逆向分析_win_api基础(2)

最新推荐文章于 2021-11-18 13:52:34 发布
最新推荐文章于 2021-11-18 13:52:34 发布
阅读量138 收藏
点赞数
分类专栏: Binary 文章标签: Binary win api 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38232378/article/details/102785783
版权
win_api基础(2)
(一) 查看MessageBox返回值

环境 : vc++ 6.0

//msgbox2.cpp 配置工程为 release
#include <windows.h>
#include <stdio.h>
#include <tchar.h>

int main()
{
    int a;
    a = MessageBoxA(NULL, "content", "title", MB_YESNO);
	printf("addr : %p, \t data : %d\n",&a, a));
	/*
    if(a == IDYES)
    {
        printf("addr : %p, \t data : %d\n",&a, char(a));
    }
	*/
    return 0;
}

MessageBox的返回值为控件ID。通过printf来找到返回值放在哪个寄存器上。

生成exe文件后,用OLlydbg调试运行,按F8到出现弹窗,按下按键后如下:

00401113  |.  50               push eax
00401114  |.  FF35 30994000    push dword ptr ds:[0x409930]
0040111A  |.  FF35 2C994000    push dword ptr ds:[0x40992C]
00401120  |.  E8 DBFEFFFF      call msgbox2.00401000

重新运行exe,光标放在 00401120 call msgbox2.00401000 上,F7跟踪

00401000  /$  51               push ecx                                 ;  msgbox2.004070D8
00401001  |.  6A 04            push 0x4                                 ; /Style = MB_YESNO|MB_APPLMODAL
00401003  |.  68 50704000      push msgbox2.00407050                    ; |Title = "title"
00401008  |.  68 48704000      push msgbox2.00407048                    ; |Text = "content"
0040100D  |.  6A 00            push 0x0                                 ; |hOwner = NULL
0040100F  |.  FF15 B0604000    call dword ptr ds:[<&USER32.MessageBoxA>>; \MessageBoxA
00401015  |.  894424 00        mov dword ptr ss:[esp],eax
00401019  |.  8D4C24 00        lea ecx,dword ptr ss:[esp]
0040101D  |.  0FBEC0           movsx eax,al
00401020  |.  50               push eax
00401021  |.  51               push ecx                                 ;  msgbox2.004070D8
00401022  |.  68 30704000      push msgbox2.00407030                    ;  ASCII "addr : %p, \t data : %d\n"
00401027  |.  E8 14000000      call msgbox2.00401040
0040102C  |.  33C0             xor eax,eax
0040102E  |.  83C4 10          add esp,0x10
00401031  \.  C3               retn

可以看出返回值放在EAX,变量地址放在ECX

00401020  |.  50               push eax
00401021  |.  51               push ecx                                 ;  msgbox2.004070D8
00401022  |.  68 30704000      push msgbox2.00407030                    ;  ASCII "addr : %p, \t data : %d\n"
(二) 重新用masm plus写汇编程序验证
;02_msgbox.asm
.386
.model flat,stdcall
option casemap:none
include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
includelib \masm32\lib\kernel32.lib
include \masm32\include\user32.inc
includelib \masm32\lib\user32.lib

.data
MsgBoxCaption db "Tutorial",0
MsgBoxText  db "Win32 Assembly",0

.code
start:
invoke MessageBox, NULL, addr MsgBoxText, addr MsgBoxCaption, MB_YESNOCANCEL
.if eax == IDCANCEL
	invoke MessageBox, NULL, addr MsgBoxText, addr MsgBoxCaption, MB_OK
.endif
invoke ExitProcess, NULL
end start
「已注销」
关注
专栏目录
软件逆向、破解常用API函数大全.chm
06-11
软件逆向、破解常用API函数大全,介绍软件安全,逆向常用API函数。
OD帮助文档,学习破解逆向必备知识。
01-08
OD帮助文档,学习破解逆向必备知识。OD帮助文档,学习破解逆向必备知识。
VS内联汇编
htpidk的博客
01-29 659
被忽悠了,一直以为lea和mov指令差不多的,今天算是知道了,顺便测试了下C内联汇编的效率 转载请注明出处http://www.cppblog.com/greatws/archive/2008/04/22/47783.html今天突发奇想想玩玩C的内联汇编,以前也经常在DOS下玩debug,那就先整个最简单的MessageBox玩玩咯网上找了一段代码  char*&nbs...
逆向分析_win_api基础(1)
余韵
10-27 266
win_api基础(1) (一) C语言调用 #include <windows.h> #include <stdio.h> int main() { int ret; ret = MessageBoxA(NULL, "content", "title", MB_YESNO); printf("ret=%d", ret); return 0;...
逆向分析_win_api基础(3)
余韵
11-01 262
win_api基础(3) - 创建窗口 (一) 环境 CLion + Cygwin CLion : 代码编辑,提供代码提示和代码补全等功能,方便api学习,不一定要看win api 文档,Ctrl + p快捷键提示参数,右键可以跳到函数/常量的定义。 Cygwin : 简单地认为是可以把Linux软件包移植到windows上。(Mingw类似) 安装完Cygwin后需要安装编译相关的软件:gcc ...
逆向分析_DLL基础(5)
余韵
11-02 361
DLL基础(5) 导出类 dll项目:dllrect dllrect.h //dllrect.h #pragma once #ifdef DLLRECT_EXPORTS #define DLLRECT_API __declspec(dllexport) #else #define DLLRECT_API __declspec(dllimport) #endif class DLLRECT_API...
逆向分析_DLL基础(4)
余韵
11-02 302
DLL基础(4) 变量导出 dll项目,名称:dllvar dllvar.h //dllvar.h #include<windows.h> #ifdef DLLVAR_EXPORTS #define DLLVAR_API __declspec(dllexport) #else #define DLLVAR_API __declspec(dllimport) #endif exter...
Python爬虫:逆向分析某云音乐加密参数
热门推荐
夏小悠的博客
09-22 4万+
本篇博文通过对网易云音乐进行逆向分析,用Python代码模拟了AES和RSA加密过程,并在文章的末尾提供了一些参数,可以用这些参数来获取歌曲对应的歌词及用户的评论。
逆向学习之Win32 API
baoyahong的博客
11-18 817
首先什么是APIAPI就是Windows操作系统提供给我们的函数(应用程序接口),主要存放在C:\Windows\System32(存储的DLL是64位)、C:\Windows\SysWOW64(存储的DLL是32位)下面的所有DLL文件。 几个较为重要的dll文件: 一、进程的创建 1.什么是进程:进程其实是一个空间上的概念,它提供资源,但不负责资源的利用。程序运行所需的代码数据都是由进程提供的。 2.进程的创建:CreateProcess()函数 这个函数的结构如下: BOOL C.
[安全攻防进阶篇] 五.逆向分析Win32 API获取及加解密目录文件、OllyDbg逆向其原理
杨秀璋的专栏
08-03 8261
这是作者安全攻防进阶篇,希望对您有所帮助。前文作者讲解了条件语句和循环语句源码还原及流程控制逆向方法,这篇文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程,第三部分分享恶意软件如何通过宏脚本发送勒索信息或密码至用户邮箱。基础性文章,希望您喜欢~
apihook.rar_APIHOOK_api hook_hook_hook api_visual c
09-14
在Visual C++环境中实现API Hook,开发者需要熟悉Win32 API,如`GetProcAddress`、`VirtualProtect`和`CreateRemoteThread`等函数。`GetProcAddress`用于获取API的地址,`VirtualProtect`可以改变内存保护属性以允许...
最新快手JS逆向分析
猿小白的博客
09-29 2822
目标网址:https://www.kuaishou.com/ 重要说明:文章教程仅供参考学习,请勿用于非法用途,否则后果自负。 目录 一、接口参数分析 二、加密逻辑分析 三、程序代码编写 四、运行结果测试 一、接口参数分析 近期更新 二、加密逻辑分析 近期更新 三、程序代码编写 近期更新 四、运行结果测试 近期更新 ...
逆向分析_DLL基础(1)
余韵
10-26 4467
DLL基础 (一) 相关名词 简写 全称 DLL Dynamic Link Library PE Portable Executable COM Component Object Model COFF Common Object File Format DLL 动态链接库 ,PE源于Unix COFF文件。 (二) 调用DLL文件 在powershell查看可执行后...
汇编码和机器码相互转化
余韵
12-26 2819
由于要在PE文件中修改代码,本质上是在改十六进制的机器码(shellcode为经过处理的机器码),而我们阅读的是汇编码,汇编码和机器码相互转化可以更好的修改程序。本来想用pwn tool或OllyDbg来转化,但通过搜索linux的调试工具,radare2有附加的工具来转化。 (1) radare2安装 apt install radare2 Windows下载地址:http://radare....
crackme0x00
余韵
01-09 1464
(1) 查找字符串 IOLI-crackme程序下载 以下通过ODbgScript来找到密码和修改程序。 ;修改strcmp的返回值eax var start var addr_pass var pass var strcmp ;reset = control+f2 ;clear lclr gmi eip,entry mov start,$RESULT eval "entry = {start}...
DLL注入_修改导入表(1)
余韵
11-09 1462
PE文件分析 (一) 替换DLL函数 通过修改PE文件导入导出表来更改函数。单纯分析PE文件是一件比较无聊的事,通过修改可以更加灵活的利用和理解PE文件。这就像生活一样,总要有一些特别的事,才能更加有灵感。学习本身就是生活的一部分,如何让程序更加灵活,是一个比较值得去实践的事,可以更加接近计算机的一些思想。 (二) 环境 VC++ 6.0 为了减少复杂度,用VC++ 6.0编译sum.cpp su...
逆向分析_VB6.0制作登录界面
余韵
10-28 850
VB6.0制作登录界面 环境: win7虚拟机安装visual basic 6.0 新建工程,添加两个窗体 窗体1 -> 登录界面 窗体名称 -> fromLogin 窗体Caption -> 密码验证 username和passsword -> label 名称为txtUser 和 txtPass 确定和取消 -> CommandBtt...
OllyDBG命令
余韵
12-29 586
a at asm ac a address,string – Assemble at address at address – Disassemble at address asm string – Assemble ac – Analyse code s stk stop si so sn sob s – Step into stk address – Go to address in stac...
Asm和VC混合编程_数据传送(1)
余韵
10-31 570
Asm和VC混合编程_数据传送(1) (一) Win32保护模式下masm编程 环境 masm + masm plus 注意一下,不同的汇编编译器,编写的汇编码格式上有所不同,这里使用masm。(gcc生成汇编码:gcc -S test.c) masm plus新建``Win32 Console`项目 ;MASMPlus 代码模板 - 控制台程序 ;swap_bytes.asm .386...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值