- 博客(5)
- 收藏
- 关注
RSS订阅原创 逆向分析总结
逆向分析的两大基本功: · 核心代码的分析(分析反汇编代码). · 核心代码的定位. 2. 核心代码的定位 逆向一般是带有强烈的目的性的, 比如逆出一个程序的某种功能的实现函数,或者是逆出一个程序的流程等等. 要完成这样的功能就需要定位到具体的函数上, 然后才能分析其代码,否则在庞大的二进制流中, 信息的获取必定是极其艰难的.
2017-03-23 12:17:45
2691
原创 15PB可乐杯CrackMe01分析
1. 观察程序,发现错误时输出Error 2. 猜测程序流程: a) 使用printf输出提示字符串 b) 使用scanf获取用户输入的字符串 c) 检查输入字符串的正确性来选择输出正确字符或是错误字符串 3. 寻找突破口: a) 字符串搜索找到提示正确或错误的字符串 发现并不能找到核心流程使用的字符串(”Error”)。发生这种情况,可能是由于字符串已经被加密,所以无法识别
2017-03-23 12:08:34
426
原创 如何调试服务
1. IDA或者OD分析程序,找到启动服务(CreateService,StartService)的调用代码看是要启动哪个文件 附加Services.exe,在CreateProcessInternalW下断,就能捕获到服务进程的创建 之后可以修改参数 dwCreateFlags 为挂起状态 CREATE_SUSPENDED(0x00000004) 之后可以附加调试服务进程,附加之后,打断点
2017-03-23 11:54:51
815
原创 CrackMe分析-OD与IDA、VS结合使用
1. Kernel32: SetUnhandledExceptionFilter 设置顶层异常 2. User32:DialogBoxParamA 1. 在OD中下断点,单步跟踪异常所在 2. 分析异常,发现不是SEH,而是SetUnhandledExceptionFilter设定的回调 3. 在VS中写代码,模拟目标程序的异常 根据目标程序的异常回调,打印对应的
2017-03-23 10:38:52
773
原创 解密一个Apk程序
1. 代码使用的JNI接口,端口开放是在so文件中,这里分析一下arm中的so文件 其接口: F5,找到加密函数xxx 分析上下文,调用xxx函数时,初始化了4个Int数,可能是作为key 函数的参数大概是xxx(缓冲区,大小,密钥) 函数xxx内部,先循环异或缓冲区,之后再通过密钥数组循环加密缓冲区,在函数ecode中 原名xxxx函数中 函数内部,就是进行循环异
2017-03-23 09:38:29
1320
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人