- 博客(4)
- 收藏
- 关注
原创 Shark恒【逆向笔记】
发现一个关键call我们让那个call返回不是0,那就可以做到不跳转了。竟然找到注册成功的了,跟过去,发现有个跳转越过了这里。跟进那个call,改了前面两行代码。那查找关键字“注册”
2023-05-14 21:01:54
260
1
原创 Shark恒【逆向】笔记
f9运行后,断在了系统的GetFileSize那里,那么栈顶储存的就是返回地址,直接跟随一下,就回到在哪调用的GetFileSize。脱壳后发现打开不了,据说是文件校验,下断getfilesize,因为这里主要是要要看看文件大小有没有改变吧。这个也没程序,网上找到的,peid查了查是NsPack 3.x,也是esp定律。我们把那两个ja(a:above),因为脱壳了的话文件会变大嘛,一般壳都有压缩功能了。c6c8就是文件大小吧,但好像又有点差别,不知道为啥呢。我们单步几次,可以看到两个cmp。
2023-05-09 21:45:00
163
1
原创 Shark恒【逆向】笔记
在命令行输入hw 12ffc0,因为载入od时esp为12ffc4,入口地址一般是push ebp,那么就对esp-4的地址进行写入了,所以我们在12ffc0下一个硬件写入断点,hw中的w就是write,那么设置访问断点就是hr(read),执行断点就是he。下断点,f9后程序就暂停,一直单步f8,你会看到这过程他会从注册表中获取用户名和注册码,同时栈中出现了可疑字符串很可能就是注册码,测试过确实是的。再f9运行,这里应该是了,因为之前没解密,od认不出来,现在解密了,再让od分析一下代码。
2023-05-04 22:00:00
220
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人