逆向工程
他们说快写一首情歌
这个作者很懒,什么都没留下…
展开
-
浅谈逆向——动态分析OD简介(OD的使用1)
浅谈逆向-动态分析之OD界面介绍OD的配置界面介绍A区域:view菜单功能项的快捷按钮B+C+D+E+F: CPU窗口 (OD打开一个可执行文件后,会立刻加载,自动分析后并列出汇编代码,默认打开CPU窗口)B区域:反汇编面板窗口(分为4列从左至右依次是Address,Hex dump,Disassembly,Comment)Address(地址):显示被双击行的相对地址,再次双...原创 2019-01-18 15:19:54 · 8720 阅读 · 1 评论 -
浅谈逆向——OD断点简介(OD的使用3)
浅谈逆向-OD断点简介常用断点INT 3断点硬件断点常用断点INT 3断点,硬件断点,内存断点,消息断点…INT 3断点常用,OD中可以使用bp命令或F2快捷键来设置/取消。当执行一个INT 3断点时,该地址处的内容被调试器用INT 3替换了。此时OD将INT 3隐藏起来,显示中断前的指令。由于INT 3指令的机器码时0xCC故此 也常称之为CC指令。当被调试进程执行INT 3指令导致一...原创 2019-01-23 18:19:43 · 8057 阅读 · 1 评论 -
浅谈逆向——从案例谈OD的使用(OD的使用2)
浅谈逆向-从案例谈OD的使用从TraceMe谈OD基本操作准备工作加载目标文件进行调试单步追踪从TraceMe谈OD基本操作案例来自加密与解密第四版 附上下载链接 传送门:链接: https://pan.baidu.com/s/1CBjbHRWnd-ULrsWfiAZhlg 提取码: 9ede准备工作Windows程序由于要使用API函数,在分析中以API函数作为切入点就使过程变得容易起...原创 2019-01-20 22:55:06 · 1726 阅读 · 0 评论 -
浅谈逆向——OD杂项(OD的使用4)
浅谈逆向-OD杂项Run traceHit traceOD常见问题Run traceRun跟踪可以把被调试程序执行过的指令保存下来,以便了解之前发生的事情。该功能将地址,寄存器的内容,消息等记录到Run trace的缓冲区中。在运行之前,将缓冲区空间设置的较大一些,否则在执行指令太多时会造成缓冲区溢出(OD会自动丢弃旧纪录)。可以使用快捷键ALT+O打开调试选项,跟踪标签页中进行设置。如果需...原创 2019-01-25 18:49:20 · 1079 阅读 · 0 评论 -
浅谈逆向——静态分析简介(静态分析1)
浅谈逆向-IDA简介IDA PROIDA反汇编选项配置IDA界面简介交叉参考参考重命名标签创建函数IDA PROIDA是按照区块装载PE文件的。.text | 代码块.data | 数据块.rsrc | 资源块.idata | 输入表.cdata | 输出表IDA反汇编选项配置Option->General(选项->常规)左侧从上至下...原创 2019-01-28 12:17:32 · 1230 阅读 · 1 评论 -
浅谈逆向——32位逆向分析技术(1.函数)
浅谈逆向-32位逆向分析技术启动函数函数启动函数编写Win32应用程序时,必须在源码中实现一个WinMain函数,但windows执行并不是从WinMain开始的,首先被执行的是启动函数的相关代码,这段代码是由编译器生成的,在启动代码初始化进程完成后,才会调用WinMain函数。对VC++程序来说,调用了C/C++运行时的启动函数,对运行库进行初始化,C/C++程序运行,启动函数作用基本相同...原创 2019-01-30 20:41:21 · 671 阅读 · 0 评论 -
浅谈逆向——32位逆向分析技术(2.数据结构)
浅谈逆向-32位逆向分析技术局部变量全局变量局部变量利用栈存放局部变量局部变量在栈中进行分配,函数执行后会释放这些栈。用sub esp, X 来为局部变量分配空间用[ebp - X]寻址调用这些变量用[ebp + X]参数调用相对于ebp偏移量是正的编译器在优化模式时,通过esp寄存器直接对局部变量和参数进行寻址函数退出时,用add esp, 8指令平衡栈,释放局部变量释放的...原创 2019-02-10 18:37:17 · 817 阅读 · 0 评论