m0_46296905的博客

本博客面向NJUPT的逆向应试，仅供参考，大佬飘过，不喜勿喷。文章目录1.windows平台的各种典型调试工具及应用的场景；2.各种典型的查壳工具名称及对应的用途；3.虚拟化环境的搭建过程中涉及的步骤、原理、工具名称；4.crackme分析的入手方法；5.压缩壳的脱壳步骤及对应的原理；ESP定律（栈平衡原理）6.花指令的原理及意义；花指令1花指令2花指令3花指令4花指令5花指令6花指令7花指令8（配合裸函数）7.olldbg典型快捷键的名称、功能；8.调试中不同断点的使用原理及使用条件（1）int 3断.

PE文件与壳一、PE文件的载入机制：（一）相对虚拟地址RVA：（二）文件偏移地址（物理地址）：二、PE文件结构简述（一）MS-DOS头部（二）PE文件头DataDirectory[16]（数据目录表）：（三）区块一、PE文件的载入机制：PE文件并不是作为单一映射文件被载入，它先被Windows加载器（PE装载器）遍历，决定哪个部分要被映射，（映射是高偏移地址对应高内存地址）。然后PE文件被载入内存，数据结构布局与原始的一致之外，数据间的相对位置不一定一致。所以某一部分的载入偏移地址不一定等于原始偏移地

接下来我们将比对C++（vector）代码与把该代码编译出的程序反编译后的ida伪代码。下面每一个标题下的第一个代码片为C++代码，第二个为ida对应伪代码。一、vector声明的C++实现与ida伪代码#include <iostream>#include <vector>using namespace std;1.声明一个向量 //声明一个int型向量 vector<int> test1; getchar(); //创建一.

脱壳入门，不喜勿喷，欢迎指正。参考《加密与解密（第四版）》0x01 壳&脱壳首先了解一下什么是壳，壳实质上是一个子程序，它在程序运行时首先取得控制权并对程序进行压缩。同时隐藏程序真正的OEP。而脱壳的过程总体分为三个步骤：查找真正的程序入口点抓取内存镜像文件重建PE文件关于壳的类型有以下几种：解压->运行解压->运行->解压.->运行解压 decoder|encoded code->decode ->excRun th.