排序:
默认
按更新时间
按访问量

API断点(二)

OD中的系统领空和程序领空(个人理解) 系统领空:载入OD的程序在编写时会调用一些系统函数,OD动态调试时遇到这些调用语句,就会跳转到系统中相应的函数所在位置即系统领空。 程序领空:程序载入OD后,执行程序每一个语句的地址区域。 如何区分程序领空和系统领空: 1、看地址:地址特别大的属于系...

2018-11-15 20:19:52

阅读数:16

评论数:0

PE文件中对DOS存根的一些想法

首先先了解一下PE文件: PE(Protable Executable),即可移植的执行体。在Windows操作系统平台下,所有的可执行文件如EXE文件、DLL文件、SYS文件、OCX文件、COM文件等均使用PE结构。 PE文件结构包含的结构体有DOS头、PE标识、文件头、可选头、目录结构、节...

2018-11-13 21:38:11

阅读数:30

评论数:0

API断点(一)

API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。(百度百科内容) MessageBox 函数用于创建、显示并操作一个...

2018-11-12 22:27:58

阅读数:5

评论数:0

ini重启验证

ini配置文件(百度百科内容): ini 文件是Initialization File的缩写,即初始化文件 [1]  ,是windows的系统配置文件所采用的存储格式,统管windows的各项配置,一般用户就用windows提供的各项图形化管理界面就可实现相同的配置了。但在某些情况,还是要直接编...

2018-11-08 22:45:24

阅读数:4

评论数:0

bugku的ctf逆向入门练习(逆向入门)

bugku逆向第五题:逆向入门 下载文件后发现是一个exe的可执行文件,双击出现如下界面:  还是先查壳: 发现不是有效的pe文件,用notpad打开试试: 发现是“image/png;base64”,猜测是经过base64加密的图片,将整段内容复制下来,base64转图片: ...

2018-11-07 20:30:39

阅读数:51

评论数:0

VMP壳内破解程序

今天所用到的示例程序仍然是《Shark恒零基础百集VIP破解教程》中的示例程序: 打开程序,发现需要注册,先查壳,发现是VMP壳: 下面载入OD,运行程序: 转入正常程序代码段后,搜索字符串: 找到相应的字符串后转入到对应地址,向上朔源,发现关键跳je,刚好跳过刚刚的代码段...

2018-11-05 23:32:54

阅读数:13

评论数:0

EAX寄存器(关键跳,关键CALL)

OD动态调试过程中,寄存器窗口是需要时常关注的! EAX寄存器:累加器,在乘法和除法指令中被自动调用;在win32中,一般用在函数的返回值中。 CALL:过程调用指令  格式: CALL OPRD  功能: 过程调用指令(说明: 1. 其中OPRD为过程的目的地址. 2. 过程调用可分为段内调...

2018-11-04 22:59:35

阅读数:477

评论数:0

绕过自效验(文件大小自效验)

今天所接触到的是绕过自效应。 所用到的还是《Shark恒零基础百集VIP破解教程》中的示例程序: 查壳,发现是Nspack 载入OD,发现可以用ESP定律脱壳,那就先脱壳,脱壳后发现程序不能打开,载入OD,插件-api断点设置-选择“getfilesize”断点(这里下断点的目的是直...

2018-11-01 23:14:54

阅读数:30

评论数:0

bugku的ctf逆向入门练习(游戏过关)

bugku逆向第四题:游戏过关 下载后打开发现如下界面: 先查壳: 发现是VC++写的,无壳。接下来载入OD,调试发现,每次输入n,程序都会跳转到00F6E8F3处,周而复始往复循环 猜测这一段代码可能是对输入的n值进行判断的,因此利用jmp语句跳过这一段,让程序直接跳转到含有“d...

2018-11-01 15:52:33

阅读数:26

评论数:0

ESP定律脱壳

所用工具:lordPE、importREC、OD 今天所用的示例程序还是《Shark恒零基础百集VIP破解教程》中的示例程序: 先查壳(ASPack壳):  载入OD,得到程序的oep入口(13002): 打开lordPE,找到相应程序,点击右键选择修复镜像,然后再右键完整转存(脱...

2018-10-31 22:57:15

阅读数:11

评论数:0

bugku的ctf逆向入门练习(Easy_Re)

bugku逆向第三题:Easy_Re 下载附件后打开发现要求输入flag,随便输入一个试试,提示不对,继续后界面关闭: 先查壳,发现无壳,然后载入OD,查找字符串: 转到“flag get”的字符串对应的地址,向上查阅,发现一个jnz跳转语句刚好跳过“flag get”, 下断后运...

2018-10-31 17:11:32

阅读数:41

评论数:0

ESP定律脱ASPack壳

今天接触到的是用ESP定律脱ASPack。 百度百科里的ESP定律 用到的示例程序还是《Shark恒零基础百集VIP破解教程》中的示例程序: 查壳发现是ASPack: 下面载入OD: 看见pushad的指令,单步调试,发现寄存器窗口就ESP显示为红色(表示可以用esp定律脱壳): ...

2018-10-30 22:13:42

阅读数:10

评论数:0

bugku的ctf逆向入门练习(Easy_vb)

bugku的逆向第二题:Easy_vb 下载附件后是一个exe的可执行程序,打开软件,似乎没有什么用: 查壳,发现程序是VB写的,无壳 先载入OD,搜索字符串,发现flag(MCTF{_N3t_Rev_1s_E4ay_}): 下面再载入IDA看一看: 发现程序只有一个主函...

2018-10-30 16:28:24

阅读数:24

评论数:0

bugku的ctf逆向入门练习(入门逆向)

bugku的逆向第一题:入门逆向 下载压缩包解压后发现不能打开,先查壳:  发现无壳,载入OD后 发现一段赋值操作的代码,载入IDA,在主函数中找到这段代码: 选中每个语句按“R”转字符串,得到flag:flag{Re_1s_S0_C0oL}     ...

2018-10-29 22:00:31

阅读数:25

评论数:0

带壳查找注册码

今天接触到的是在不去壳的情况下通过OD动态调试查找注册码。 所用到的还是《Shark恒零基础百集VIP破解教程》中的示例程序: 打开软件,发现需要注册码,随便输入后,软件重启,然后还是需要注册。 分析前,先查壳: 发现是ASPack(AsPack是高效的Win32可执行程序压缩工具...

2018-10-29 21:32:29

阅读数:31

评论数:0

jmp法破解程序

无条件转移指令JMP   格式: JMP OPRD   功能: JMP指令将无条件地控制程序转移到目的地址去执行.当目的地址仍在同一个代码段内,称为段内转移;当目标地址不在同一个代码段内,则称为段间转移.这两种情况都将产生不同的指令代码,以便能正确地生成目的地址,在 段内转移时,指令只要能提供目的...

2018-10-28 23:12:42

阅读数:10

评论数:0

nop法破解程序

nop是汇编指令,即空指令,作用是执行到该语句是不做任何动作,继续执行下一语句。 接触到的程序是《Shark恒零基础百集VIP破解教程》中的示例程序: 打开软件之前先用peid查壳:(以下是百度百科的对加壳解释——加壳:其实是利用特殊的算法,对可执行文件里的资源进行压缩,只不过这个压缩之后的文...

2018-10-27 18:37:02

阅读数:46

评论数:0

时间和日期(模块和方法)2

datetime模块datetime是date与time的结合体,包括time和date的所有内容。datetime定义了两个常量,即datetime.MINYEAR和datetime.MAXYEAR,分别表示最大年份和最小年份,其中,datetime.MINYEAR=1,datetime.MAX...

2018-04-12 20:39:30

阅读数:28

评论数:0

时间和日期(模块和方法)1

时间戳时间戳表示从1970年01月01日00时00分00秒到现在起的总毫秒数。百度百科python中时间格式化符号格式含义%a本地简化星期名称%A本地完整星期名称%b本地简化月份名称%B本地完整月份名称%c本地相应的日期和时间表示%d一个月中的第几天(01~31)%H一天的第几个小时(24小时制,...

2018-04-12 20:08:18

阅读数:84

评论数:0

异常

python中为避免代码发生错误影响程序执行,引入了异常。当python脚本发生异常时,需要捕获并处理异常,否则程序会终止执行。每一个异常都是一些类的实例,这些实例可以被引用,可以通过多种方法进行捕捉,使得错误可以被处理,而不是终止整个程序。另外,异常具有“传播性”,如果未被处理,就会“传播”到函...

2018-04-10 20:52:26

阅读数:26

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭