软件逆向
文章平均质量分 70
° LuK
这个作者很懒,什么都没留下…
展开
-
防范DLL劫持
防范DLL劫持原创 2022-07-11 17:57:07 · 1571 阅读 · 1 评论 -
脱壳之Pediy未知加密壳
一、简单分析1.大致浏览寻找OEP地址,填充IAT的地址,获取API的地址,初步编写通用脚本①OEP②填充IAT地址③获取API地址将地址填入脚本,进行测试// 1.定义变量MOV dwOEP,0047148B MOV dwGetAPI,001E1914 MOV dwWriteIAT,001E0897 // 2. 清除环境BC // 清除所有软件断点BPHWC // 清除所有硬件断点BPMC // 清除内存断点// 3. 设置断点BPHWS dwOEP,原创 2021-12-29 09:39:22 · 459 阅读 · 0 评论 -
脱壳之简单加密壳
一、简单分析与解密 脱壳最重要的三步:找原始OEP,转存文件,修复文件 压缩壳按照这三步就可以完成脱壳,而加密壳因为对PE文件的信息进行了加密处理,找到OEP只是刚开始,还需要将加密之后的代码、数据进行还原才能够完成脱壳 注:遇到未知壳最通用的办法还是单步跟踪,将程序载入OD,到达OEP1.找OEP 先看代码段,查看IAT调用的opcode, 是FF15还是FF25, FF15就是VS程序,FF25就是宝蓝公司的程序。再看链接器版本,6.0,可以确定是VC6.0所以调试程序,设置a原创 2021-12-29 09:22:59 · 3329 阅读 · 0 评论 -
脱壳之aspack压缩壳
一般再执行Shell部分代码时,会先保存上下文环境,使用push指令(pushad/pushfd),执行Shell部分代码之后,再使用pop指令(popad/popfd)恢复环境,使堆栈平衡,故使用ESP定律进行简单脱壳。1.使用OD加载程序,发现pushad指令,判断程序已加壳。2.按下F8单步步过,使得程序走到CALL的位置,然后对ESP下断点,再将程序运行起来3.程序断下来的地方即为pop的地方4.F8单步步过,找到原始OEP5.在原始OEP处,右键菜单,选择用OllyDu原创 2021-12-29 09:01:05 · 1835 阅读 · 0 评论 -
逆向分析常用断点
拦截窗口:bp CreateWindow 创建窗口bp CreateWindowEx(A) 创建窗口bp ShowWindow 显示窗口bp UpdateWindow 更新窗口bp GetWindowText(A) 获取窗口文本拦截消息框:bp MessageBox(A) 创建消息框bp MessageBoxExA 创建消息框bp MessageBoxIndirect(A) 创建定制消息框拦截警告声:bp MessageBeep 发出系统警告声(如果没有声卡就直接驱动系统喇叭发声)拦原创 2021-12-19 17:10:46 · 797 阅读 · 0 评论 -
分析OD插件原理及反反调试插件的制作
1.OllyDbg,文中均简称为OD。OD的插件本质上就是一个到处有指定函数的DLL文件,这些按照指定名称、指定格式导出的函数会在OD执行到某一阶段或触发某个事件时主动调用。OD启动时会遍历指定目录下的所有DLL文件并加载,然后根据插件返回的API版本信息决定是否继续加载,如果API版本不符合则会卸载此插件。// OD 2.0 版本的插件接口#define PLUGIN_VERSION 0x02010001 // Version 2.01.0001 of plugin interface原创 2021-12-09 16:23:44 · 2044 阅读 · 0 评论 -
异常类Crackerme分析
1.CRACKME 界面 及OD分析初次尝试,使用OD打开,直接冲字符串我????上IDA2.使用IDA打开CRACKME程序按空格切换为Graph模式便于我们分析3.分析思路①先将比较明显的数据变更为便于我们分析的名称来源于百度百科:MSG是Windows程序中的结构体。在Windows程序中,消息是由MSG结构体来表示的。成员变量含义:第一个成员变量hwnd表示消息所属的窗口;第二个成员变量message指定了消息的标识符。第三、第四个成员变量wParam和lParam,用于指原创 2021-12-08 12:55:00 · 243 阅读 · 0 评论 -
WinRAR去广告实现
1.解压工具居然还有广告?2.我们可以看到我们点击压缩包之后弹出了窗口标题为WinRAR的广告窗口3.直接OD打开WinRAR.exe,右键->中文搜索引擎->智能搜索4.右键->查找,或使用快捷键Ctrl+F 或 Insert5.输入我们刚才看到的窗口标题名称6.最后找到两个WinRAR且有创建窗口的操作,我们都下断点尝试一下7.运行测试第一个断点,观察窗口弹出情况7.1 F9运行程序,程序断在了我们第一个断点的位置,此时是没有窗口弹出的(因为程序断在了创建窗原创 2021-12-06 21:25:23 · 512 阅读 · 0 评论 -
逆向分析-010Editor
一、需实现的功能二、分析思路Vs2013 -> 12.0原创 2021-12-02 16:38:14 · 8013 阅读 · 0 评论 -
关闭随机基址
1.方法一,使用010Editor2.方法二,使用010Editor3.方法三,使用LordPE原创 2021-12-02 16:35:02 · 881 阅读 · 1 评论 -
网易云音乐缓存文件解密
一、随便播放一首歌曲,使其产生缓存文件,并在下载设置中找到缓存目录二、打开缓存目录,并找到文件后缀名为UC的歌曲缓存文件三、将后缀名UC改为MP3四、使用010Edit软件打开我们刚修改后的MP3文件五、对文件进行异或操作,完成解密点击OK,保存文件即可,之后就可以点开我们解密后的MP3文件,使用任意播放器均可(该方法对VIP歌曲同样适用,大家可以自行尝试操作)...原创 2021-11-30 21:13:22 · 5892 阅读 · 0 评论 -
逆向分析-QQ游戏连连看
一、需实现的功能二、分析思路CE搜索步骤记录①游戏时间原创 2021-11-30 16:23:14 · 5975 阅读 · 1 评论 -
逆向分析-经典游戏扫雷
一、需实现的功能鼠标悬停在棋盘上时可以查出雷所在的位置一键扫雷二、分析思路可以发现版本为VC2003,根据动态库可以看到msvrt.dll,此为微软的运行时库,可判断此程序为SDK程序,且未发现MFC的动态库,虽然也有可能是使用的静态编译,但是我们观察程序大小可以发现只有100多K,这样我们几乎是可以肯定这就是一个SDK程序(可以寻找WinMain函数,函数内部可能有CreateWindowExW/A)1.动态调试(从API入手)——对函数下断点①GetWindowTextA/W,SetWi原创 2021-11-29 10:26:01 · 777 阅读 · 1 评论 -
《逆向分析实战》——随笔笔记
一、OD主界面OD调试主窗口中的工作区大致可以分为6个部分,按照从左往右、从上往下,这6部分分别是反汇编窗口、信息提示窗口、数据窗口、寄存器窗口、栈窗口和命令窗口。下面分别介绍各个窗口的用法。反汇编窗口:该窗口用于显示反汇编代码,调试分析程序主要在这个窗口中进行,这也是进行调试分析的主要工作窗口。信息提示窗口:该窗口用于显示与反汇编窗口中上下文环境相关的内存、寄存器或跳转来源、调用来源等信息。数据窗口:该窗口用于以多种格式显示内存中的内容,可使用的格式有Hex、文本、短型、长型、浮点、地址和反汇原创 2021-11-26 16:50:48 · 2877 阅读 · 0 评论 -
CrackMe练习
一、Serial/Name1.先尝试第一个2.随便输入一个name和serial测试一下3.然后我们继续测试一下输入正确的serial成功了4.然后我们测试别的值会不会影响结果结果发现serial发生了改变,说明这里serial并不是固定的,那我们就需要找一下他改变的原因和位置看到这里拿了我们输入的name的值做了算术操作反推一下我们发现的操作顺序,最终得到的serial中间的数字为4100,十六进制时为0x1004,再反推自增一倍即乘2的操作,得到802,由于乘了29,原创 2021-11-26 15:21:45 · 158 阅读 · 0 评论 -
《汇编语言(第3版) 》——随笔笔记
汇编条件跳转指令助记符标志位说明JZ/JEZF=1等于0/相等JNZ/JNEZF=0不等于0/不相等JSSF=1符号为负JNSSF=0符号为正JP/JPEPF=1"1"的个数为偶JNP/JPOPF=0"1"的个数为奇JOOF=1溢出JNOOF=0无溢出JC/JB/JNAECF=1进位/小于JNC/JNB/JAECF=1无进位/大于等于JBE/JNACF=1或ZF=1小于等于J原创 2021-11-25 15:15:46 · 199 阅读 · 0 评论 -
《REVERSING:逆向工程揭密》——随笔笔记
助记符标志位说明JZ/JEZF=1等于0/相等JNZ/JNEZF=0不等于0/不相等JSSF=1符号为负JNSSF=0符号为正JP/JPEPF=1"1"的个数为偶JNP/JPOPF=0"1"的个数为奇JOOF=1溢出JNOOF=0无溢出JC/JB/JNAECF=1进位/小于JNC/JNB/JAECF=1无进位/大于等于JBE/JNACF=1或ZF=1小于等于JNBE/JACF...原创 2021-11-25 15:14:19 · 878 阅读 · 1 评论 -
软件逆向练习--Reverse
一、Reverse000.exe1.使用OD打开Reverse000.exe2.右键选择中文搜索引擎->智能搜索3.双击please input password:跟进去4.此处为明文密码,直接就能找到密码为: i love this game(i前面有个空格)二、Reverse001.exe1.Ctrl+F9运行到输入的位置,之后随便输入一个密码测试一下2.第一个数字会与0x32进行比较,之后JE跳转,然后我们跟着JE看看下面的代码3.跟下来发现下面又有一个CMP,其实原创 2021-11-22 11:32:09 · 992 阅读 · 2 评论