逆向学习 | OD And ESP(一)

最新推荐文章于 2023-09-03 22:06:36 发布
最新推荐文章于 2023-09-03 22:06:36 发布
阅读量282 收藏
点赞数
分类专栏: 【萌狼原创】逆向安全 文章标签: 安全
原创文章谢绝转载!不允许搬运!不授权任何人!
本文链接:https://blog.csdn.net/ks2686/article/details/116402379
版权

知识储备

弹信息框

1.MessageBox A/W(消息框)

弹出网页

2.ShellExecute A/W(壳执行)
3.WinExec
4.CreateProcess A/W(创建进程)

5.CreateThread(创建新线程)

注册表操作

6.RegCreateKeyEx A/W (注册创建密钥)
7.RegOpenKeyEx A/W(注册打开密钥)
8.RegDeleteKeyEx A/W(注册删除密钥)

解决内容:

启动软件后,软件自动打开一个网页

工具:

C32Asm

解决方法:

16进制打开文件,ANSI字符串或者Unicode搜索关键字(例如:http)
将搜到的符合要求的相关内容选中,右击填充数据,使用十六进制填充,填充00,修改完毕后保存即可

但是事实上,并非那么容易,想过通过一些字符信息查找的前提是这些字符没有被加密,如果这些字符被加密了是搜不到的
在这个时候,就要去使用OD了

萌狼蓝天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
inSelf.exe MessageBoxA弹窗逆向
文公子的博客
08-17 252
inSelf.exe MessageBoxA弹窗逆向 程序运行情况 2.下断要点 ``` 弹窗类型的程序调用了MessageBoxA API 主要通过API来下断点 找到MessageBoxA 对应的程序领空代码, 通过程序领空代码,上下文找到错误弹窗,分析跳转的关系 ``` 3.实践 ``` 1.OD打开程序,搜索MessageBoxA ``` 2. 跟随到MessageBoxA 3.运行代码 F9 3. 随便输入值,创建错误弹框
汇编基本指令复习,以及逆向中如何跟esp ,ebp参数
南的专栏
12-13 3832
mov eax , ebx   // eax = ebx lea eax , [ebx + 30] // eax = ebx + 30 push pop  //入栈,出栈 pushax popax //全部入栈,全部出栈 add eax,5 // eax += 5 sub eax, 5 //eax -= 6 inc eax  // eax += 1 mul  //乘法 div  /
OD动调之脱壳:使用ESP定律寻找
最新发布
32bin的博客
09-03 160
using ODUntil stopBlock!then F9!Jmp -> oep401171。
逆向入门之使用ESP定律脱壳
a3320315的博客
04-03 1358
使用ESP定律脱壳实战 查壳 载入OD 首先F8 在这么多寄存器中,只有ESP是红色的,则可以使用ESP定律来脱壳 选择好ESP地址,然后右键,在数据窗口中跟随 这个时候就来到了ESP指定的地址 然后选择几个数据(多少无所谓) 最右边三个选项随便选,都无所谓 然后点击运行,这个时候程序就会停在我们设置好的硬件断点上 然后删除硬件断点 然后一直F8 知道出现这个页面 然后右键...
逆向】【UPX】【ODdump】硬件断点后内存转储程序无法运行成功解决及脱壳步骤
lanlanla的成长历程
01-08 1588
目录 问题如下: 解决: 总结: 问题如下: 脱壳的时候我下了硬件断点:在PUSHAD的下一步查看ESPOD的左下角goto到esp指向的地址,然后右键下硬件断点。 这样再运行很容易就直接定位到了POPAD,看起来都挺顺利的,很容易找到了OEP的位置。但是内存转储出来的exe打开无效果不运行,在110版本的OD中提示:“hasentrypointoutsidethecode...
逆向分析脱壳技巧总结
10-30
了解基础概念是开始学习脱壳的第一步。 - **PUSHAD**: 这条指令通常用于保存程序的所有寄存器状态至堆栈中,被视为程序执行的入口点标志之一。 - **POPAD**: 该指令用于恢复之前由PUSHAD保存的所有寄存器状态,常...
OD常用C++断点
01-27
在软件逆向工程与调试过程中,设置断点是一项非常重要的技能。本文将详细介绍在Ollydbg(简称OD)这款流行的调试器中,如何利用C++语言特性来设置各种类型的断点,以便更高效地进行程序分析。 #### 二、API断点 在...
OD入门系列图文详细教程-做辅助起步
03-27
OD,全称OllyDbg,是一款非常知名的Windows平台下的十六进制编辑器和反汇编器,尤其在逆向工程领域中被广泛使用。本教程“OD入门系列图文详细教程-做辅助起步”旨在帮助初学者掌握OD的基础操作和应用,以便在辅助...
OD脱壳方法
12-10
逆向工程领域,脱壳是一项关键技术,用于揭示被封装或加密的程序的真实功能。本文将详细介绍如何使用OllyDbg(简称OD)这一强大的调试工具来进行脱壳操作,旨在帮助读者理解和掌握脱壳的基本原理与实践技巧。 ###...
OD 跟踪调试经验
nailgo的专栏
03-25 3563
如你要跟ebx,跟到某层遇到mov ebx, [ebp-430]之类的,不用讲,局部变量,此时在ebx下断,看ebx的值,再ctrl+f9, f8,到上一层看是怎么传进来这个参数的。比如是最后一次push传进来的,就向上一直跟最后一次push的寄存器。       向上跟数值时,遇到ebp,esp之类的,一定要仔细看。仔细分析堆栈。并不要认为上一个函数一定是堆栈平衡。       遇到跟
逆向分析学习入门教程
热门推荐
wang010366的专栏
09-17 3万+
转在于 逆向工厂(一):从hello world开始前沿从本篇起,逆向工厂带大家从程序起源讲起,领略计算机程序逆向技术,了解程序的运行机制,逆向通用技术手段和软件保护技术,更加深入地去探索逆向的魅力。一、程序如何诞生?1951年4月开始在英国牛津郡哈维尔原子能研究基地正式投入使用的英国数字计算机“哈维尔·德卡特伦”,是当时世界上仅有的十几台电脑之一。图中两人手持的“纸带”即是早期的程序,纸带通过是否
手动脱壳---ESP定律
Casuall的博客
06-04 1075
首先这篇文章不是讲ESP定律的原理,第一次接触ESP定律,跟着教程做了一遍,做个笔记,记录手动脱壳的过程。 首先载入OD,F8执行到pushad下面的call,然后观察寄存器,如果只有ESP和EIP是红色的,那么可以用ESP定律。 右键ESP的数据,选择数据窗口中跟随,可以看到左下角的数据窗口发生了跳转。 然后选择第一个数据 --> 右键 --> 断点 --> 硬件访问 --&...
逆向crackme之ESp定律脱壳
qq_58970968的博客
06-19 779
1 前言此题来自攻防世界高手进阶区的一道逆向题目 crackme,通过对可执行程序进行脱壳,该壳为北斗的壳,涉及到ESP定律,大体流程是找到call处的ESp,在数据窗口中跟随,下个硬件访问断点,就到了OEP处,用ODdump脱壳就行了。脱壳完成之后使用IDA打开查看main函数里面的伪代码写脚本,最后得到flag,这里面涉及到三个常用逆向工具的使用,exeinfope,onllydbg ida;2 工具介绍OllyDugOLLYDBG是一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring
[病毒分析]熊猫烧香(下)核心函数部分分析
网络安全知识分享
03-03 1万+
熊猫烧香(下)病毒释放过程1、loc_4081712、sub_403F8C子函数3、sub_4060D4子函数4、CopyFile和WinExe子函数 1、loc_408171 第一步 打开IDA Pro和OD载入病毒样本 打开OD转到00408171 按下F2增加断点,运行到这个地方 思考:OD重新打开断点为什么还保留着? 在OllyDbg中,它会把所有与程序后模块相关的信息保存在单独的文件中,以便在模块重新加载时继续使用。这些信息包括标签、注释、断点、监视、分析数据、条件等。 第二步,在OD
对于ESP、EBP寄存器的理解
在路上的学习者
10-04 3万+
esp是栈指针,是cpu机制决定的,push、pop 会自动
逆向学习1:52pojie第二课
zzr2zr的博客
05-21 508
52pojie第二课去广告、弹窗及主页锁定例子一1.脱壳2.C32asm搜索字符串3.OD例子2脱壳OD 去广告、弹窗及主页锁定 所用到的windows API: 1.消息框 MessageBoxA/W 2.弹网页 ShellExecuteA/W WinExec CreateProcessA/W 3.进程 CreateThread 4.注册表 RegCreateKeyExA/W RegOpenKe...
C++逆向学习入门指南:三步骤解析
该电子教程由任晓珲(A1Pass、AOnePass)撰写,旨在帮助C++逆向学习者深入理解并掌握这一领域的知识。作者通过分享其专业知识,旨在让读者不仅能够学习如何分析和理解C++软件,还能够应用到诸如查找系统漏洞、病毒...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

萌狼蓝天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值