现在 API 程序:

int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInst, LPSTR lpszCmdLine, int nCmdShow)

 

注:

  1. 汇编语言中PTR的含义(很全) 汇编里面ptr 是规定的字(既保留字),是用来临时指定类型的。 mov ax,word ptr [bx]; 是把内存地址等于“BX寄存器的值”的地方所存放的数据,赋予ax。 ... 总结,既有寄存器时可以,且一般不用ptr;没有时一定要用(防止当两个操作数的宽度不一样)。

 

 

.text:00401000

.text:00401000 push    ebp ;     保护先前EBP指针, EBP入栈 

.text:00401001 mov     ebp, esp ;        设置EBP指针指向栈顶

.text:00401003 mov     eax, [ebp+lpString1];    调用参数lpString1(通过栈顶指针EBP地址偏移10h得到lpString1的地址)

.text:00401006 push    offset String2  ; "2012"

.text:0040100B push    eax             ; lpString1

 

这两句push应该是在压参数。

 

.text:0040100C call    ds:lstrcmpW

.text:00401012 push    0               ; uType

.text:00401014 push    offset Caption  ; "MESSAGE"

.text:00401019 test    eax, eax

.text:0040101B jnz     short loc_4010

最低0.47元/天 解锁文章
那年白马啸西风
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2023年台州市第三届网络安全技能大赛(MISC1)
10-07
2023年台州市第三届网络安全技能大赛(MISC1)是一场聚焦于网络安全领域的专业竞赛,旨在提升参赛者在信息安全领域的实战技能和理论知识。MISC,全称为Miscellaneous,通常在网络安全竞赛中表示涵盖广泛安全问题的类别...
idaida64
04-10
总的来说,这个压缩包提供了完整的IDAIDA64环境,包括必要的库、配置、插件和脚本,用户可以立即开始进行二进制分析和逆向工程工作。对于软件开发者、安全研究人员和逆向工程师来说,这是一个非常实用的工具集合。...
ida pro破解简单的密码验证程序教程
m0_73948163的博客
04-09 1171
我们把jz改为jnz就相当于取反,如果我们不修改,输入错误的密码后所呈现的就是错误提示。但是如果取反后,我们输入错误密码就不会向下运行不会有错误提示。因为我的截图快捷键出了问题截图总是不能截好于是下面的图片是我的老师的图片(特好的一位老师):以上文章仅供参考如果写的不好还请指出。找到程序输入错误密码的语法将上面的jz修改为jnz。上面五步完成后再打开小黑屏输入任意一个密码就能打开。运行后会有小黑屏 小黑屏上方会要破解的程序的路径。打开ida然后打开桌面的test程序。但是如果输入一个正确的密码就不能打开。
7.2 IDA 破解实例
qq_55202378的博客
08-21 2738
Android逆向 IDA
1 IDA汇编 今天只看看 别人是怎么防护的 软件安全
最新发布
chenhao0568的专栏
06-12 373
能用32位的打开就是32位,否则会报错。API Monitor不改软件,只是看。
IDA的详细使用指南以及核心功能讲解
weixin_60363168的博客
11-08 7952
IDA的详细使用指南以及核心功能讲解
软件分析破解思路分享
Reveone的博客
08-28 2607
软件的分析破解与平时做ctf中的逆向题是有一定的差别的。最直观的区别体现在两者的大小。一个逆向题一般只有一两兆大小,而一般的软件动辄就是十几或几十兆大小。这无疑增大了分析的困难度,这文章将就我最近做过的一些软件的破解进行总结,文章仅供技术学习
IDA动态调试破解AliCrackme与反调试对抗
道阻且长,行则将至。
10-17 2439
文章目录前言APK破解(上)1.1 静态分析1.2 动态分析反调试对抗2.1 Ptrace2.2 全局调试2.3 反反调试APK破解(下)3.1 重新编译3.2 动态调试总结 前言 在前面的文章中 IDA动态调试破解EXE文件与分析APK流程 介绍了 IDA 对 APK 进行动态调试分析简单流程,然而实际上很多 APP 为了防止被动态调试分析,经常会做一些反调试的防护措施。本文将通过 2014 年阿里安全挑战赛的第二题 AliCrackme_2(APK下载地址),来进一步学习 APK so 文件的动态调试
OS 如何做才安全--逆向工程 - Reveal、IDA、Hopper、https抓包 等
weixin_34392906的博客
11-22 197
2019独角兽企业重金招聘Python工程师标准>>> ...
一种专用网络中的信息隐藏检测方法.pdf
08-14
在专用网络中,信息隐藏是一种常见的安全威胁,它涉及到将秘密信息嵌入到看似无害的数据中,以规避网络监控和防止数据泄露。本方法针对这种情况,提出了一个专门的信息隐藏检测策略,旨在增强网络的安全审计能力,...
Analysize-Tools:这是我开发的一些有助于分析恶意软件的工具
03-29
总的来说,"Analysize-Tools"项目为安全研究人员和IT专业人士提供了一套实用的工具,可以帮助他们更有效地检测、分析和应对日益复杂的恶意软件威胁。通过Python编程,这些工具不仅可以自动化繁琐的任务,还能与其他...
IDA 7.0 版本
08-20
逆向反编译工具IDA,7.0版本。
鳕鱼剥削::skull_and_crossbones_selector:使命召唤-漏洞和概念证明
01-28
《使命召唤》是一款非常流行的多人在线第一人称射击游戏,其 MW2 版本(Modern Warfare 2)是该系列中的一个重要章。在游戏开发中,由于各种原因,可能会存在未被发现或未修复的安全漏洞,黑客和安全研究者可以...
IDA动态调试破解EXE文件与分析APK流程
道阻且长,行则将至。
10-11 5196
文章目录前言IDA调试基础1.1 JNI函数转换1.2 快捷键使用1.3 ARM指令集IDA调试APK2.1 IDA调试步骤2.2 Apk调试实例IDA调试EXE3.1 IDA静态分析3.2 IDA动态调试总结 前言 在前一文章:JEB动态调试与篡改攻防世界Ph0en1x-100 中介绍了如何借助 JEB 调试工具对 APK 的 smali 源码进行调试分析,本文主要来看如何使用 IDA 来调试 Android 中的 native 源码,因为现在一些 app,为了安全或者效率问题,会把一些重要的功能放到
使用IDA 分析高级数据结构
热门推荐
eqera的专栏
11-29 2万+
使用 IDA汇编时,一些数据和操作数的处理方式可能并不准确。IDA 允许我们手动去修 改这些数据的类型和定义,我们甚至可以使用类似高级语言的数据结构。 一个C 语言程序 为了介绍IDA 的数据分析处理功能,我们先看一个C 语言编写的使用特殊数据类型和结构 的小程序: #include #include // our structures // ==============
IDA详细使用教程,适合逆向新手的实验报告
A1_3_9_7的博客
03-19 1348
IDA详细使用教程,原创适合逆向新手的实验报告,关于快捷键,界面展示等的介绍,推荐大家结合另一ida实操,文章食用。切实感受ida的魅力与强大。IDA全称是交互式反汇编器专业版(Interactive Disassembler Professional),人们其简称为IDAIDA pro 是业界最成熟、先进的反汇编工具之一,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器!
破解TexturePacker加密资源:使用IDA
夜风的BLOG
04-07 1万+
很多cocos2d开发的游戏,比如圣火英雄传、武侠Q传等,都使用TexturePacker加密资源。通过IDA debug so,可以破解出这些游戏的美术资源。
IDA静态分析so文件(一)
傅恒的博客
05-12 5629
本文是记录自己学习IDA的一些总结与归纳,并将其体现成具体功能,便于复习与交流,有不对之处望大家包容并指出,欢迎大家留言收藏 本IDA静态分析的第一, 本文讲解非常简单的静态分析so包 , 以便于熟悉IDA 环境 IDA pro 7.0 so包是32位 附加GitHub地址下载apk 如果出现其他问题可以参考IDA常见问题 开始 通过分析apk, 我们知道, java层调用了那些本地函数 , 实际运用也是如果 , 我们需要先分析java层代码 , 本文我们就是找到本地函数怎么对比字符串
IDAPython函数入门
SXXYNHHXX的博客
12-30 494
当前地址获取使用:idc.here()函数,或者 idc.screen_ea()函数。1.1 IDA有三个比较重要的库:IDC,idautils,idaapi.当前选择地址的开始:idc.read_selection_start()当前选择地址的结束:idc.read_selection_end()最小地址可以使用ida_ida.inf_get_min_ea()最大地址可以使用ida_ida.inf_get_max_ea()如果判断地址是否存在,可以使用idaapi.BADADDR。
网络安全工具实验调试分析
06-12
好的,网络安全工具实验调试分析是一个非常重要的工作,它可以帮助我们评估和测试我们的网络安全措施,发现和修复潜在的漏洞和安全问题。下面是一些常见的实验调试分析工具和技术: 1. 网络扫描工具:例如Nmap、Zenmap等,可以用于扫描网络上的主机和服务,发现潜在的漏洞和安全问题。 2. 漏洞扫描工具:例如Metasploit、OpenVAS等,可以用于自动化发现和利用已知漏洞,测试网络安全措施的有效性。 3. 网络抓包工具:例如Wireshark、Tcpdump等,可以用于捕获和分析网络流量,发现和排除网络问题和安全威胁。 4. 反向工程工具:例如IDA Pro、OllyDbg等,可以用于分析和理解二进制文件的结构和功能,发现和修复潜在的安全问题。 5. 安全日志分析工具:例如ELK、Splunk等,可以用于收集和分析系统和应用程序的日志,发现和响应安全事件。 总之,网络安全工具实验调试分析需要综合运用多种工具和技术,结合实际情况和需求,不断优化和完善网络安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值