【逆向】【Part 2】逆向分析基础

最新推荐文章于 2024-07-24 15:14:29 发布
原创 最新推荐文章于 2024-07-24 15:14:29 发布
· 765 阅读 · 2 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#软件安全与逆向分析 #大学逆向分析复习

本文详细介绍了逆向分析的基础知识,包括 MessageBox 函数、逻辑与指令AND及TEST和CMP的用法。讲解了如何通过TEST和CMP进行条件判断,并探讨了CALL和RET指令的工作原理。此外,还介绍了动态分析中的常用方法,如设置断点、数据断点、条件断点和API函数跟踪,以及在软件逆向分析中如何结合静态和动态分析进行深入研究。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.基本知识回顾

1.MessageBox函数

PS:这个函数出现的频率太高了,建议记下来(以防考试)。

函数原型:
int MessageBox(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT UType);
参数:
 hWnd:标识将被创建的消息框的拥有窗口。如果此参数为NULL,则消息框没有拥有窗口。

 lpText:指向一个以NULL结尾的、含有将被显示的消息的字符串的指针。

 lpCaption:指向一个以NULL结尾的、用于对话框标题的字符串的指针。

 uType:指定一个决定对话框的内容和行为的位标志集。

2.测试指令TEST和CMP

  • AND

了解TEST之前先来看:逻辑与指令AND

逻辑与的运算规则是:进行逻辑与运算的两位都是逻辑1,则结果为1;否则,结果都是0。

相当于乘法,或 (or) 相当于加法

也就是说,逻辑0和逻辑0相与的结果为0,逻辑0和逻辑1相与的结果为0,逻辑1和逻辑0相与的结果为0,只有逻辑1和逻辑1相与的结果才为1。

and reg,imm/reg/mem   ;逻辑与:reg=reg^imm/reg/mem
and mem,imm/reg       ;逻辑与:mem=mem^imm/reg

and指令支持的目的操作数是寄存器和存储单元,源操作数是立即数、寄存器和存储单元,但不能都是存储器操作数。

它设置标志CF=OF=0,(进位和溢出为都是0),根据结果按定义影响SF,ZF,PF(符号、零标志、奇偶标志) 

  • TEST

测试指令TEST将两个操作数按位进行逻辑与运算。格式如下:

test reg,imm/reg/mem       ;逻辑与:reg^imm/reg/mem
test mem,imm/reg           ;逻辑与:mem^imm/reg

Test指令不返回逻辑与结果,只

最低0.47元/天 解锁文章
JS逆向进阶篇【去哪儿旅行登录】【下篇-逆向Bella参数JS加密逻辑&Python生成】
孤寒者的博客
03-05 3万+
JS逆向进阶篇【去哪儿旅行登录】【下篇-逆向Bella参数JS加密逻辑&Python生成】
逆向分析之基本知识点
learn112的博客
12-25 758
逆向分析之基本知识点 EP EnterPoint 入口点 EP是windows可执行文件的代码入口点,是程序的最先执行的代码的起始位置,它依赖于CPU(就是用OD打开exe最初始的位置) 可以看到一个CALL和JMP指令 CALL指令调用的函数里面就是程序的启动函数 启动函数并不是我们写的,而是编译器(VS)为了保证程序的运行自动添加的 启动函数里面通常有许多系统API(红色注释部分) 启动函数不只是CALL 0040270c这条指令,JMP 0040104F跳转的0040104F地址处也是启动函数 注
逆向分析学习入门教程
热门推荐
wang010366的专栏
09-17 3万+
转在于 逆向工厂(一):从hello world开始前沿从本篇起,逆向工厂带大家从程序起源讲起,领略计算机程序逆向技术,了解程序的运行机制,逆向通用技术手段和软件保护技术,更加深入地去探索逆向的魅力。一、程序如何诞生?1951年4月开始在英国牛津郡哈维尔原子能研究基地正式投入使用的英国数字计算机“哈维尔·德卡特伦”,是当时世界上仅有的十几台电脑之一。图中两人手持的“纸带”即是早期的程序,纸带通过是否
逆向分析学习入门教程(非常详细)零基础入门到精通,看这一篇就够了!_逆向都要学啥
最新发布
小司机的奥拓
07-24 3645
jnz的十六进制码为75,jz的十六进制码为74,只需将可执行程序中的75改为74就可以。\n”压入栈,供printf函数使用,在反汇编程序代码中,如果调用的函数有参数,都是先将函数的参数先用push指令压入栈中,例如:add(int a,int b),调用add函数前,先将参数a和b压入栈,根据 __cdecl调用规则,先push b,再push a,最后再调用add函数。java,c,c++,C#,pascal,python,lisp,prolog,FoxPro,易语言等等 均属于高级语言。
逆向分析技术学习小结
BetaBin
03-21 1985
1、所有C/C++运行时的启动函数作用基本相同:检索指向新进程的命令行指针、检索指向新进程的环境变量指针、全局变量初始化、内存堆栈初始化等。当所有的初始化操作完成后,启动函数就调用应用程序的入口点函数。 拿VC编译的程序来讲,有GetVersion(确定Windows系统版本)、GetCommondLineA(指向进程的完整命令行的指针)、GetStratupInfoA(获取进程的启动信息)、G
【汇编的简单操作】
shenzhiwuming的博客
05-24 1499
简单介绍汇编语言
逆向】【Part 1】Windows基础知识
lanlanla的成长历程
01-08 2116
目录 1.Win32的软硬件平台 1.80X86系列处理器 2.80X86处理器的工作模式 2.Windows内存管理 1)实模式下的寻址方式 2)保护模式下的内存寻址 3)内存分页机制 4)Windows的内存安排 3.Windows的特权保护 1.80386的中断和异常 (1)80386实模式下的中断和异常处理 (2)80386保护模式下的中断和异常处理 2.8038...
逆向】【Part 3】DLL注入
lanlanla的成长历程
01-08 1912
目录 一、通过自制调试器来理解其原理 1.调试器的工作原理 实现反汇编功能(重点) 重点分析exception_debug_event 重点:1.对调试器程序增加异常处理操作功能,核心API,CONTEXT结构 二、DLL注入 重点:2.DLL注入的三种基本方法 1.利用全局消息钩子(Windos消息钩取( SetWindowsHookEx() API )) 2.写注册表 3...
ollydbg_tut2.rar_By kienmanorwar_Ollydng tut_ollYdbg_part2_rever
09-23
教程分为多个部分,此处我们关注的是“Ollydbg tut”系列的第二部分——"part2",主要围绕Ollydbg在逆向工程中的应用展开。 首先,Ollydbg的强大之处在于其对二进制代码的可视化呈现,使得程序员和安全研究人员能够...
汇编中参数的传递和堆栈修正
duwangsky的专栏
03-19 1092
转载自:http://net.pku.edu.cn/~course/cs201/2004/Assembly/%BB%E3%B1%E0%D6%D0%B2%CE%CA%FD%B5%C4%B4%AB%B5%DD%BA%CD%B6%D1%D5%BB%D0%DE%D5%FD.htm 在 Win32汇编中,我们经常要和 Api 打交道,另外也会常常使用自己编制的类似于 Api 的带参数的子程序,本文要讲述的
bootstrap的栅栏布局中,列排序push/pull和列偏移offset的区别
AndrewNeo
04-24 2746
实现方式的区别:col-md-offset-,是利用margin-left实现的,col-md-push-/col-md-pull-*是利用相对定位实现的。 效果的区别:1、col-md-offset-*只能向右偏移,因为实现方式就是margin-left,而push/pull因为是相对定位,既可以左偏移也可以右偏移 2、如果一行的偏移量+实际的宽度综合超过12,col-md-offset会换...
什么是retn指令
雨化于画
04-05 6167
网上的一大堆回答把我给看晕了,太多答非所问的东西,很简单的东西都被弄得很复杂。经过一番查找,我在这里记录下来: retn指令的含义 举例 retn 10 含义是: pop eip add esp, 10h 注意 retn 1010 是十六进制的,它的十进制数是 16。 ...
汇编指令查询器代码
曲终人散
06-28 6381
.386 .model flat,stdcall option casemap:none include msvcrt.inc includelib msvcrt.lib .data ;--------------------------界面----------------------------------------- string db " ",10,1
lea; push offset; lea eax, [p]; lea eax,p[
hbyh的专栏
10-09 1062
 lea eax, p;0040D78B 8D 85 F4 FF FF FF    lea         eax,[ebp-0Ch]28:           lea eax, [p];0040D791 8D 85 F4 FF FF FF    lea         eax,[ebp-0Ch]29:30:           lea eax, pn;0040D797 8D 85 F8 FF F
Windows逆向 -- 逻辑运算位移
Web安全工具库
02-04 561
Windows逆向 -- 逻辑运算位移 一、逻辑运算 and:有0全0 or:有1全1 not:取反 xor:相同为0 小知识:1、xor常用于置0操作,和自己异或永远是0 2、test eax,eax,判断是否为0 二、位移操作 1、逻辑左移和右移 逻辑左移(SHL):最低位补0 逻辑右移(SHR):最高位补0 2、算数左移和右移 算数左移(SAL):最低位补0,等价于逻辑左移 算数右移(SAR):最高位填充符号位 ...
反汇编的call和retn
nailgo的专栏
04-14 2507
CALL指令   CALL指令可不是如唤指令,而是子程序调用指令。那么汇编语言中的子程序是什么呢?子程序能被其它程序调用,在实现某种功能后能自动返回到调用程序去的程序。其最后一条指令一定是返回指令,故能保证得新返回到调用它的程序中去。也可调用其它子程序,甚至可自身调用。   我们可以暂时把子程序理解为一个代码段,是一个模块化的代码面。这个代码段可以完成某一特定功能,当程序在执行过程中需要用到这
学 Win32 汇编[18]: 关于压栈(PUSH)出栈(POP) 之二
weixin_33769207的博客
04-11 197
由于 "栈" 是由高到低使用的, 所以新压入的数据的位置更低. ESP 中的指针将一直指向这个新位置, 所以 ESP 中的地址数据是动态的. 每次 PUSH, ESP = ESP - x; 每次 POP, ESP = ESP + x; 其中的 x 只能是 4 或 2, 因为 Win32 的 PUSH 只可以压入 32 位(默认)或 16 位的数据. ESP 有个名字叫 "栈顶", ...
栅格系统的Gutter vs Offset vs Pull vs Push
高山上的鱼
06-20 1万+
1.bootstrap栅格系统 boostrap中lg,md,sm,xs之768,992,1200 Bootstrap 栅格系统 理解总结 Bootstrap学习——栅格系统 Bootstrap3.0 栅格系统背后的精妙魔法(Bootstrap3.0的栅格布局系统实现原理) 全局 CSS 样式 因为盒模型变成了border-box,所以添加了gutter后元素本身的大小变小,pad
逆向工程入门:从CPU到高级实例解析
这份指南旨在为初学者提供全面的逆向工程基础知识,从基本的代码模式到高级的分析技术,涵盖了从C/C++到Java的各种编程语言,以及多种处理器架构。通过学习,读者可以逐步掌握如何剖析和理解二进制代码,从而在安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值