逆向分析
文章平均质量分 73
Nightsay
the quieter you become,the more you are able to hear
展开
-
olldbg原理分析~载入程序
od载入程序时又两种方式,第一种方式是 打开,第二种方式是 附加。关于 打开,实际上是利用了CreateProcess创建一个用以调试的新进程,ollydbg接受到目标进程发生的调试事件。用od分析od,为验证我们的猜想,直接在createprocess函数上下断,运行分析,发现函数中断如下图分析函数,createprocessBOOL CreateProcess(原创 2014-12-21 20:42:47 · 1512 阅读 · 0 评论 -
【调试原理】逆向peid-判定vc
以前一直认为一个工具只要会用就可以了,可是作为一名喜欢安全的渣渣来讲,会用还远远不够,你还得了解它,欺骗它,改造它,提升它! 上一篇文章讲了如何脱掉peid0.94版本的壳 [调试原理]逆向peid_脱壳 这一篇文章对peid开始逆向分析它的原理。开始的时候,从最简单的分析起:如何判断程序有vc编译器编译的。 逆向工具:ollydbg,ida,winhex 分析对象:peid v0.94(原创 2015-04-10 12:10:20 · 1834 阅读 · 0 评论 -
【破解】扫雷去除时间限制
前一篇文章 【逆向】扫雷算法分析 主要分析了 扫雷 的部分算法(绘制雷区和生成地雷),本篇文章开始着手对扫雷进行部分破解。首先肯定要去除的就是时间校验了。 一般设置时间都会调用到SetTimer这个函数,直接找一下啊函数,果然发现程序有这个函数的调用,直接下断点 F9运行,当点击雷区的时候,程序断下0100383B |. 6A 00 push 0x0原创 2015-05-19 14:08:58 · 2576 阅读 · 0 评论 -
【反调试】去除各种反调试
前不久破解一个软件的时候遇到了各种反调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex 查壳工具:PEID 脱壳工具:ollydump插件或者LordPE 脱壳修复工具:ImportREC 逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示: 应该是文件的PE结构原创 2015-04-14 00:00:09 · 18947 阅读 · 5 评论 -
逆向-扫雷算法分析
最近思来想去,眼看着自己就要进某厂游戏安全团队实习了,也不能整天的无所事事,所以就寻思着先找点最简单的游戏用来练练手。想到之前逆向过一些小游戏,就把之前分析的扫雷整理了一下啊,写了个外挂,发了上来。原创 2015-05-06 20:03:21 · 5653 阅读 · 0 评论 -
调试原理-逆向pe-脱壳
这几天都没怎么写博客了,主要是因为在写文件系统过滤的时候老是 蓝屏,感觉心力交瘁,根本一点都不想再看内核代码,就逆向分析了一下peid的原理,前辈们关于这一块的分析的文章也很多,这里只是按照我个人的思路对peid进行逆向分析,大体弄清楚peid怎么对一个pe文件进行分析的。 工具:逆向工具:ollydbg,peid 脱壳工具:lordpe,importREC,ollydump 分析对象:pei原创 2015-04-09 01:17:25 · 1581 阅读 · 0 评论 -
对OD硬件断点的几点思考
前几天转了一片这样的文章http://blog.csdn.net/nightsay/article/details/42063081这几天在分析硬件断点的时候恍然明白了好多,打开OD在我们下硬件断点到时候为什么只有访问,写入和执行断点,为什么每种断点只有byte,word,dword类型为什么在查询硬件断点的时候发现硬件断点只能有4个原理自然明了:先回顾一下 调试寄原创 2014-12-24 13:17:56 · 3633 阅读 · 0 评论 -
逆向-360逆向writeup
Crackme逆向分析逆向第一题,很简单,分分钟能搞定。题目大致是说找一个key,提示success就行。 Peid查一下没有任何壳,是vc写的程序,里面没有知名的算法。开始分析 错误的时候是这个样子 首先这一点就能给我们以下几点提示: 1此程序是vc写的,那么得到用户输入肯定是用到getdigitemtext系列函数,通过对函数下断即可以得到用户的输入 2.比较字符串,提示错误的字符原创 2015-04-09 11:49:49 · 2238 阅读 · 1 评论 -
ollydbg原理分析~硬件断点与int3
今天继续接着上次的分析,来继续分析OD原理,这次先分析OD最基本的功能,断点,单步和运行到指定位置。类似的文章前辈们已经写了很多了,这里只是将前辈们的思路实践了一下,顺便加入一点自己的理解和认识!一般载入OD之后,往往大家会先下断点,或者直接单步运行。一般当我们着手分析一个程序的时候总是会下一个INT 3断点,其实这个就是F2的原理随便载入一个程序,点一下F2,然后用ollydbg原创 2014-12-24 13:40:16 · 4853 阅读 · 1 评论 -
双进程保护及实现
考前2个星期都一直在搞这个,然后考试周考的死去活来,全部忘光了。最近瞅了一下,发现远远没我想象的那么简单,双进程保护如果用的好的话,SMC+调试进程与被调试进程处理不同异常,的确能在很大程度上限制动态调试。 《加密与解密》上写的很简单,只是大体讲了一下思路,差不多步骤如下 1.加载或者附加一个正在运行的进程(可以用createprocess创建或者用debugactiv原创 2015-03-24 15:26:50 · 2799 阅读 · 0 评论 -
逆向入门思路
学习逆向分析已经有一段时间了,一切从无到有,从生疏到开始逐渐掌握一点点门道。今天将自己的经验做个记录,希望能大家能共同交流一起进步: 对于一个刚刚入门软件破解的新手来说,最基础也是最关键的就是下断,下断下的好坏,直接影响着一个程序能否快速的找到关键代码段,进而逆向其算法写出注册机或者爆破掉。 而一般的下断思路,无非以下几种 1 特殊函数下断(关键函数请看另一篇日志h原创 2014-12-25 01:09:00 · 1797 阅读 · 0 评论 -
调试寄存器原理
下面介绍的知识性信息来自intel IA-32手册(可以在intel的开发手册或者官方网站查到),提示和补充来自学习调试器实现时的总结。希望能给你带去有用的信息。(DRx对应任意的一个调试寄存器。LENn对应任意一个长度。Ln对应任意一个局部置位)DR0-DR7可以直接被读写操作(MOV 指令之类的,DRx可以是源操作数也可以是目的操作数) 但是,DRx的访问是需要转载 2014-12-21 20:05:47 · 1818 阅读 · 0 评论 -
c++虚函数逆向分析
虚函数表中,主要是一个类的虚函数的地址表,这张表解决了继承、覆盖的问题,保证其真实反应实际的函数。这样,在有虚函数的类的实例中分配了指向这个表的指针的内存,所以,当用父类的指针来操作一个子类的时候,这张虚函数表就显得尤为重要了,它就像一个地图一样,指明了实际所应该调用的函数。 虚函数表中,主要是一个类的虚函数的地址表,这张表解决了继承、覆盖的问题,保证其真实反应实际的函数。这样,在有虚函数的类的实原创 2015-11-22 15:27:56 · 1920 阅读 · 0 评论