逆向工程
文章平均质量分 76
0x4C43
0x4C43.cn
展开
-
c语言逆向基础
1. 全局变量整数(00x12345678)在内存中的表示方式: 大端机:逻辑上低字节放在内存低地址(高高低低原则),78 56 34 12.Intel x86 小端机:逻辑上高字节放在内存低地址,12 34 56 78.PowerPC全局变量的线性地址在编译时已经写定了,故每个进程中同一个全局变量的线性地址是相同的。 在CPU的保护模式下,对于同一个程序的每个进程都有自己独立的线性地址空原创 2015-11-21 12:00:45 · 3094 阅读 · 0 评论 -
2016 华山杯 Writeup
Reverse7 移动迷宫Value: 200 Description: 当赶到的时候发现对方已经提前接头了,但在现场遗留了一个 U 盘并恢复出了一个登陆程序,如何才能拿到密钥?题目为走迷宫的形式。IDA中F5查看伪代码,程序先将输入的字符串通过locate函数进行变换。locate函数将输入字符串str的字符与二维数组table中的字符进行匹配,并返回各字符在数组中所在的列号(1,2,3,4),原创 2016-09-13 09:40:56 · 1350 阅读 · 1 评论 -
ebCTF bin200 Writeup
刚接触CTF,做了一道简单的逆向题(题目链接)。这道题是一个掷骰子的游戏,只要能掷出一串特定的值就能得到flag。0x01 IDA加载分析使用IDA加载二进制文件,打开Strings window查看字符串。通过这些字符串可以看到只有一次掷出3-1-3-3-7就有可能得到flag,但是要随机掷出这些数字明显不可能,因为其中有个7!为此,需要跟进字符串“[*] You rolled a three!原创 2016-08-10 19:48:24 · 776 阅读 · 0 评论 -
逆向常用汇编指令
cdq(Convert Double to Quad)功能: 将 EAX 扩展为 64 位数 EDX:EAX。该指令先把edx的每一位置成eax的最高位(若eax>=0x80000000, 则edx=0xFFFFFFFF;若eax<0x80000000,则edx=0x00000000),再把edx扩展为eax的高位。应用: 该指令常用于扩展被除数,很久前,指令集规定除数必须是被除数的一半长,这原创 2016-09-01 21:49:13 · 3625 阅读 · 2 评论 -
PE文件
PE文件格式是可执行文件的数据格式(.dll、.exe) .text:由编译器产生,存放二进制的机器指令,是反汇编和调试的主要对象 .data:初始化的数据块,如宏定义,全局变量等 .idata:使用DLL等外来函数与文件的信息,即输入表 .rsrc:存放程序的全部资源,如图标、菜单、位图等虚拟内存物理内存:进入windows内核级别ring0才能看到 虚拟内存:调试器中看到的内存地原创 2015-11-19 15:45:33 · 732 阅读 · 0 评论