爱党人士

今天开始学习《逆向工程核心原理》，配套源代码在：这里下载首先是一大堆废话介绍逆向的准备，然后开始逆向之旅。0x00找main函数。一开始看不懂代码而且有些函数调用进错了或者是在主函数就直接调用CTRL+f9，导致直接结束。一步一步按着书。在配套文件中找到（最好用配套而不是自己写，因为有些细节不一样）helloworld.exe拉进OD，od可以到吾爱破解那里下破解版的，比较容...

PE格式：基本概念：还有一系列的序列课，这里只是简单的介绍，因为这是最重要的一个知识点。为什么重要？ ：：：病毒如今很难去破坏内核。PE的文件结构：常见区块：不用记的，忘了就去百度就行了。优势：硬盘中的可以映射到内存，磁盘加密，但没关系，可以直接在内存中拿掉映像。一些常见的名词：重要的VA的概念。大多数都是对上面那个白图的名词做解释的。大概就是这...

汇编语言是最接近底层运行的语言计算机运行有三种模式：实模式：所以说需要汇编作文入门的基础。老计算机都是八位，十六位的cpu，因此出现了很多天才的想法。一些基础的复习：保护模式之间是自由的，在保护模式下，就分开等级了。例如：边看苍老师教学片边写博客。形象例子：K是内核，os操作系统，最后一层，被压制的就是应用程序层了。应用程序之间也被分开了。三级就是下流的...

中间介绍的寄存器，栈什么的都是汇编基础，注意16位和32位的区别即可。abex’s crackme 是一个著名的简单小程序。初学者也会容易理解。下载见上几遍的云盘链接的文件。首先打开，看看是什么类型的，继续点，ok，大概知道这是判断你的电脑c驱动器类型，然后返回正确或者error,right，拉进od，main函数直接位于ep，用汇编语言编写的程序实锤了。果然，那么直接...

windows的消息机制：进入底层程序。看起来很复杂，其实就三个函数。你看，先get，再翻译，再分配，very good！！！！你拿高级语言的思路来看起来就很明白了。看看信息的实质：实践是检验真理的唯一标准。再过几个小时四级了，溜了明天再写...

函数调用约定，是对函数调用时如何传递参数的一种约定。理解中需要知道的两个关键问题：Q1：函数执行完成后，栈中的参数如何处理？？不用鸟他们栈中的参数只是临时使用的，不用的时候不用鸟他们，反正也不会在、影响你，当有需要存入新的参数时，自然会覆盖掉。**Q2：**函数执行后，ESP值如何变化？要恢复到调用前ESP指向栈底，就无法使用该栈了。因此要及时复原。这就是函数调用约定要解决的问题...

1.代码执行法，这种方法不推荐，一步一步f7地按，太麻烦太蠢了。2.字符串检索法这个简单，直接crtl+g寻找字符串，3.检索API方法打开OD，载入程序鼠标右键，如图。然后就可以看到程序调用的所有API函数，便于分析。关于api的，点击下面人话讲api找到messagebox函数，双击进去，就是函数所在反汇编地址了法4：检索API方法2同样，还是用我们的那个...

栈帧在程序中用于声明变量，调用函数。有什么用？？理解了栈帧，就能掌握保存在其中的函数参数和局部变量几个寄存器：ESP：扩展基址指针寄存器ESP：栈指针寄存器栈帧的结构：PUSH EBP ；函数开始时，使用ebp前先把已有值放在栈中MOV EBP,ESP;保存当前的esp到ebp中... ；函数体这里要注意了，无论栈指针怎么变化，ebp都在那里，保持不变，更方...

几个月前看的，忘得差不多了，也木有看《逆向工程核心原理》有一段时间了，吐槽：《加密与解密》确实是个好书，但太浓缩了，木有一点基础的看起来很困难[壁]?_?)ノやぁ！主要是前面一段时间弄了一波安卓（感觉还是PE逆向难一点，不过都一样挺有趣，嘻嘻）复习一波PE文件格式。听说是后面高阶PE技术的基础，那就先打牢基础8.（流水帐过一遍，有个印象就行，后面边学边巩固）需要了解的详细的可以看看...