第一天
下载工具:
- IDA Pro 7.0 : https://www.52pojie.cn/thread-675251-1-1.html
- PandDownload: https://www.52pojie.cn/thread-644721-1-1.html
- OllyDbg: https://www.52pojie.cn/thread-350397-1-1.html
第二天
函数调用约定:
__cdecl:C调用约定,由调用者平衡堆栈,例如函数test1(arg1, arg2, arg3);
push arg3; 参数入栈
push arg2;
push arg1;
call test1;
add esp, 0x0C; 平衡堆栈,三个参数(0x4*3=0xC)
__stdcl:标准调用约定,由被调用的函数平衡堆栈,同上例;
push arg3;
push arg2;
push arg1;
call test1; 在test1函数内自己平衡堆栈。
OllyDbg调试技巧:
- 遇到循环的时候可以在循环结束的下一条指令下一个断点,然后点击
[Run program]或者F9执行程序到断点,就可以跳过漫长的循环执行。 - EAX是函数的返回值,注意要经常观察返回值,判断函数的执行是否成功!
- ECX常做为循环的计数值,在动态调试的时候也要注重同IDA中的汇编代码对比,这样比较容易找到程序执行的流程。
- 很重要的两个调试快捷键,
F7单步步进,即进入被调用的函数内一步步执行;F8单步步过,同前者相反;调试过程中需要灵活使用这两种调试方式,
避免不必要调试过程。
其他:
- HFS:HTTP File Server,一个用来简单搭建本地http文件服务器的软件,使用很方便。
- 修改HOSTS文件使得域名指向本机,就可以访问HFS搭建的东西了。
- 几个和网络相关的函数的作用:
- InternetOpenA:初始化一个应用对于WinInet网络函数的使用,返回一个句柄,类型为
hInternet。
https://docs.microsoft.com/en-us/windows/win32/api/wininet/nf-wininet-internetopena - InternetOpenUrlA:打开由完整FTP或HTTP URL指定的资源,第一个参数为上一个函数返回的句柄。
https://docs.microsoft.com/en-us/windows/win32/api/wininet/nf-wininet-internetopenurla - InternetCloseHandle:唯一的一个参数
hInternet,关闭句柄。 - InternetCheckConnectionA:检查本机是否连接到外网,允许应用程序检查是否可以建立与Internet的连接;
https://docs.microsoft.com/en-us/windows/win32/api/wininet/nf-wininet-internetcheckconnectiona - InternetReadFile:读取参数中目标URL的文件数据。
从InternetOpenUrl, FtpOpenFile或 HttpOpenRequest函数打开的句柄中读取数据。
https://docs.microsoft.com/en-us/windows/win32/api/wininet/nf-wininet-internetreadfile
- InternetOpenA:初始化一个应用对于WinInet网络函数的使用,返回一个句柄,类型为
扫一扫
1342
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
