![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
逆向学习
逆向岁月
写写东西
展开
-
pcsurgeon.exe逆向分析
运行软件(一个nag+未注册+5天使用限制)1。先弄字符串的在CPU窗口查找字符串,*要从最上面开始,它会自己往下搜索 搜出的结果不止一个,可以ctrl+L查找下一个,自己判断一下哪个是 双击进入在这条汇编的上面有一条跳转,跳至更改跳转,让它跳,运行一下保存文件但在help-about里还是没注册,继续找字符串同样原创 2017-08-04 09:53:00 · 554 阅读 · 0 评论 -
一分不少,一寸不多!真正的逆向
MrBills(扫描器)1.运行软件,因为没有注册功能不去,所以就到注册的地方搜索字符串--下断点分析,该字符串有上面有跳转jnz short MrBills.004C1370 (jnz跳转条件:ZF=0)这个跳转能跳过字符串,所以为关键跳转,做好注释和断点, 继续分析跳转条件,pop push均不影响标志位,test al,al是与运算(同时为1才是1)因此可以知道当al原创 2017-08-12 19:59:02 · 359 阅读 · 0 评论 -
PE文件格式 super版
以《逆向工程核心原理》和博客园shadow_leii的内容为基础。PE(Portable Executable)格式◆PE是指32位的可执行文件,也称为 PE3264位windows只是对PE格式做了一些简单的修改,64位的可执行文件称为PE+或PE32+◆PE结构是一个平面连续的结构(如上图)【和数据恢复学的文件系统差不多】从DOS头到节区头原创 2017-08-06 22:14:53 · 610 阅读 · 0 评论