逆向工程核心原理学习笔记0x01:寻找指定代码和修改字符串 190602

最新推荐文章于 2021-03-04 13:05:51 发布
最新推荐文章于 2021-03-04 13:05:51 发布
阅读量294 收藏
点赞数
分类专栏: 逆向工程核心原理学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43504939/article/details/90745791
版权

1.代码执行法,
这种方法不推荐,一步一步f7地按,太麻烦太蠢了。

2.字符串检索法
这个简单,直接crtl+g
寻找字符串,
在这里插入图片描述

3.检索API方法

打开OD,载入程序
在这里插入图片描述

鼠标右键,如图。
在这里插入图片描述

然后就可以看到程序调用的所有API函数,便于分析。

关于api的,点击下面

人话讲api

在这里插入图片描述

找到messagebox函数,双击进去,就是函数所在反汇编地址了
在这里插入图片描述

法4:检索API方法2

同样,还是用我们的那个helloworld小程序,然后,如图所示,查找所有模块的名称
在这里插入图片描述

然后,结果如图所示
在这里插入图片描述

在这个界面,我们敲键盘字母,messagebox,一个一个敲出来,就会自己跳到相应的地址,如图所示:
在这里插入图片描述

因为messagebox这个函数是从user32.dll中实现的,所以我们可以随便点击一个进去看看:

在这里插入图片描述

我们在这个函数的头部按一下F2,设置断点,然后F9运行起来。

然后程序断在了这里
在这里插入图片描述

我们可以清楚的看到里面的地址和内容。

修改字符串的两种方法

1)直接修改字符串缓冲区
2)在其他内存区域生成新字符串并传递给消息函数。

1.直接修改字符串缓冲区
在dump窗口中ctrl+G使用goto指令,找到字符串helloworld,ctrl+e修改

***注意:若新的字符串长度大于原字符串很可能造成数据覆盖导致内存引用错误。
在UNICODE文本框中输入字符串,Unicode字符串必须以NULL结束,它占据两个字
节(添加Null时不能直接在Unicode文本框中进行,而需要在hex文本框中添加00)***

2.在其他内存区域新建字符串并传递给消息函数
00401007处有一处push指令,将数据区域地址为004092A0的字符串压栈(也就是我们的helloword)
我们可以在新的内存区域新建字符串,再改下push的地址
在这里插入图片描述
在这里插入图片描述

__N4c1__
关注
专栏目录
[网络安全自学篇] 五.IDA反汇编工具初识及逆向工程解密实战
杨秀璋的专栏
08-08 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。上一篇文章分享了实验吧CFT实战的题目,涉及WEB渗透和隐写术常见题型,包括“这是什么”、“天网管理系统”、“忘记密码”、“false”、“天下武功唯快不破”和“隐写术之水果、小苹果”;这一篇文章将详细讲解IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。希望对入门的博友有帮助,大神请飘过,谢谢各位看官!
逆向工程核心原理学习笔记(五):实战“打补丁方法”修改字符串
killcoco的小窝
04-23 460
打补丁方法可以修复程序的BUG,给程序添加新功能。 打补丁的对象可以是文件,内存,数据,代码,等等。。。 我们今天就用打补丁的方法来把helloworld程序中的字符串改掉! 首先呢,OD载入程序, 然后,我们跳到程序入口点,也就是main函数,之前我们讲过,可能大家也记得,0x401000. 我们可以清楚的看到hellow
C#逆向
harborian的博客
03-04 1210
文章目录C#逆向1. 修改cs源码2. 修改vsproj项目工程3. 修改xaml总结 C#逆向 前段时间,遇到一个逆向一个windows上exe的问题,用ida分析,发现不能解析出有用的汇编代码,但给出的是IL(Intermediate Language)代码。通过进一步分析,发现是基于WPF(Windows Presentation Foundation)的C# .net项目。在网上发现收费工具,但是出于成本考虑,决定使用了开源的ILSpy。从github上下载编译好的7.0版本(由于ILSpy源码是
推荐.Net、C# 逆向反编译四大工具利器(请勿用来非法行为)
热门推荐
kongwei521的专栏
02-08 35万+
在项目开发过程中,估计也有人和我遇到过同样的经历:运行环境出现了重大Bug亟需解决、或者由于电脑挂了、旧代码覆盖新代码,而在这种情况下,我们不能直接在当前的代码修改这个Bug然后发布,这会导致更严重的问题,因为相当于版本回退了。还有电脑挂了代码整个都没有,这种情况下 我们只能只能利用一些逆向的技巧和工具了 来解析在服务器发布好的dll。那么你只是单纯的修改一个.Net程序集中的某个方法或功能,而
ASCII码为0x01,0x02作为分隔符(这两个字符是键盘无法输入的)以及String.split()分割特殊字符处理
u010973264的专栏
12-04 1万+
一、ASCII码为0x01,0x02 ASCII码为0x01,0x02的字符是键盘所不能输入的(这两个字符称作隐藏字符,对应的8进制是001,002,打印出来的视觉效果与空格相同,但是相比空格的好处就是这两个字符是从键盘无法输入的,所以避免了如果数据中本身带空格,会错误的分割字符串的尴尬),因为用这个能保证万无一失。 二、split分割特殊字符 // 原始分割符号 String line_split = "^" + new String(new byte[]{0x01})+ n
企业文化——对外是一面旗帜、对内是一种向心力DOC
12-14
你还在为培育企业员工使命感、归属感、责任感、荣誉感、成就感烦恼么?在这里,企业文化——对外是一面旗...该文档为企业文化——对外是一面旗帜、对内是一种向心力DOC,是一份很不错的参考资料,具有较高参考价值,感兴趣的可以下载看看
逆向工程核心原理学习笔记(二):字符串检索法查找main函数
killcoco的小窝
04-14 703
首先就是OD载入我们的程序 然后鼠标右键,如图,找到智能搜索. 然后点击,找到了HelloWord字符串 双击跟进去就是main函数的地址了 这样做的前提是因为我们知道线索(程序在运行时就弹出信息框),所以才可以这样做。 同时我们看到了此时这个地址PUSH的参数push    0x40ED00 我们在下面的数据窗口看看里面是什么东西。
逆向工程核心原理学习笔记(二十七):abex'crackme #2 破解算法
killcoco的小窝
05-25 2060
这次我们来看一下这个程序是如何加密的,我们重新开始我们的调试 然后我们在win7中调试的时候利用查找所有参考字符串并没有我们之前的信息框字符串信息: 我们这一次使用中文搜索引擎-智能搜索: 双击倒数第二个,然后我们知道这是一个信息框的提示信息,所以这应该处于一个按钮的处理函
逆向工程核心原理学习笔记1-通过IAT手工定位notepad.exe中的导入函数
HappyOrange2014的专栏
08-24 1819
本文将通过PEview 0.99这款PE查看器来复习与IAT相关的知识,复习方式就是手工查找xpsp3下notepad.exe文件中第一个导入DLL中的第一个导入函数。之所以选用PEview而不用winhex类软件,主要是为了便于验证自己的思路是否正确。在熟悉了IAT手工查找的具体过程之后,还是使用工具软件直接获取信息比较方便。
℃江让您从精通到入门:写诗APP的制作诠析-附件资源
03-02
℃江让您从精通到入门:写诗APP的制作诠析-附件资源
2017春人音版音乐八下第3单元演唱《打支山歌过横排》ppt课件
11-23
2017春人音版音乐八下第3单元演唱《打支山歌过横排》ppt课件
红领巾胸前飘1_精美模板ppt
11-23
红领巾胸前飘1_精美模板ppt
红领巾胸前飘_(2)_精美模板ppt
11-23
红领巾胸前飘_(2)_精美模板ppt
九、红领巾胸前飘_精美学习课件ppt
11-23
九、红领巾胸前飘_精美学习课件ppt
重温微积分 - 齐民友
10-25
重温微积分 - 齐民友
1三国两晋南北朝的政权更迭与民族交融——学生学习课件
11-23
1三国两晋南北朝的政权更迭与民族交融——学生学习课件
人音版音乐五上《渔舟唱晚》课件1
11-23
人音版音乐五上《渔舟唱晚》课件1
mybatis,在调用逆向工程生成的更新方法时,无法将String属性的null值替换掉其原来值
weixin_41359273的博客
01-09 530
1.在调用mybatis的updateByPrimaryKeySelective()方法时,要将实体的某个属性设置为null,让其以null的状态保存在数据库的表中时,发现null值替换不了原来的值,保存不了,调用修改方法的service层实现类的代码如下: 2.发现自己就是栽楞,去看了下xml文件的sql语句,别人都已经做了判空,不为空才会更新值。 3.解决方法:将housenumber!=nu...
反汇编修改Hello World程序
qq_39249347的博客
08-08 1444
编写HelloWorld.exe程序 #include "windows.h" #include "tchar.h" int _tmain(int argc, TCHAR *argv[]) { MessageBox(NULL, L"Hello World!", L"www.reversecore.com", MB_OK); return 0; }
Python学习笔记字符串详解
"Python学习笔记,着重讲解了字符串的定义、表示方法、序号、使用、特殊字符、操作符、处理函数、Unicode编码以及字符串格式化。" 在Python编程语言中,字符串是数据类型的一种,它是由一个或多个字符组成的有序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值