逆向
文章平均质量分 87
逆向
学编程的闹钟
编程资料群:387618421 可交流任何语言。
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
超全(OD逆向常用断点)包括多个语言,易语言也有
本文总结了多种编程语言(C、VC、VB、易语言、D语言等)的逆向分析方法和常用断点技巧。主要内容包括:窗口拦截、消息框拦截、注册表操作等关键API断点;针对VB、Delphi、C++等不同语言的专用断点方法;按钮事件定位、字符串分析、堆栈调用等逆向思路;以及重启验证、功能限制、时间限制等常见保护机制的破解方法。文章详细列举了各类断点函数及其应用场景,为逆向工程提供了全面的技术参考。原创 2024-10-27 10:11:46 · 37103 阅读 · 0 评论 -
winmm劫持详解
DLL劫持注入是一种利用Windows系统DLL加载机制的攻击技术。攻击者通过精心构造恶意DLL文件,利用系统默认的DLL搜索顺序(优先加载应用程序目录中的DLL),使程序加载恶意DLL而非系统原始DLL。典型实现包括保持与原DLL相同的导出函数、执行恶意代码后转发到原始函数,并妥善管理资源加载释放。常见劫持目标包括winmm.dll等系统DLL,防御措施建议使用绝对路径加载关键DLL、限制搜索范围并验证数字签名。该技术具有隐蔽性强、持久性好等特点,被广泛应用于外挂注入、权限提升等攻击场景。原创 2024-10-26 12:19:15 · 36832 阅读 · 0 评论 -
记一次win7下逆向扫雷到DLL(HOOK)注入
本文详细分析了Windows 7扫雷程序的逆向过程。作者通过OD调试器定位关键函数,包括布雷函数和鼠标点击处理函数。研究发现扫雷程序使用随机数种子生成雷区布局,并通过多层指针访问雷区数据。文章提供了获取游戏基址的方法,并分析了雷区数据结构(1-8为数字,9未开,10旗,11问号)。最后作者实现了秒杀功能的核心代码,包括鼠标点击模拟和内存修改,并展示了在最高难度下的秒杀效果。该分析为理解扫雷游戏内部机制提供了详细参考。原创 2026-02-09 16:44:12 · 2314 阅读 · 0 评论 -
HOOK技术的简单使用
APIHOOK技术是逆向工程中的核心方法,通过拦截和修改API调用实现程序行为控制。本文系统阐述了APIHOOK的三大技术层次(用户层、内核层、混合层)及其应用场景,包括功能扩展、行为监控和逆向修改。重点解析了IATHOOK、InlineHOOK等实现原理,并推荐了可视化DLL劫持工具。通过注册验证案例演示了从目标分析到DLL配置的完整流程,同时探讨了反HOOK对抗和法律边界问题。该技术能显著提升逆向效率,但需在合法范围内使用。原创 2024-10-24 10:42:37 · 36358 阅读 · 0 评论 -
实战enablesoft网络验证加VMProtect
本文详细介绍了破解enablesoft网络验证系统加VMProtect保护程序的实战方法。首先通过PEID等工具分析程序特征,识别出Delphi编写并使用VMProtect 2.0-3.0加壳。重点讲解了调试环境配置、验证模块定位、关键断点设置等逆向技巧,包括处理反调试机制、分析临时文件释放路径。针对验证流程,提供了详细的单步跟踪方法、关键跳转修改方案,并分析了多层退出保护机制及应对策略。最后阐述了程序定时检测原理及破解方法,包括拦截终止调用、修改线程检测函数等技术要点。全文150字。原创 2025-12-09 00:09:03 · 403 阅读 · 0 评论 -
浅谈VMProtectV2.13.8的IAT修复
本文详细介绍了在XP虚拟机环境下调试VMP2.13.8加壳程序的技术方法。主要内容包括:1. 定位OEP的技巧:通过VirtualProtect函数特征设置硬件断点;2. API调用分析:区分FF15、FF25和MOV三种调用类型,提出原创判断方法;3. 修复脚本逻辑:特征码搜索、类型判断和代码修复流程;4. 手动修复要点:处理二次重定向和函数头被偷情况;5. 最终修复步骤:使用UIF工具排序IAT并用REC实现跨平台修复。文章提供了完整的脱壳技术路线,从定位OEP到最终修复的全过程解决方案。原创 2025-12-09 00:08:26 · 875 阅读 · 0 评论 -
简单分析VMProtectV3.3.1
本文分析了VMProtect 3.3.1的虚拟机架构变化,通过解混淆脚本展示了其指令流解密过程。相比VMP2.X,3.X版本取消了栈混淆,采用新的链式虚拟机结构,寄存器随机选用。文章详细解析了vPopImm32、vPushImm32等关键指令的处理流程,并介绍了无脑爆破的修改跳转指令方法。最后提供了基于capstone的解混淆脚本原理,通过消除死代码实现寄存器活跃性分析。脚本可从作者Gitee获取,适用于分析VMP3.X的虚拟机结构。原创 2025-12-08 00:46:52 · 1480 阅读 · 0 评论 -
VMProtect肤浅认知记录
本文分享了针对VMP保护的逆向分析方法。主要内容包括:1. 虚拟机检测绕过方法,通过修改VMware配置文件关闭后门功能;2. VMP自校验的三种检测方式(文件、内存、解码校验)及应对策略;3. 使用zeus插件辅助分析VMP程序的过程,包括修复IAT和处理CPUID检测。文章提供了多种技术思路,如修改hash表、hook关键函数等,同时也指出部分方法在新版本VMP中可能失效。作者强调这些方法需要根据具体情况选择使用,并提醒注意VMP的内存随机校验机制。原创 2024-10-23 18:15:18 · 37059 阅读 · 0 评论 -
编写VMP爆破插件 (上)
本文介绍了使用VS2022和Ollydbg SDK开发JCC爆破插件的详细过程。首先讲解了OD插件开发的基础框架,包括ODBG_Plugindata、ODBG_Plugininit等核心函数的实现方法。然后重点阐述了如何通过Unicorn引擎模拟执行代码,包括内存映射、寄存器初始化和Capstone反汇编引擎的使用。文章还提供了获取OD当前调试状态、处理用户输入等实用技巧,并展示了插件菜单项的创建和功能实现。最后提到将分三期完整介绍插件开发,包括JCC爆破实现、完整代码开源和IAT还原技术。原创 2025-12-09 00:08:50 · 878 阅读 · 0 评论 -
也玩一把VMP爆破
本文分析了VMP2.08虚拟机保护下的代码混淆与破解方法。文章指出其混淆主要依赖数据流插入死码和控制流间接转移。核心在于理解VMP如何通过唯一的逻辑指令VM_NOR来模拟所有运算(如减法a-b = VM_NOR(VM_NOR(a,a)+b, VM_NOR(a,a)+b))和条件跳转(通过操作EFLAGS中的ZF等标志位)。实战部分提供了通过运行跟踪定位关键VM_NOR指令Handler,并修改条件判断标志位(如将EAX设为0x40)来实现爆破的思路,最后提及了使用VEH机制打补丁的注意事项。原创 2024-10-26 13:56:38 · 36583 阅读 · 0 评论 -
新手某UPX壳脚本,脱壳+破简单网络验证+心跳处理
本文详细记录了对"hahaha.exe"试用版软件的逆向分析过程。通过PE分析工具检测发现该软件使用修改版UPX加壳,经多次脱壳尝试后采用OllyDbg手动脱壳成功。分析发现程序包含网络验证、时间检测和反调试机制,验证过程会检查用户信息并连接特定IP。通过修改关键指令成功绕过网络验证和时间限制,并详细解析了其加密算法和反调试技术。最终实现对软件的完整逆向分析,包括功能测试、代码补丁及技术原理分析。原创 2024-10-25 09:59:10 · 37087 阅读 · 1 评论 -
新手某UPX脱壳+破简单网络验证+心跳处理
本文详细记录了对"hahaha.exe"试用版软件的逆向分析过程。通过PE分析工具检测发现该软件使用修改版UPX加壳,经多次脱壳尝试后采用OllyDbg手动脱壳成功。分析发现程序包含网络验证、时间检测和反调试机制,验证过程会检查用户信息并连接特定IP。通过修改关键指令成功绕过网络验证和时间限制,并详细解析了其加密算法和反调试技术。最终实现对软件的完整逆向分析,包括功能测试、代码补丁及技术原理分析。原创 2025-12-09 00:09:16 · 1823 阅读 · 0 评论 -
手动改造UPX壳,增加IAT保护
本文详细介绍了Delphi7程序的加壳与IAT修复过程。首先创建基础VCL窗体程序并添加测试功能,然后使用UPX工具进行加壳处理(压缩率约62%)。重点阐述了逆向分析中定位原始入口点(OEP)的方法和Borland编译器的IAT特性,包括其离散分布结构和延迟加载机制。详细说明了IAT修复技术,包括外壳代码修改、新区块添加及ImportREC工具的使用技巧,并总结了Borland特殊处理、动态IAT加密和反调试等高级保护技术。整个过程兼顾理论分析与实践操作,为Delphi程序保护提供了完整解决方案。原创 2024-10-25 09:48:00 · 36895 阅读 · 0 评论 -
教你如何写UPX脱壳脚本
本文详细介绍了针对标准UPX 3.9x壳的脱壳脚本编写方法,包括准备工作、特征分析、脚本编写步骤和注意事项。主要内容包括:UPX壳的关键特征指令识别方法;使用OllyScript实现自动化定位OEP的技术;处理DLL重定位的特殊方法;完整脚本示例及错误处理机制。文章强调脚本主要适用于标准UPX壳,并提供配套工具资源和安全测试建议,旨在帮助读者掌握从手动调试到自动化脱壳的转换过程,理解壳的运作机制。需要具备x86汇编、PE结构和调试器操作等基础知识。原创 2024-10-24 10:49:59 · 36511 阅读 · 0 评论 -
新手逆向实战三部曲之三——通过进入关键call追码注册软件(进阶)
下图的call为用邮箱算出真正注册码,即为右上角的267527263(具体算法本次不深入研究,有兴趣的可自行尝试)有了上次爆破的基础,这次便省力了许多,这次从载入开始,虽前头的几个步骤与之前相同,温故而知新嘛(也可直接往后看)一般情况关键call就在关键跳的不远处,可见这个call应该就是我们要找的关键call了,在此处F2下断。通过前两次的学习,是不是感觉逆向也蛮有意思的呢,感兴趣的同学可以先看看前二次的内容再继续向下学习。重载程序,重复之前的注册步骤,程序断在关键call处,进入这个call。原创 2024-10-28 09:53:40 · 36977 阅读 · 0 评论 -
新手逆向实战三部曲之二——通过更改关键跳注册软件(爆破)
经过对软件的了解,本次教程采用的是下bp MessageBoxA断点的方法找关键跳,进而修改关键跳跳过失败使软件任意输入都能成功。软件已无壳,具体脱壳请移步"新手逆向实战三部曲之一",这里略去查壳脱壳。可是为什么还会失败呢,因为在jmp下面有一个跳转进来使jmp不起作用啦。由上面的分析,这个使jmp失效的跳转应该就是关键跳,于是。将上图的跳转nop掉即可,右键,二进制,用nop填充。运行程序,点击注册,输入信息后确定。软件会停在下图的位置。原创 2024-10-28 09:51:04 · 36244 阅读 · 0 评论 -
新手逆向实战三部曲:快速脱壳->爆破->进
本文详细介绍了软件逆向工程的三大核心技术:脱壳、爆破与追码。在脱壳部分,讲解了使用PEiD、ExeinfoPE等工具识别壳类型,通过OllyDbg定位OEP及修复导入表的方法。爆破教程重点阐述了定位关键代码、修改验证逻辑的技巧。追码进阶部分则深入分析了注册算法逆向、注册机编写等高级技术。文章采用分步骤讲解方式,配合典型代码示例,涵盖了从基础查壳到复杂算法分析的完整流程,同时强调了法律合规性和操作安全性,适合逆向工程学习者系统掌握软件分析技术。原创 2024-10-27 10:14:21 · 36641 阅读 · 0 评论 -
利用工具半自动修复VMP3.5壳的变异IAT
本文详细介绍了变异IAT修复的完整流程,主要使用x32dbg、vmp3-import-fix-x86等工具。操作分为四步:首先定位OEP并暂停执行,记录关键信息;然后dump程序;接着用UniversalImportFixer修复IAT;最后通过ImportsFixer处理导入表并修正转储文件。教程强调需以管理员权限运行工具,准确填写进程ID和地址范围,并建议操作前备份文件。整个过程需要耐心,可能涉及手动修复导入函数。原创 2024-03-11 10:08:08 · 38281 阅读 · 0 评论 -
25个不同VMProtect版本合集
VMProtect历史版本合集(25个版本)提供了完整的技术保护方案演进记录。包含2003-2022年间1.x至3.x系列所有重要版本,涵盖32位到64位架构转换、LLVM集成等关键技术节点。每个版本均经过病毒扫描、哈希校验和功能测试验证,提供Windows/Linux多平台支持。下载包含主程序、SDK工具包及完整文档,适用于安全研究、逆向工程分析等合法用途。注意:所有版本仅供研究使用,商业应用需遵守官方授权协议。提供百度网盘、MEGA等多种下载方式,推荐使用IDM等多线程工具获取更佳下载体验。原创 2024-10-22 10:59:39 · 41727 阅读 · 3 评论 -
od和x32dbg脚本分享
本文分享了OD和x32dbg调试工具的实用脚本资源下载与使用指南。主要内容包括:1)提供腾讯微云下载链接(含主链接和备用链接),包含85MB的调试脚本资源(23个核心脚本+15个插件);2)详细说明脚本分类,涵盖API监控、加密算法识别、反反调试等类型;3)给出安全使用建议,包括虚拟机配置、文件扫描和安全检测流程;4)提供学习应用场景,如逆向工程、漏洞分析和恶意代码检测;5)列出问题反馈所需信息模板。资源每周更新,适合调试技术学习和实践应用。原创 2024-10-22 11:03:59 · 36547 阅读 · 3 评论
分享