Reverse
文章平均质量分 72
C4ndy
又菜又爱玩,还不服输,真是服了!!!!
展开
-
高级语言基础结构的汇编形式
这两个结构都是用某一个变量作为循环结束评判的标准,但是在for结构中比较明显的就是在循环体的末尾,也就是在判断标准之前通常会有一个标准++的操作,也就是常见的i++操作。通过观察汇编代码可以知道,switch结构和其他结构的不同之处在于存在非常多的cmp和jmp以及条件跳转语句,这也是辨认出是switch结构的标志。在do-while结构中是先执行一次循环体的内容,在进行循环结束的判断,这就是do-while结构与while和for的不同之处。while结构和for结构的区别就在于是否有初始化值的过程。原创 2023-02-14 16:03:15 · 121 阅读 · 0 评论 -
UnPackMe_EZIP1.0——脱壳实验<ESP定理法>
而且在程序中存在两个.text、.rdata、.data区段,应该是加壳人,直接复制了程序的前三个区段,并添加到程序区段的后面。执行指令直至ESP发生改变,即push指令执行之后,跟随ESP地址的数据,设置硬件断点。将存储壳代码、数据和资源的去掉清除就好了,没啥可说,清除也可以,影响不大。这里需要注意的一点就是,在dump文件之前,先删除自己所下的硬件断点;根据程序的入口地址,可以知道程序的入口地址处于后面的.text区段中。可以查看自己下的硬件断点,以及删除自己所下的硬件断点,如下图所示;原创 2023-02-14 09:43:54 · 146 阅读 · 1 评论 -
UnPackMe_CrypKeySDK5.7——脱壳实验<单步跟踪ESP>
我们通过使用ImportREC工具检查进程中的输入表,发现输入表并不存在异常,所以我们可以不用对输入表进行修复,同样不需要重构输入表。dump,就是转存,也就是抓取内存镜像,就是把内存指定地址的映像文件读取出来,然后用文件等形式保存下来!的进程,可能是由于吾爱破解OD是管理员权限执行的程序,可以使用OllyICE替代OD。查看区段,发现程序区段的后面加入了三个名称奇怪的区段,应该是由加壳人添加上去的。因为多余的段肯定是壳的区段,我们将存储壳代码的区段删除掉;修正物理地址和物理大小即可得到可执行的脱壳程序。原创 2023-02-14 09:41:26 · 150 阅读 · 1 评论