大哥一声吼

PDB（Program Debugging Database）就是在生成EXE 和 DLL 文件的过程中生成的这个文件，可以帮助进行调试。为什么x64dbg 没有将PDB 文件集成到软件中呢？主要是PDB 文件太大了，在分发安装包的时候会很大，也不方便x64dbg 版本的更新等。

F5大法，按下之后，一起都清晰了，这里是IDA 根据汇编语言提供的伪代码功能，与我们写的源代码基本一致，这个F5 功能还是非常使用、也是高频使用的一个功能。这种看起来非常不舒服，如果不熟悉汇编语言的话，分析起来还是很吃力的，不过IDA 提供了一个非常棒的功能。之前我们看到的代码都是下面这种，以反汇编的形势展示的。上一节，我们分析了main 函数整体的流程，

软件启动后会 有几个选项，一般直接选择Go即可之后的工作台布局如下分析的第一个，将PE 文件拖入工作区刚开始接触，我们先保持默认选项，其它选项后面会详细讲解，点击OK 后，等待分析完成分析后的界面布局如下默认是流程化显示汇编代码，可以按空格转换为正常模式，这里自动定位到main函数了我们先分析下 main 函数的整体流程，将main 函数的反汇编代码复制过来将ebp 寄存器入栈，上面的都是一些描述信息，暂时忽略，我们从这一行开始将esp 寄存器赋值给ebp。

工具就不过多介绍了，二进制分析界 的天花板工具，没有之一。运行下图中的程序，会自动设置好软件，并且在桌面添加快捷方式。下载完工具后，解压到没有。最好是在虚拟机下面运行。

PE 文件格式由一个线性的数据流组成，由一个DOS 头开始，接着是一个PE 文件头。这些之后是所偶的区块部，包含重分配信息、符号表信息以及字符串表数据。

peda 安装过程详解

R0-R3:用于函数参数及返回值的传递R4-R6, R8, R10-R11:没有特殊规定，就是普通的通用寄存器R7:栈帧指针(Frame Pointer).指向前一个保存的栈帧(stack frame)和链接寄存器(link register， lr)在栈上的地址。R9:操作系统保留R12:又叫IP(intra-procedure scratch )R13:又叫SP(stack poin...

1、立即数寻址也叫立即寻址，是一种特殊的寻址方式，操作数本身包含在指令中，只要取出指令也就取到了操作数。这个操作数叫做立即数，对应的寻址方式叫做立即寻址。例如：MOV R0,#64 ；R0 ← 642、寄存器寻址寄存器寻址就是利用寄存器中的数值作为操作数，也称为寄存器直接寻址。例如：ADD R0，R1， R2 ；R0 ← R1 + R23、 寄存器间接寻址寄存器间接寻址就...

这个需求呢，类似于OD 中的直接nop，碰到各种奇葩的反调试，暴力nop 掉最省事了。那么IDA pro中的nop 在哪里呢？这个需要好好找一找，下面贴出图片

确定系统环境下载jdk下载地址如下https://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html注意下载包的选择，这里我们选择源码包安装，虽然ubuntu 可以通过 apt-get install 安装 rpm ，但是还是不能正常执行后续的安装解...

dex是apk中的主要文件要想手工脱壳，首先要对dex文件格式有了解重点关注内容可以放在dex文件的头部信息随便找个apk文件，解压出dex文件内容，用010editor编辑器直接打开魔术符另一个关键的地方就是file_size（脱壳的时候根据dex.035.的地址作为起始位置+file_size大小就是dex文件的终止位置）对文件属性进行...

使用frida运行py脚本时，出现下述问题Traceback (most recent call last): File "test.py", line 16, in <module> session=device.attach(uri) File "C:\Python\Python37\lib\site-packages\frida\core.py", l...