- 博客(7)
- 收藏
- 关注
RSS订阅原创 API断点(二)
OD中的系统领空和程序领空(个人理解)系统领空:载入OD的程序在编写时会调用一些系统函数,OD动态调试时遇到这些调用语句,就会跳转到系统中相应的函数所在位置即系统领空。程序领空:程序载入OD后,执行程序每一个语句的地址区域。如何区分程序领空和系统领空:1、看地址:地址特别大的属于系统领空,地址比较小的(一般以00开头)属于程序领空。上图中,地址都是以76开头,地址十分大,那...
2018-11-15 20:19:52
866
原创 PE文件中对DOS存根的一些想法
首先先了解一下PE文件:PE(Protable Executable),即可移植的执行体。在Windows操作系统平台下,所有的可执行文件如EXE文件、DLL文件、SYS文件、OCX文件、COM文件等均使用PE结构。PE文件结构包含的结构体有DOS头、PE标识、文件头、可选头、目录结构、节表等。这篇文章主要是对DOS头的一些想法,DOS头主要分为两部分即“MZ头部”和“DOS存根”。M...
2018-11-13 21:38:11
1322
原创 API断点(一)
API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。(百度百科内容)MessageBox 函数用于创建、显示并操作一个消息对话框。该对话框包含由调用程序定义的信息和标题,以及预先定义的图标和按钮。(百度百科内容)今天...
2018-11-12 22:27:58
1774
原创 ini重启验证
ini配置文件(百度百科内容):ini 文件是Initialization File的缩写,即初始化文件 [1] ,是windows的系统配置文件所采用的存储格式,统管windows的各项配置,一般用户就用windows提供的各项图形化管理界面就可实现相同的配置了。但在某些情况,还是要直接编辑.ini才方便,一般只有很熟悉windows才能去直接编辑。开始时用于WIN3X下面,WIN95用注...
2018-11-08 22:45:24
397
原创 bugku的ctf逆向入门练习(逆向入门)
bugku逆向第五题:逆向入门下载文件后发现是一个exe的可执行文件,双击出现如下界面:还是先查壳:发现不是有效的pe文件,用notpad打开试试:发现是“image/png;base64”,猜测是经过base64加密的图片,将整段内容复制下来,base64转图片:或者使用HTML的img标签的src属性(格式为:<img src "url"/>)...
2018-11-07 20:30:39
7289
原创 EAX寄存器(关键跳,关键CALL)
OD动态调试过程中,寄存器窗口是需要时常关注的!EAX寄存器:累加器,在乘法和除法指令中被自动调用;在win32中,一般用在函数的返回值中。CALL:过程调用指令 格式: CALL OPRD 功能: 过程调用指令(说明: 1. 其中OPRD为过程的目的地址. 2. 过程调用可分为段内调用和段间调用两种.寻址方式也可以分为直接寻址和间接寻址两种. 3. 本指令不影响标志位.)32位...
2018-11-04 22:59:35
15699
1
原创 bugku的ctf逆向入门练习(游戏过关)
bugku逆向第四题:游戏过关下载后打开发现如下界面:先查壳:发现是VC++写的,无壳。接下来载入OD,调试发现,每次输入n,程序都会跳转到00F6E8F3处,周而复始往复循环猜测这一段代码可能是对输入的n值进行判断的,因此利用jmp语句跳过这一段,让程序直接跳转到含有“done!!! the flag is”的那段地址即地址为00F6E940处:修改处界面如下:...
2018-11-01 15:52:33
4583
3
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人