逆向
liuhaidon1992
此博客主要用于记录自己业余时间学习的内容,方便复习,查看
展开
-
逆向寻找MFC程序中消息回调函数地址
用IDA打开exe文件,在Imports表中找到GetCommandMap函数,两次交叉引用,找到GetCommandMap在rdata数据段中的位置。GetMessageMap函数就在它上面地址401250处代码如下地址403618处数据如下根据下面的源码,知道403540这里就是真正的函数地址MFC中消息定义格式如下地址403540的数据按照消息格式解析如下和代码中一样...原创 2020-06-03 15:26:56 · 948 阅读 · 1 评论 -
aslr关闭工具逆向分析
用OD逆向的时候,经常发现待分析的软件开启了aslr,和IDA中的地址对不上,网上下载了一个去处aslr的工具(工具下载地址再文末),闲来无事分析看看有没有什么骚操作(然而并没有。。),简单记录一下吧总结:很简单,对x86 exe程序,可以将 IMAGE_FILE_HEADER.Characteristics中的第0号位设置为1即可关闭ASLR。链接: https://pan....原创 2020-01-15 11:45:35 · 622 阅读 · 0 评论 -
用ida打开ntoskrnel.exe很多函数名不显示的问题
原因很简单,缺少符号文件。解决方法:打开IDA目录下的文件pdb.cfg,把PDBSYM_SYMPATH = "SRV*c:\\symbols*http://symbols.mozilla.org/firefox;SRV*c:\\symbols*http://msdl.microsoft.com/download/symbols";这段前面的注释去掉,保存配置文件,重新用IDA打开ntosk...原创 2019-09-09 10:54:31 · 1872 阅读 · 0 评论