2021-02-07

最新推荐文章于 2022-02-28 17:13:07 发布
最新推荐文章于 2022-02-28 17:13:07 发布
阅读量117 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keilaien/article/details/113746064
版权

初步调试

从最简单的helloworld开始学习逆向分析,首先用vs c++生成win32位的程序。

#include "windows.h"
#include "tchar.h"

int _tmain(int argc, TCHAR* argv[])
{
	MessageBox(
		NULL,
		L"Hello World!",
		L"www.reversecore.com",
		MB_OK);
	return 0;
}

选择release模式生成可执行文件。helloworld.cpp源码文件是由c语言编写的,而helloworld。exe可执行文件是二进制文件,分析二进制文件通常使用调试器实用工具。通过其将二进制代码转换为汇编代码。

在这里插入图片描述

调试器停止的地点为helloworld的起始地址,是一段EP代码。EP代码是windows可执行文件的代码入口点。我们的目标是再mian函数中找到MessageBox()函数的代码。图中最右侧区域中是od的注释,其中红字的部分是代码中调用的API函数名称,注释部分只需要看调用的API函数名称,API函数并不是在源代码中调用的函数。这些函数是vs为了保证系统正常运行而自动添加的启动函数。根据不同的编译器类型与版本,启动函数也会有所不同。

1.先通过call指令,F7进入A91638函数。
在这里插入图片描述
可以看到在A91682处有RETN指令,它用于返回到函数调用者的下一条指令,一般是被调用函数的最后一句。即返回A91274。

2.执行A91682处RETN指令后,返回A91274。执行jmp指令
在这里插入图片描述
代码看上去比较复杂,这就是vs++的启动函数。初次调试不太能区分用户函数以及启动函数的区别。但在反复调试是过程中会发现由vs编写的执行文件大多与上述形式相同。

3.查找main函数
从A910ED地址开始逐步执行F7指令(F8不会进入call函数指向的地址)
移动到A910F4地址处的call 00A91930函数的调用指令,执行F7,进入A91930函数
在这里插入图片描述
因为没有在代码中发现MessageBox()API的代码所以应该不是。执行ctrl+F9跳转至A91973的RETN,跳出函数。继续调试,遇到函数就进入函数查看代码,确认是否为main函数,若不是则跳出,以相同方式继续调试。

若调试正常,则会发现
在这里插入图片描述
出现调用MessageBox()API的代码,该函数的参数为"Hello World!“和"www.reversecore.com”,与helloworld的cpp源码相同,由此确定这是main函数。

keilaien
关注
2021-07-02
yuge1023的博客
07-02 2344
股指今天单边下跌。IF/IH都跌了2%以上。 贵金属、黑色系日线都横盘收敛了。 不知道什么原因,昨晚原油高开,豆粕也高开。 原油沥青PTA都是日线级别多头,指不定什么时候继续上涨,是不是应该做多隔夜,或者逢低买入。 纯碱尾盘收高了 豆粕增仓6万手。 棕榈最强。 郑棉增仓4万手,日线级别突破了。 鸡蛋今天单边下跌2.7%,生猪横盘震荡。 ...
2021-07-03
w364767614的博客
07-03 284
上次基本上提到的动态范围调整的一些基本概念,模块图等,这次继续说它的原理。 如果简单的说一个DRC,应该很快就可以说完,但随着分析的深入,如果考虑 soft knee,attack time,release time,RMS peak detect 这些细节问题,DRC就变得一个较为复杂的事情了..... 不过相对于音频算法的其他模块,AEC,NR来讲,这个算是最简单模块了,因为至少它处理的还只是 线性...
反汇编修改Hello World程序
qq_39249347的博客
08-08 1387
编写HelloWorld.exe程序 #include "windows.h" #include "tchar.h" int _tmain(int argc, TCHAR *argv[]) { MessageBox(NULL, L"Hello World!", L"www.reversecore.com", MB_OK); return 0; }
逆向分析并修改Hello World程序《逆向工程核心原理》《软件逆向工程原理与实践》
Hardworking666的博客
02-28 2152
文章目录OllyDbg窗口及快捷键步骤1:VS生成需逆向的文件步骤2:OllyDbg中打开该程序的exe文件,找到需修改的位置步骤3:修改修改一:修改指令修改2:修改字符串 OllyDbg窗口及快捷键 步骤1:VS生成需逆向的文件 visual studio新建工程文件,编译以下程序时选择visual studio的Release模式,减少调试信息。点击本地windows调试器进行编译运行。 #include "windows.h" #include "tchar.h" int _tmain(int..
gdb高级调试——反向调试
thz2011的专栏
01-02 3614
普通的调试过程都是只能让程序按正向的顺序执行,直到程序运行结束,单步调试也是只能下一步下一步。而反向调试可以实现的是,让程序实现上一步上一步的操作,也就是说让程序反向运行。 首先要强调的一点是反向调试不适用io操作,碰到io操作是无法运行下去的。所以反向测试的时候,需要保证要调试的那部分代码没有输入输出操作。还有就是GDB7.0以上的版本的调试器才支持反向调试,这个功能目前不是很完美,不过正常的使
vs自带的调试方法高级应用,回退,和在线修改
weixin_34357887的博客
11-12 1805
总结一下最近关于vs自带的调试上的一些便捷用法: 1)断点处调试对象 在条件选项中有可以加上对当前断点的一些条件判断; 在命中次数中可以设置其命中的次数,比如第3000次命中后执行等。。。; 断点筛选器跟条件选项的设置差不多,也是根据某些调件来进行调试 其余的使用起来也很简单; 2)同样断点也可以移动位置,比如说a->b-&g...
高技术:程序的反向调试
train的专栏
08-07 691
<br />以前程序的调试过程都是一步一步的向后调试,现在的调试器可以做到一步一步向前调试。<br />反向调试的基本原理为 record/replay。将被调试进程的执行过程录制下来,然后便可以像 DVD 一样的任意反向或正向回放。因此,为了使用反向调试,您首先需要使用 record 命令进行录制。<br />1. gdb7.0 推出了反向调试<br />http://www.ibm.com/developerworks/cn/linux/l-cn-gdb7rd/<br />2. VS2010 也推出了反
HW3_2021-02-07
03-11
标题“HW3_2021-02-07”和描述中的信息比较简单,看起来像是一个课程作业或项目的一部分,可能是指2021年2月7日提交的第三次作业或任务,代号为“HW3”。由于标签是"C#",我们可以推测这是一项与C#编程语言相关的...
第2章 RMQ-2021-02-07.pdf
02-07
根据提供的文档内容,我们可以深入探讨RMQ问题及其解决方法之一:ST算法。 ### RMQ问题概述 RMQ问题,全称为Range Minimum Query / Range Maximum Query(区间最小值查询/区间最大值查询),指的是在一个给定的...
2020-2021家居行业年度盘点报告-20210207FF_2021-02-07.pdf
04-08
2020-2021家居行业年度盘点报告-20210207FF_2021-02-07.pdf
2020-2021家居行业年度盘点报告-20210207FF_2021-02-07.rar
09-04
报告标题:“2020-2021家居行业年度盘点报告-20210207FF” 这份报告是对2020年至2021年家居行业的深度分析和总结,它揭示了过去一年中家居市场的主要趋势、挑战以及机遇。报告的发布日期为2021年2月7日,表明它包含...
Microsoft Visual C++ 逆向第二部分:类、方法和RTTI
u013043103的博客
08-09 1181
Microsoft Visual c++是Win32使用最广泛的编译器,所以Win32逆向工作者熟悉其内部工作方式是很重要的。能够识别编译器生成的粘合代码有助于快速将注意力集中在程序员编写的实际代码上。它还有助于恢复项目的高层结构。在这篇由2部分组成的文章的第二部分(请参阅:第一部分:异常处理)中,我将介绍如何在MSVC中实现c++机制,包括类布局、虚函数、RTTI。假如您熟悉基本的c++和汇编语言。 基本类布局 为了说明下面的内容,让我们思考这个简单的例子: class A { ...
VS2017,F12直接到反编译的源码
qq_33435149的博客
01-03 1万+
工具&gt;选项&gt;文本编辑器&gt;c#&gt;高级&gt;启用导航到反编译源
逆向与破解-基础理论
iamsongyu的博客
10-31 5069
虽然很早就喜欢想要学习,但最早接触逆向的时候还是研一,那个时候的一本《加密与解密》真的给了我特别大的帮助,它的基础讲的通俗易懂,小例子程序也很到位,可以让新手或有点基础的迅速掌握基本的理论和工具使用。 回过头来现在已经搞了将近以一年多的恶意代码检测和WEB安全相关的东西,不过逆向并没有落下,因为恶意代码检测也涉及了不少系统的核心原理,例如堆栈,异常处理机制,程序调试等。 工欲善其事,必先利其器...
VS】Visual Studio 就可以反编译查看源码了,再见了 Reflector
热门推荐
guliang21的专栏
05-23 2万+
以前需要反编译的时候,一直都是用的神器 Reflector。但毕竟还是有点不方便,因为要从 VS 切换到另一个工具。而且,Reflector 现在收费了。 然而现在才发现,原来 VS 已经自带反编译功能了,不愧是宇宙第一 IDE。 工具 → 选项 → 文本编辑器 → c#>高级 → 启用导航到反编译源 勾上以后, F12 就可以直接查看反编译后的源代码了。 ...
【开发心得】VS无法卸载的逆向解决
知止不殆
08-26 1661
这两天需要重新整理一下系统,重新安装一下VS2012(老版本,一直未升级),结果忽然发现竟然不能卸载了,还好功夫不负有心人,最终还是解决了,这个解决方案比较特殊,仅适用于类似情况。 首先,用微软提供的官方解决方案, vs_ultimate /uninstall /force 也不行,一直报如下错误,按照网上说的,重新启动,删除一些插件,也没有用: 网上说需要重新安装系统,本着追究问题原因的思路,还是没有放弃。先把上图中的日志文件打开看, 发现这个错误,原来是把VS安装在虚拟盘上的,这次.
结果是这样的,没有根据id排:start_date end_date 0 2020-01-15 2020-04-27 1 2020-09-30 2020-10-10 2 2021-02-07 2021-02-22 3 2021-03-06 2021-03-24 4 2020-01-21 2020-03-03 .. ... ... 639 2021-03-09 2021-03-18 640 2021-03-24 2021-04-01 641 2020-01-12 2020-04-19 642 2021-02-09 2021-02-18 643 2020-01-18 2020-03-09
最新发布
06-03
如果你想根据企业id对结果进行排序,可以在输出结果之前加上一行代码: ```python result = result.sort_values(by=['id']) ``` 此代码将会根据id对结果进行排序,使得每个企业的结果排在一起。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值