初识逆向-CSDN博客

原创 010破解(五)之网络验证

010破解(五)之网络验证概述计算出来的序列号只能用一段时间就失效,原因是每次010Edit联网是会通过官网验证我们的序列号,因此要实现完美破解,我们还要分析一下网络验证.分析思路联网输入计算出来的序列号定位到核心代码,一路跟下来,直到无效字符串或者成功字符串注册问题问题:会出现这种情况,就是网络验证不通过可能你会有疑惑,为什么我上篇文章就成功了?我来分析一下,首先我们根...

2019-09-10 09:35:01 1317 1

原创 010破解(四)之注册机

010破解(四)之注册机010破解(二)之算法分析一010破解(三)之算法分析二概述算法总算分析完成了,接下来准备就编写注册机了,根据我们输入的用户名,计算出序列号思路分析方法一:暴力枚举,这种方式太费时间,能用技术解决的事不可能用这种方法的方法二:根据输入用户名计算加密值加密值与密码对应关系可以得到 k4 k5 k6 k7,假设Ret是函数返回的加密值K[4]=Ret&am...

2019-09-10 09:34:50 912

原创 010破解(三)之算法分析二

010破解(三)之算法分析二概述010破解(二)之算法分析一上一篇详细分析了第一种算法,也就是k[3]=0x9C系列的之后分析了k[3]=0xFC系列后发现函数返回值最终并不能返回0x2D因此这篇分析k[3]=0xAC系列的算法,部分地方需要结合上篇文章,在这不重复分析了逐行分析代码枯燥的旅程,耐心、耐心、再耐心013BDCFC 80FB AC CMP BL,...

2019-09-10 09:34:37 318

原创 010破解(二)之算法分析一

010破解(二)之算法分析一010破解(一)之暴力破解暴力破解后,仍然想写一个010Edit的注册机,这篇接着上一篇分析算法分析分析关键函数:单步跟踪,找到访问用户名密码的代码,一步一步分析,加注释,反复推敲,找规律写代码验证在关键函数出下断点,然后注册用户名和密码,监视程序运行函数参数确定:参数一:0x9参数二:0x4389参数三:ecx---------ec...

2019-09-10 09:34:24 479

原创 010破解(一)之暴力破解

010破解(一)之暴力破解010介绍010是非常好用的16进制编辑工具功能介绍:16进制修改文本修改模板解析各种文件格式对比文件暴力破解分析分析思路:找到注册窗口测试注册窗口反应(输入错误的假序列号)根据反应做出下一步分析的打算猜测API,API下断点动态调试挑出敏感字符串,在程序中搜索动态分析,定位关键跳转,修改代码动态分析,定位关键CALL,修改代码...

2019-09-10 09:34:08 865

原创一款比较简单的PDF解密工具注册码分析

文章目录准备工作暴力破解算法分析准备工作工具环境Windows7+OllyDbg+PEiD查壳无壳,VB6.0程序暴力破解OD载入文件,F9运行,点击注册按钮,弹出注册页面去掉网页弹窗,字符串搜索,找到网址内存修改网址,用00填充保存文件分析dump出来的文件提示字符串刚才在找网址的时候见过,定位过去跟踪跳转,直到找到关键跳转验证一下找的对不对,再...

2019-09-09 10:15:09 3009

原创 TEB/PEB定位PE文件导入导出表

文章目录TEB/PEB定位PE文件导入导出表TEB-线程环境块PEB-进程环境块定位导入导出表TEB/PEB定位PE文件导入导出表基本思路：TEB/PEB定位PE文件基址通过FS寄存器找到当前的TEB通过[TEB+0x30]找到PEB的地址通过[PEB+0x0C]找到PEB_LDR_DATA的结构体指针通过[PEB_LDR_DATA+0x1C]找到此结构体的成员InInitiali...

2019-09-07 16:17:47 1714

原创 Office 2003 sp3（CVE-2012-0158）漏洞分析报告

文章目录Office 2003 sp3（CVE-2012-0158）漏洞分析报告1.漏洞背景2.漏洞成因2.1 触发漏洞2.2 定位漏洞模块2.3 定位漏洞函数2.4 分析漏洞成因2.5 总结3.利用过程3.1 分析和设计利用漏洞的ShellCode的结构3.2 寻找跳板指令jmp esp3.3 编写ShellCode，注入ShellCode4.构造Exp5.结语Office 2003 sp3（...

2019-09-07 10:55:34 733 2

原创 3601-lpk.dll劫持病毒分析

文章目录3601-lpk.dll劫持病毒分析1．样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 样本行为概述2．具体行为分析2.1 主要行为2.2 提取恶意代码2.3 恶意代码分析3．解决方案3.1 提取病毒的特征，利用杀毒软件查杀3.2 手工查杀步骤3601-lpk.dll劫持病毒分析1．样本概况1.1 样本信息病毒名称：3601.exe所属家族：木马病毒大小:...

2019-09-07 10:00:59 1481 1

原创勒索病毒分析报告

文章目录勒索病毒分析报告1．样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 样本行为概述2．具体行为分析2.1 主要行为2.2 提取恶意代码2.3 恶意代码分析3．解决方案3.1 提取病毒的特征，利用杀毒软件查杀3.2 手工查杀步骤或是查杀思路勒索病毒分析报告1．样本概况1.1 样本信息病毒名称：DBD5BEDE15DE51F6E5718B2CA470FC3F所属家...

2019-09-07 09:34:56 3986 4

原创熊猫烧香病毒分析报告

文章目录熊猫烧香病毒分析报告1．样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 主要行为概述2．具体行为分析2.1 主要行为2.2 恶意代码分析2.2.1 加固后的恶意代码树结构图2.2.2 恶意程序的代码分析片段3．解决方案(或总结)3.1 提取病毒的特征，利用杀毒软件查杀3.2 手工查杀步骤3.3 熊猫专杀工具熊猫烧香病毒分析报告1．样本概况1.1 样本信息病毒名...

2019-09-07 09:00:10 2218

原创 WinRar压缩工具去广告

WinRar去广告查壳：无壳程序，VS2015编译的64位程序使用Spy++捕获广告窗口类名，窗口标题使用x64dbg调试程序，在CreateWindowW处下断点，观察堆栈窗口，直到参数窗口类名为RarReminder调用堆栈返回上层模块观察上下文,往上找可以看到广告的网址字符串删除之前的API断点，找到函数头部下断点，重新分析程序断下后返回上一层，关键函数参数和返回值...

2019-09-05 20:39:39 350

原创脱壳入门(八)之带反调试的加密壳

文章目录程序分析分析过程1.找OEP2.反反调试3.解密IAT4.OD脚本还原IAT5.内存重建IAT表6.Dump文件，修复程序分析查壳:PESpin壳,连接器版本也没有分析过程1.找OEP用OD载入文件,F7单步走几步就可以看到pushad,用ESP定律程序直接运行完毕,并没有断下来,这说明这个壳有清除硬件断点的反调试得换条路,下API断点,常见的入口APIVB程序:Ge...

2019-09-05 14:40:34 1043

原创极光行动漏洞分析

极光行动流量分析流量包记录不多,共39条记录,两组会话流量包不是很多,可以直接使用流追踪分析:会话一分析://发起请求GET /info HTTP/1.1Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*Accept-Language: en...

2019-09-04 21:44:52 2797 4

原创进程隐藏技术

文章目录进程隐藏技术1.进程伪装2.傀儡进程3.进程隐藏4.DLL劫持进程隐藏技术进程伪装：通过修改指定进程PEB中的路径和命令行信息实现伪装。傀儡进程：通过进程挂起，替换内存数据再恢复执行，从而实现创建傀儡进程进程隐藏：通过HOOK函数ZwQuerySystemInfornation实现进程隐藏DLL劫持：通过#pragma comment指令直接转发DLL导出函数或者通过LoadL...

2019-08-28 09:52:26 7957 1

原创 C++学习笔记（二）

C++学习笔记（二）复习回顾私有继承时,父类成员在子类中是什么访问属性?都变成私有属性 .在类外就无法访问. 在子类内部可以访问父类原有的保护成员和公有成员.什么是重定义? 什么是重载?2.1 重定义 - 不同作用域(父类和子类) , 函数名相同, 参数可以不同. 通过子类对象调用该重定义的函数时,默认调用的是子类的(就近原则)2.2 重载 - 同一个作用域, 函数名相同,形参不同...

2019-08-11 12:15:34 241

原创 C++学习笔记（一）

C++学习笔记从C到C++const修饰符C语言const限定符含义为一个不能改变的变量,本质还是变量,C++的const限定符的含义为一个有类型描述的常量,必须初始化在C++中,被const修饰的变量都变成不可修改的左值(常量)常量必须被初始化被修饰为常量之后不能被赋值.常量指针指的是可以通过该指针取值,但不能通过该指针赋值.int nNum = 100; // pNum...

2019-08-11 11:54:08 331

原创流量分析练习

流量分析实例一、远控抓包分析使用C++编写基于TCP协议通信的客户端和服务端程序。将服务端编译好放到虚拟机，将客户端在真机上编译好。虚拟机运行Wireshark编写捕获过滤器：tcp and port 1234开始捕获运行虚拟机的服务端，运行真机的客户端，观察Wareshark（识别三次握手）在客户端输入一些内容，观察Wareshark在客户端输入quit观察Wireshark（识...

2019-08-10 17:13:34 1141

原创协议分析学习笔记

协议分析学习笔记OSI七层模型和TCP/IP四层模型每一层都只能与相邻的两层通讯,不能跨层通信协议简介1、ARP协议地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地...

2019-08-10 16:35:31 779

原创 wireshark抓包工具使用说明

wireshark抓包工具使用说明wireshark窗口介绍主界面窗口:封包详细信息 (Packet Details Pane)这个面板是我们最重要的，用来查看协议中的每一个字段。各行信息分别为:协议说明Frame物理层的数据帧概况Ethernet II数据链路层以太网帧头部信息Internet Protocol Version 4互联网层IP包头...

2019-08-10 08:46:03 1210

原创看雪CTF2019Q2第一题神秘的来信

看雪CTF2019Q2第一题神秘的来信环境和工具Windows10+x32dbg程序分析运行程序，输入序列号，输错程序就直接退了。没看到任何提示，先搜索字符串，看看有什么有用信息定位error和success字符串位置，观察代码，发现代码不是很长，那么直接从输入字符串的地方开始分析分析代码00401298 | 68 F8C64100 | push mys...

2019-08-09 20:58:31 1361

原创脱壳入门(七)之未知壳

脱壳入门(七)之未知壳一、找OEP查壳：看起来好像没壳，编译器版本7.0（VC2003）、.CODE段应该是Delphi程序的区段特征2.找OEP，有壳没壳用OD看看，上面一段还挺像入口点的，在往下看就不像了，也不太肯定每个区段都看了下，发现.CODE段全是0,这说明啥，这段代码被加密压缩了，放到其他地方了，我们直接F9运行，看看变不变看看代码被解密出来了，这能证明有壳了吧翻...

2019-08-08 21:23:51 653

原创脱壳入门(六)之未知加密壳

脱壳入门(六)之未知加密壳一、找OEP查壳：未知壳，编译器版本6.0(VC6.0或易语言程序)找OEP：未知壳就只能先用OD看看了，壳的入口代码很熟悉了，用ESP定律就可以了，断下后F7单步到OEP二、解密IAT在IAT表下硬件写入断点，找到填充IAT的代码位置，注意，这个壳加了花指令混淆功能，程序断下后Ctrl+↑定位上一条指令，然后分析F7单步运行，跟一遍IAT加密的流...

2019-08-08 19:15:25 1010

原创脱壳入门（五）之15Pack壳

脱壳入门（五）之15Pack壳1.寻找OEP查壳：没查到壳，但是呢入口点没有指向.text代码段，而且区段也有点可疑，15pack像是人为起的名字。编译器版本6.0（VC6.0或者是易语言程序）寻找OEP：入口代码看起来很像OEP，我们进第一个CALL看一下API调用，发现这应该是壳代码获取关键API的代码，非OEP代码我们不知道这是个什么壳，看起来ESP定律也没用，只能换一种方...

2019-08-08 11:11:17 662

原创脱壳入门(四)之nSPack3.7北斗压缩壳

脱壳入门(四)之nSPack3.7北斗压缩壳一、寻找OEP查壳：nSPack 3.7壳、编译器版本12.0(VS2013)、区段信息寻找OEP壳入口点就是pushad pushfd,可以用ESP定律脱壳，压栈完成后，esp下硬件断点F7单步走到原程序入口点二、Dump文件三、修复文件修复文件，可以成功运行，脱壳成功...

2019-08-08 09:36:08 1233

原创脱壳入门（三）之UPX压缩壳

脱壳入门（三）之UPX压缩壳一、找OEP查壳：UPX壳、链接器版本2.25（可能是Delphi程序）、区段信息根据ESP定律寻找OEPOEP定律原理：壳代码就像一个函数，进入时会开辟堆栈、保存寄存器环境，退出时会恢复堆栈、恢复寄存器。所以应该是堆栈平衡的，那我们可以在壳代码操作了堆栈后对堆栈设置访问或写入断点，然后运行程序，当断点命中的时候，应该就是退出壳代码的时候。在其附近单步...

2019-08-07 22:02:53 440

原创脱壳入门(二)之FSG2.0压缩壳

脱壳入门(二)之FSG2.0压缩壳一、环境和工具Windows7+OllyDbg+PEID二、寻找OEP用PEID工具查壳壳是FSG2.0压缩壳、链接器版本被隐藏了、区段也没名字、也不知到是什么语言编写的。FSG2.0壳有一些特征，可以根据特征来寻找OEP方法一：跳转到OEP代码： JMP DWORD PTR DS:[EBX+0xC]Ctrl+F搜索该条指令，F7单步一步跳...

2019-08-07 21:37:35 1006

原创看雪CTF题目——流浪者

看雪CTF题目——流浪者一、环境和工具Windows7+OllyDbg二、题目分析1.先查壳，无壳程序2.运行程序不输入，之间点验证，弹出请输入pass对话框随意输入123456，弹出错误，加油对话框三、分析过程提示很明显，我们直接搜索字符串可以定位关键位置了这里有两个CALL，所有的跳转位置都看看，会发现如果输入的key不是数字字母就会调用第一个CALL，弹出错误对...

2019-08-06 21:13:33 1304

原创 C语言学习笔记（二）

一、函数函数的基本概念：有特定功能的一小段程序C语言基本构成单位函数的分类：标准C定义的标准库函数第三方库函数自定义函数函数的定义：定义格式：返回值类型函数名（参数类型参数名……）说明：定义函数主要考虑三个问题：函数的主要功能需要的外部参数返回结果函数的调用：使用条件定义在调用者函数之前，可直接调用定义在调用者函数之后，需要先声明函数声明声...

2019-08-04 20:05:13 487

原创 C语言学习笔记(一)

一、基础知识第一个C语言程序,打印helloworld#include <stdio.h>#include <stdlib.h>int main(){ printf("Helllo world!\n"); system("pause"); return 0;}制作程序的流程：编写源代码编译前，进行预处理编译，生成.obj文件链接,生成可执行文...

2019-08-04 16:17:21 428

原创 160个CrackMe之004

160个CrackMe之004环境和工具Win10+x32dbg+PEID程序分析程序说明:没有按钮,错误没有提示,如果成功会出现一张照片.1.先查壳:无壳.Delphi程序2.尝试注册:用户名:123456789012 发现用户名最多12位注册码:abcdefghijk 注册码好像没有长度限制目前就这些信息了,开始分析分析过程没什么头绪,先搜索字符串看看,发现注册成功...

2019-08-03 21:11:09 406

原创 PCManFTP v2.0(CVE-2013-4730)漏洞分析报告

文章目录PCManFTP v2.0漏洞分析报告1.软件简介2.漏洞成因3.构造触发漏洞的POC4.构造Exploit5.漏洞利用PCManFTP v2.0漏洞分析报告软件名称PCManFTP操作系统Windows XP软件版本2.0漏洞编号CVE-2013-4730漏洞模块PCManFTPD2.exe危害等级超危模块版本2.0.7漏洞类型缓...

2019-08-02 21:42:45 637

转载 ROP链绕过DEP

转载自ROP链绕过DEP一、前言1.1 DEP介绍数据执行保护 (DEP) 是一套软硬件技术，能够在内存上执行额外检查以防止在不可运行的内存区域上执行代码。在 Microsoft Windows XP Service Pack 2、 Microsoft Windows Server 2003 Service Pack 1 、 Microsoft Windows XP Tablet PC E...

2019-08-02 16:31:01 1844

转载 PE结构详解

文章目录转载自[PE结构详解(64位和32位)](https://blog.csdn.net/cs2626242/article/details/79391599)1 基本概念2 概览3 文件头3.1 DOS头（PE文件签名的偏移地址就是大小）3.2 NT头（244或260个字节）3.2.1 机器类型3.2.2 特征3.3 节头3.3.1 节标志4 一些注意信息5 特殊的节5.1 .edata节5...

2019-07-30 08:25:44 2433

原创 OllyDbg基础教程

OllyDbg基础教程工具栏各种窗口切换1.日志窗口(L):2.模块窗口(E):查看每个模块的内存基址3.内存窗口(M):查看每一个模块的段,所占用的内存区域4.线程窗口(T):线程信息5.窗口(W):查看程序的窗口句柄,窗口名,风格样式,回调函数等信息6.句柄(H):7.反汇编窗口( C):也就是我们的汇编代码显示窗口—很重要8.补丁窗口(/):9:堆栈窗口(K):可...

2019-07-15 11:26:27 12097 2

原创 VS设置常见错误汇总

VS设置常见错误汇总VS编译器经常会遇到一些莫名奇妙的链接错误,有些其实不是代码问题,是我们的编译设置有问题,在这里做一些汇总,以后慢慢补充LINK : fatal error LNK1104: 无法打开文件“xxxxx.lib”解决方法:...

2019-07-15 10:02:46 348

原创 160个CrackMe之001

160个CrackMe之001环境和工具Win10+OD+PEID程序分析想要破解一个程序,首先我们要了解它,知道它的执行流程,这要我们才好反向跟踪怎么搜集信息呢?程序本身和外部工具PEID查壳后发现没有壳,是一个Delphi的程序打开程序Acid burn.exe运行,我么发现这个程序破解分两部分:一个是Serial/Name,需要输入正确的用户名和密码才能通过一个Se...

2019-07-14 19:30:13 646

转载常见入口点特征

转载自https://blog.csdn.net/kkfd1002/article/details/79832269转载自https://blog.csdn.net/x356982611/article/details/48370297脱壳前如果知道壳的版本和编译程序的语言和编译器将事半功倍特征1：VC链接器版本VS版本链接器版本VS201914.21VS201...

2019-07-04 10:17:22 795

原创脱壳入门（一）之分析Aspack壳

文章目录脱壳0.前置知识1 .壳的基础知识1.1壳的加载过程示例:分析一个简单的aspack壳脱壳0.前置知识熟悉PE文件结构PE文件的Magic Code是什么MZ头,PE头PE文件头的信息有哪些?运行平台、时间戳、PE文件属性、区段数量、扩展头的大小PE文件的扩展头的信息有哪些?EP的RVA、ImageBase(400000)、代码段起始地址、数据段起始地址...

2019-07-02 09:23:27 5613 1

原创逆向分析之数据结构内存布局

数据结构分析1.Vector vector<int> vec; vec.push_back(1); vec.push_back(2); vec.push_back(3);初始化10h字节空间第一个字段指向一个区域,区域中有一个指针,指向自己(this指针)第二个字段存放数据起始地址第三个字段存放数据末尾的下一个地址第四个字段存放缓冲区末尾地址2.list...

2019-06-29 18:37:32 593

Python+MFC聊天室

空空如也