Re
张Mini
这个作者很懒,什么都没留下…
展开
-
逆向工程——(3)
1.PE文件格式 PE文件是win操作系统下的可执行文件格式 PE文件指32位可执行文件(PE32),PE+/PE32+指64位的可执行文件1.1.PE文件种类 可执行:EXE,SCR 驱动程序:SYS,VXD 库:DLL,OCX,CPL,DRV 对象文件:OBJ(除了OBJ外所有文件都是可执行的,在逆向分析中几乎不需要关...原创 2018-10-11 17:22:00 · 262 阅读 · 0 评论 -
逆向工程 ——(1)
1. 函数调用的参数顺序与参数入栈时的参数顺序(逆序)相反2. esp寄存器承担着栈顶指针的作用,而ebp寄存器负责行驶栈桢指针的职能。程序运行时,esp的值随之变化,访问栈中的局部变量、参数时,若以exp的值为基准编写程序会困难许多,使cpu难以引用到准确的地址,所以调用某函数时,先把函数起始地址的esp值保存到ebp中,并维持在函数内部。这样,无论esp如何变化,以ebp为基准能够安全访问...原创 2018-10-08 22:05:05 · 587 阅读 · 0 评论 -
逆向工程——(2)
1. 函数调用 主要解决的问题是函数调用后如何处理esp 主要函数调用约定:cdecl、stdcall、fastcall 1.1. cdecl:主要在c语言中使用的方式,调用者负责处理栈 以add()函数为例,在 call命令调用add()函数后,可以看到add esp,8命令来整理栈。调用者main()直接清理其压入栈的函数参数 1....原创 2018-10-09 21:58:10 · 336 阅读 · 0 评论 -
逆向工程 ——(4)
1.压缩器PE压缩器指可执行文件的压缩器使用目的:缩减PE文件的大小(便于网络传输保存)、隐藏PE文件内部代码与资源(压缩后的数据以难以识别的二进制文件保存)2.保护器保护PE文件免受代码逆向分析的使用程序。应用了多种防止代码逆向分析的技术(反调试、反模拟、代码混乱、多态代码、垃圾代码、调试器监视)使用目的:防止破解、保护代码与资源 ...原创 2018-10-17 10:26:17 · 191 阅读 · 0 评论