逆向学习笔记二

最新推荐文章于 2023-10-31 16:35:34 发布
最新推荐文章于 2023-10-31 16:35:34 发布
阅读量310 收藏
点赞数
分类专栏: 逆向 文章标签: 学习 c++ windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46804551/article/details/120390741
版权

逆向基础

一:OD操作基础

在这里插入图片描述

  • goto语句
    跳转到指定位置去,执行Go to(Ctrl + G) 命
    在这里插入图片描述

  • 设置断点
    设置BP(Break Point,断点)(快捷键F2)
    设置断点后,调试运行到断点处将会暂停(若未在代码中设置断点则继续调试)。
    在OD菜单栏中依次选中View-Breakpoints选项(快捷键 ALT+B),打开Breakpoints对话框,列出代码中设置的断点

  • 注释
    按键盘上的";"可以在指定地址处添加注释

  • 标签
    我们可以通过标签提供的功能在指定地址添加特定名称。移动光标到指定地址处,按":"键输入标签

二:快速查找指定代码方法

调试代码时,main()函数并不直接位于可执行文件的EP位置上,出现在此的时开发工具(Visual c++)生成的启动函数。我们需要查看的main()函数距离EP代码很远,快速找到main()函数有四种

  • 代码执行法
    适用于量不大,且程序功能明确的情况

  • 字符串检索法
    鼠标右键菜单–search for --all referenced text strings
    在OD的Dump窗口中使用Go to(Ctrl+G)命令,可以进一步查看位于内存某处的字符串。首先使用鼠标点击dump窗口,然后按Ctrl+G快捷键,打开Enter expression to follow in Dump窗口。
    在这里插入图片描述
    在这里插入图片描述

  • API检索法:在调用代码中设置断点
    鼠标右键菜单–Search for --all intermodular calls(所有模块间的调用)
    在这里插入图片描述

  • API检索法:再API代码中设置断点
    鼠标右键菜单–Search for—Name in all calls(“所有模块中的名称”并敲下MessageBox,光标会直接定位到messagebox那去)
    OD并不能为所有可执行文件都列出API函数列表。使用压缩器/保护器工具对可执行文件进行压缩保护之后,文件结构就会改变,此时OD就无法列出API调用列表了(甚至连调试都会变得非常麻烦)
    在这里插入图片描述
    在OD中选择View-Memory菜单(快捷键Alt+M),打开内存映射窗口。

三:修改字符串

  • 直接修改字符串缓冲区
    在dump窗口按ctrl+G快捷键执行Go to命令,在弹出的窗口中输入字符串的地址进入字符串缓冲区。然后在选中地址处的字符串,按ctrl+e快捷键打开编辑窗口修改
    在这里插入图片描述
    unicode字符串必须以null结束,它占据2个字节(添加null时不能直接在unicode文本框中进行,需要在hex项目中添加)
    在这里插入图片描述
    上面的更改只是零时的,永久保存就要更改程序后另保存为一个可执行文件。
    在dump窗口中,选中更改后的字符串—单击鼠标右键—在弹出的菜单中选中copy to executable file菜单
    然后 在hex窗口中鼠标右键–选择save file菜单

  • 在其他内存区域生成新字符串并传递给消息函数
    按ctrl+f2重新调试,开始的时候在main函数的地址处下了断点在按f9就会自动跳转到main函数处了

向MessageBoxW()函数传递字符串参数时,传递的是字符串所在区域的首地址。如果改变了字符串地址,消息框就会显示改变后的字符串。在内存的某个区域新建一个长字符串,并把新字符串的首地址传递给MessageBoxW()函数,可以人为传递的是完全不同的字符串地址。

  • 简单分析helloword
#include "windows.h"
#include "tchar.h"

int _tmain(int argc, TCHAR * argv[])
{
	MessageBox(NULL,"Hello World!","张轩瑞",MB_OK);
	return 0;
}

用vs生成release exe
用od打开
在这里插入图片描述
打开后直接敲messageboxw(因为输出字符会调用这个api)
在这里插入图片描述
然后我们直接点击即可,来到了这里
在这里插入图片描述
在函数起始地址处下上断点(f2)
在这里插入图片描述
然后按f9继续执行
在这里插入图片描述
程序执行到messageboxw代码的断点处就停下来了,可以看见栈中的值
在这里插入图片描述
esp值的18ff30处对应一个返回地址401014,helloworld.exe的main()函数调用完messageboxw函数后,程序执行流将返回到该地址处。按ctrl+f9快捷键使程序运行到messageboxw函数的RETN命令处,然后按F7键也可以返回到401014地址处。地址401014的上方就是地址40100E,它正是调用messageboxw函数的地方
在这里插入图片描述
修改字符串缓冲:
在dump窗口输入ctrl+g快捷键执行go to命令
在这里插入图片描述
然后点击确定,然后选中4092A0地址处的字符串
在这里插入图片描述
快捷键ctrl+e打开编辑窗口
在这里插入图片描述
请注意:unicode字符串必须以null结束,它占据2个字节(添加null时不能直接在unicode文本框中进行,而要在hex项目中添加)
然后鼠标右键–>复制到可执行文件—>保存为文件 保存为exe即可
在这里插入图片描述
在这里插入图片描述
运行修改生成后的exe,可见修改成功
在这里插入图片描述
其他内区域新建字符串并传递给消息函数
在这里插入图片描述
401007地址处有一条push 004029A0命令(前面那字符串不用管),它是把该地址处的值也就是hello world传递给messageboxw()函数 (字符串所在区域首地址)

我们在方法一中修改的字符串地址为4092A0,在dump窗口查看该部分
,我们找到内存区域有null填充的部分
在这里插入图片描述
在这里远一个地址填入我们想要修改的字符串
在这里插入图片描述
修改地址
在这里插入图片描述
按f9运行程序
在这里插入图片描述
修改成功

. iDea.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++/C#反编译工具
12-10
最新的C++、C#源码查看工具,可以直接中exe、dll、obj中查看程序源代码
[Python逆向] 逆向Pyinstaller打包的exe文件源码及保护
杰孑的博客
01-12 6584
我们都知道可以使用库可将.py文件编译成.exe文件运行,这篇文章我们就从将脚本编译成.exe并将.exe的源码内容反编译出源文件,再顺便谈谈如何防止被逆向
反编译python 生成的exe源码
qq_34004131的博客
12-27 7627
分别把这俩个文件使用编辑工具打开,打开后得到一堆进制,注意看俩个文件的区别,struct比main多一行,这时需要把struct第一行复制到main第一行保存。②:uncompyle6 main.pyc > test.py (这里的test.py就是重命名后的解析文件,可以自己重命名)①:先把下载的pyinstxtractor.py文件和需要进行反编译的exe文件放在一个目录中。安装完成后,使用uncompyle6可以进行反编译.pyc后缀的文件了。记录反编译exe工具使用。执行后会得到你想要的文件。
查看exe文件源代码_效率办公 | 一款让你文件打开速度快的飞起的神器
weixin_39604983的博客
12-07 2384
本次为大家介绍的效率神器是一款开源、免费桌面快速预览工具,它叫:QuickLook。使用它可以快速提升我们的文件预览速度,只需要用鼠标选中文件,然后点击空格,即可预览。就像 macOS 里的那样,支持图片、压缩包、PDF、Office 文档、视频等等。在后台回复【QK】获取下载地址QuickLook 使用方法双击【QuickLook.exe】运行自解压完成后,程序自动运行我们任意找到一张...
从exe程序反汇编得到py源码
热门推荐
nwao7890的专栏
03-17 1万+
从exe 怎么得到python文件呢
app逆向学习相关笔记
12-13
app逆向笔记
安卓逆向学习笔记(5)
02-28
博客安卓逆向学习笔记(5)所附资源,里面包含一个调试程序AliCrackme_2.apk
安卓逆向学习笔记(6)
03-23
博客安卓逆向学习笔记(6)所附资源,里面包含两个Apk:原始Apk和破解后所得到的Apk。
安卓逆向学习笔记(2)
02-28
博客安卓逆向学习笔记(2)所附资源,包括apktool安装包,调试apk,签名工具auto-sign。
安卓逆向学习笔记(7)
03-23
博客安卓逆向学习笔记(7)所附资源,里面包含两个Apk:原始Apk和破解后的Apk。
c#exe查看源码的快速方法 c# winform 反编译、查加壳、脱壳综合方法
04-30
c# winform 反编译、查加壳、脱壳综合方法 有的项目已经老旧,已经无人咨询业务、逻辑,能不能看里面的源码呢? 这里有几套工具,查看过多个项目,期望对大家有帮助。 https://blog.csdn.net/weijia3624/article/details/124508978
打开EXE程序源码
01-15
打开EXE程序源码
VB 反编译器,查看EXE文件内部.rar
07-10
VB 反编译器,查看EXE文件内部,用这个小程序可查看EXE文件内部的窗体、模板、类、用户控件、过程、图标资源以及API函数等,解开EXE内部的神秘面纱,这个VB写的EXE反编译器确实写的很不错哦。
对简单的EXE文件进行逆向分析
最新发布
m0_62821046的博客
10-31 1047
(4)对生成的EXE文件进行反汇编和逆向工程,得到能够在控制台上输出“Reverse Eng”的EXE程序。④直接对ASCII进行修改,将Hllo World修改为Reverse Eng。默认情况下,输出目录为项目文件夹下的“Debug”或“Release”文件夹。(1)使用VC++,C语言编写简单的hello world程序。getchar();②在底部command中输入 d+空格+字符串位置,进行定位。(3)将hello word文件拖到ollydbg中。⑤将字符串结束的HEX数据修改为0。
黑客进阶基础篇:逆向破解win.exe—让我们来谈谈逆向分析那些事
C语言C++学习俱乐部:765860056
10-27 5180
前言:这是学进制逆向过程中遇到的一道题目,为了学习和成长,和大家一起分享! 题目在最下面那里,接下来一起看看吧。 首先win.exe拿进去看,运行: 看来可以拖进去ida(提示是32位,自己可以尝试) 拖进去,优先找main函数,按F5: 看到一个do while的循环语句 说明要输入的第一个数字是2018,输进去,看看: 对的,很好,接下去分析, 看到congratulation! 说明这里是关键函数,所以V3是我们的关键数字,要不能为空,找到V3的出处。那个..
查看exe文件源代码_那些你分不清的文件拓展名
weixin_39632293的博客
12-10 5466
文件扩展名也称为文件的后缀名,是操作系统用来标志文件类型的一种机制。A filename extension, also known as a file extension, is a mechanism used by the operating system to identify the file type.关于扩展名的误区&特性Misconceptions about E...
API HOOK 之调试HOOK hookdbg.exe源代码结构分析——《逆向工程核心原理》读书笔记
qq_41170946的博客
02-06 316
源代码 #include "windows.h" #include "stdio.h" LPVOID g_pfWriteFile = NULL; CREATE_PROCESS_DEBUG_INFO g_cpdi; BYTE g_chINT3 = 0xCC, g_chOrgByte = 0; BOOL OnCreateProcessDebugEvent(LPDEBUG_EVENT pde) { ...
逆向学习汇编语言学习笔记
08-12
对于逆向学习汇编语言的学习笔记,我可以给你一些基本的指导。首先,汇编语言是一种低级语言,它与计算机的底层硬件密切相关。逆向工程则是通过分析和理解已编译的程序来获取程序的内部信息。 以下是一些学习汇编...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值