- 博客(7)
- 收藏
- 关注
RSS订阅原创 Ollydbg使用教程学习总结(二)
把程序跑一遍之后我们发现程序有两个NAG,一个是在程序界面启动前出现,另一个是在程序关闭后出现的。去掉第一个Nag方法如下:①jmp跳过②全部nop掉③令hOwner参数为1,push 1,使其父句柄无意义④更改入口地址为401024双击这一行将下面一行中的值改为1024,如下图具体在数据窗口中定位到4000E8,按下空格键进行修改同理,可去掉第二个NAG窗口。
2024-09-02 17:11:12
原创 Ollydbg使用教程学习总结(一)
使用例子程序为Hello.exeOD基本快捷键及功能从系统DLL领空返回到程序领空,Alt+F9通过OD将程序的标题“Hello world”改为“OD Class 01”直接单步执行法按F8单步执行,找到MessageBox传参的地方,直接在数据窗口修改即可。
2024-09-02 17:10:51
3
原创 Windows系统下基于VS通过setdll调试需要远线程注入的dll
下载源代码用管理员身份启动或直到编译结束,在Detorus-master目录下的bin.X86(x64类似)文件夹下,找到setdll.exe文件。
2024-09-02 17:09:30
原创 某MFC软件注册码逆向分析(此处只谈思路)
初始状态描述:软件可以正常打开,打开后点击菜单任意按钮,则弹出机器码包含本机机器码的注册框,机器码共有XX位!输入用户名和邮箱等之后,会生成一个后缀名为.dat的文件,并提示用户需要将该文件通过电子邮件反馈给软件厂商,软件厂商反馈后缀名为.key的注册文件,通过菜单注册按钮,选择该.key文件,即可注册成功。首先利用PEID之类的查看程序的基本信息,以及是否加壳,发现并没有加壳,且是采用VC++写的。
2024-09-02 17:01:07
1
原创 IDA反编译dll库时导入C++头文件
有时候,可能因为硬盘损坏等等原因,自己曾经写的动态链接库源码丢失了,幸好对应的头文件得以保留了下来,这个动态链接库主要是某种算法的实现,并没有继承其他的一些类库,比如MFC之类的,而自己对算法的实现已经忘得差不多了,而突然又需要该算法的实现过程,那么有什么办法可以帮助我们呢?一个很好的办法就是采用IDA进行反编译,如果dll只是C语言的导出,那么反编译代码应该比较好看懂!(不过有一个难题是结构体的识别)
2024-09-02 16:59:05
141
原创 MFC软件算法逆向分析详解及技巧
对于直接使用SDK而不使用第三方库的程序,我们要定位到程序的“关键代码”并不困难。通常在CreateWindow函数或DialogBoxParam函数下断点,可以直接获得其主界面的窗口过程或对话框过程。但是对于使用了MFC的程序,我们找到的窗口过程或对话框过程是在MFC提供的程序框架的内部,经过层层的分发和筛选,消息才最终到达用户代码,直接分析起来比较繁琐。幸好,有一个Olly的脚本,可以直接帮助我们找到诸如OnOK()之类的函数。
2024-09-02 15:14:37
1
原创 基于AES加密的恶意软件逆向分析和解密过程(含文件)
首先,用IDA或Ghidra加载文件test.dat,文件为64位文件IDA点击View==>Open subviews==>Imports,查看导入信息Ghidra可以直接看到可以看到,导入函数有:导入库有一个libc.so.6,通过函数名和这个库文件,可以判断应该是linux系统下的。查看字符串:Ghidra分为字符串和Encoding,需要搜索一下才可以显示出来可以看到几个特殊的字符串:1).2).3).4).5).6)7)通过字符串。
2024-08-31 17:47:38
111
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人