bouml 逆向分析c++_c++反汇编与逆向分析 小结

最新推荐文章于 2022-11-23 14:02:54 发布
最新推荐文章于 2022-11-23 14:02:54 发布
阅读量212 收藏
点赞数
文章标签: bouml 逆向分析c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39722188/article/details/111882706
版权

第一章  熟悉工作环境和相关工具

1.1 熟悉OllyDBG  操作技巧

1.2 反汇编静态分析工具 IDA(最专业的逆向工具)

快捷键    功能

Enter     跟进函数实现

Esc       返回跟进处

A         解释光标处的地址为一个字符串的首地址

B         十六进制数与二进制数转换

C         解释光标处的地址为一条指令

D         解释光标处的地址为数据,没按一次将会转换这个地址的数据长度

G         高速查找到相应的地址

H         十六进制数与十进制数转换

K         将数据解释为栈变量

;         加入�凝视

M         解释为枚举成员

N         又一次命名

O         解释地址为数据段偏移量

T         解释数据为一个结构体成员

X         转换视图到交叉參考模式

Shift+F9  加入�结构体

认识各视图功能

IDA View-A:分析视图窗体,用于显示分析结果。

Hex View-A:二进制视图窗体,打开文件的二进制信息。

Exports: 分析文件里的导出函数信息窗体

Imports: 分析文件里的导入函数信息窗体

Names:  名称窗体,分析文档中用到的标题号名称。

Functions: 分析文件里的函数信息窗体

Structures:加入�结构体信息窗体

Enums: 加入�枚举信息窗体

SIG文件的制作步骤 1、从LIB文件里提取出OBJ文件 2、将每一个OBJ文件制作成PAT文件 3、多PAT文件联合编译SIG文件

SIG文件制作批处理文件的过程

md %l_objs

cd %l_objs

for /F %%i in ('link - lib /list %l.lib') do link -lib /extract:%%i %l.lib

for %%i in (*.obj) do pcf %%i

sigmake -n"%l.lib" *.pat %l.sig

if exist %l.exc for %%i in (%l.exc) do find /v ";" %%i >adc.exc

if exist %l.exc for %%i in (%l.exc) do > abc.exc more +2 "%%i"

copy abc.exc %l.exc

del abc.exc

sigmake -n"%l.lib" *.pat %l.sig

copy %l.sig ..\%l.sig

cd ..

del %l_objs /s /q

rd %l_objs

代码说明

通过 md%l_objs 创建文件夹,文件夹名称为參数1

通过 cd %l_objs 进入刚刚创建的文件夹

在当前文件夹下 循环取出 LIB 中的OBJ名称 并逐个生成相应的OBJ

循环将生成的OBJ文件通过PCF转换相应的PAT文件

将文件夹下的全部的PAT文件生成一个SIG文件

将生成的SIG文件复制到上级文件夹中

返回上级文件夹,删除创建的文件夹中的全部数据

将创建文件夹删除

1.3 反汇编引擎的工作原理

Instruction Prefixes: 指令前缀

反复指令:REP、REPE\REPZ

跨段指令:如 MOV DWORD PTR FS:[xxxx],0

32位 16位 互换 如:MOV AX,WORD PTR DS:[EAX]   MOV EAX,DWORD PTR DS:[BX+SI]

Opcode: 指令操作码

Mode R/M:操作数类型

SIB:辅助 Mode R/M,计算地址偏移

Displacement:辅助 Mode R/M, 计算地址偏移

Immediate:马上数

第二章 基本数据类型的表现形式

2.1 整数类型

无符号整数  有符号整数    差别就是最大位

2.2 浮点数类型

浮点数的编码方式  在内存中占4字节 最高位符号 剩余的31位中 左取8位指数 其余尾数

浮点寄存器的使用就是压栈/出栈的过程

比如

float fFloat =(float)argc;  //argc为命令行參数

fild dword ptr [ebp+8] ;将地址ebp+8处的整形数据转换浮点型,并入st(0)中,相应变量 argc

fst dword ptr [ebp-4] ;从st(0)中取出数据以浮点编码方式放入地址ebp-4中,相应变量fFloat

printf("%f",fFloat);

;这里对esp运行减8操作 是因为浮点数作为变參函数的參数时 须要转换为双精度浮点值

;这步操作时提前准备8字节的栈空间,以便于存放double 数据

sub esp,8

fstp dword ptr [esp] ;将st(0) 中的 数据传入esp中,并弹出st(0)

push offset string "%f"

call printf

add esp,0ch

argc =(int)fFloat;

fld dwrod ptr [ebp-4]  ;将地址 ebp-4处的数据以浮点数类型压入st(0)中

call _ftol ;调用函数_ftol 进行浮点类型转换

mov dword p

最低0.47元/天 解锁文章
weixin_39722188
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
bouml的使用
qinjie的博客
02-26 5100
用于生产类的继承关系   1、创建新的工程sm2 2、选择languages 配置语言 选择 c++ java   3、添加文件  文件的路径 反斜杠 F:/BaiduNetdiskDownload/android/Android_Linux_code/Android-5.0.2/android-5.0.2/frameworks/native/include/binder F:/...
c&c++反汇编逆向分析学习笔记(1)--调试工具OllyDBG
热门推荐
kyt511的专栏
04-04 1万+
我学习用的数据是钱松林和赵海合著的《C反汇编逆向分析技术揭秘》,这本书绝对可以帮助程序员提高自己,修炼自己的内功。 在软件的开发过程中,程序员会使用一些调试工具,以便高效地找出软件中存在的错误。而在逆向分析领域,分析者也会利用相关的调试工具来分析软件的行为并验证结果。其中OllyDBG是逆向分析中必不可少的一款软件,使用它,程序会按调试者的一员以指令为单位的执行。调试者可以随时中断目标的指
bouml 逆向分析c++_《C++反汇编逆向分析技术揭秘》之十——构造函数
weixin_39999859的博客
12-22 124
对象生成时会自动调用构造函数。只要找到了定义对象的地方,就找到了构造函数调用的时机。不同作用域的对象的生命周期不同,如局部对象、全局对象、静态对象等的生命周期各不相同,只要知道了对象的生命周期,便可以推断出构造函数的调用时机。局部对象反汇编:获取对象首地址并调用构造函数:对象的地址为:进入构造函数,先是push一堆寄存器:还原ecx寄存器,并初始化:构造函数属于成员函数,在调用时要用到this指针...
C++核心编程
优质后端技术知识记录
10-09 793
13 C++类型转换 C风格转换【(TYPE)EXPRESSION】可在任意类型之间转换,且不易查找。所以C++引进了四种类型转换操作符,解决以上问题。 类型 主要用途 static_cast 静态类型转换 dynamic_cast 子类和父类间多态类型转换 const_cast 去掉const属性转换 reinterpreter_cast 重新解释类型转换 13.1 static_cast static_cast<目标类型>(标识符) 静态,即在编译期内就可完
bouml 逆向分析c++_bouml的简易教程
weixin_39609752的博客
12-22 498
这个bouml是基于Qt的,感觉挺好。目前关注的功能:支持windows,linux等多种操作系统,运行快,体积小,可以支持代码生成,可以生成文档,可以导出为图片。感觉真的不错。官方网址是:http://bouml.free.fr/index.html有一个简易的教程,为了查看方便,转到我的博客里面了,网上也有中文的翻译我传到csdn上面了。网址是:http://download.csdn.net...
bouml 逆向分析c++_C++反汇编逆向分析技术揭秘
weixin_39720662的博客
12-22 122
一、单类继承在父类中声明为私有的成员,子类对象无法直接访问,但是在子类对象的内存结构中,父类私有的成员数据依然存在。C++语法规定的访问限制仅限于编译层面,在编译过程中进行语法检查,因此访问控制不会影响对象的内存结构。子类未提供构造函数或析构函数,而父类却需要构造函数与析构函数时,编译器会为子类提供默认的构造函数与析构函数。但是子类有构造函数,而父类不存在构造函数,且没有虚函数,则编译器不会为父类...
bouml 逆向分析c++_反调试技术(以OD为例附核心原代码)-逆向工程
weixin_39612122的博客
12-22 359
知其然,知其所以然,希望大家觉得有用,大家可以用在自己程序中查看自己的程序是否被调试..同时为了更好的了解一些游戏无法用OD调试的原因1.程序窗口句柄检测原理:用FindWindow函数查找具有相同窗口类名和标题的窗口,如果找到就说明有OD在运行//********************************************//通过查找窗口类名来实现检测OllyDBG//*******...
免费建模工具BOUML7.9版本C++逆向UML工具
最新发布
04-28
BOUML可以用于C++、Java、Python等语言程序设计开发建模及生成代码。其中版本5,6收费,最新版本7免费。
Bouml_7.7.1_setup.rar
03-05
Bouml是一款免费的UML工具,特别适合于C++项目的逆向工程和类图绘制,是学习和实践软件工程设计的得力助手。 Bouml 7.7.1作为该软件的一个版本,提供了丰富的功能和优化的体验。其主要特点包括: 1. **C++逆向工程...
开源 UML 建模工具 Bouml 入门中文教程.doc
11-07
本教程主要为了帮助您第一次起用BOUML。在这里仅显露BOUML少数的特点,而BOUML完整描述参见其参考手册。
开源UML建模工具Bouml-入门教程
05-23
开源UML建模工具Bouml:目前关注的功能:支持windows,linux等多种操作系统,运行快,体积小,可以支持代码生成,可以生成文档,可以导出为图片。感觉真的不错。
BOUML7.0免费开源建模工具
03-07
bouml支持C++,JAVA的UML建模工具
c/c++基本语法逆向分析
qq_43147121的博客
11-23 1297
c/c++基本语法通过反汇编深入学习
C++-逆向分析-IDA-IDC脚本-修改指定地址的函数名-函数重命名
插件开发
10-19 965
ida为用户提供了一个很完备的帮助系统,可以使用F1快捷键打开帮助系统,其中点击“index of idc functions”可以看到对应一些idc的函数列表。逆向分析得到函数功能之后,需要对指定函数地址进行命名,如果多人协同工作,就需要在IDA里对函数就行批量命名,这时就必须要用到IDA的idc脚本。打开Ida,File–>Script file,选择刚才生成的ida.idc文件,即可批量重命名函数了。idc命令行(菜单栏file->idc command)该脚本函数将参数一地址处的函数命名为参数二。
C++反汇编逆向分析技术揭秘》阅读体会——第一章 熟悉工作环境和相关工具
weixin_45325928的博客
11-25 282
C++反汇编逆向分析技术揭秘》阅读体会——第一章 熟悉工作环境和相关工具 这是我第一次写博客,写得不好大家多多包涵。在这里插入代码片 由于还没学习C++,只看到了全书的第8章,但也对全书有了一个大概的了解,现在想梳理一下目前为止看到的内容,在这次梳理中,我读懂了很多第一次没看懂的地方。整体来看,这本书讲解非常全面,很多在前面的代码中遇到的疑惑在后面的内容中基本都会讲到,而且C++代码与汇编代码...
bouml 逆向分析c++_简单病毒样本分析
weixin_32349561的博客
12-13 292
病毒样本分析分类 病毒样本分析大致分为两种,一种是行为分析,一种是逆向分析。 行为分析主要是通过系统监控软件,监控系统中各资源或环境的变化,比如监控注册表、监控文件、监控进程,以及监控网络等。当然了,还可以通过 HIPS 软件来监控病毒的行为。各类系统监控工具或者是 HIPS 软件都是在系统的不同层面上进行了不同方式的 HOOK。比如说在内核层进行 HOOK,...
软件流程图工具 bouml
wd229047557的博客
08-27 1284
1.Bouml下载与安装 https://www.bouml.fr/ 2.打开之后在own identifier输入2到127之间数字,比如输入100,点击ok进入软件 3.project--new 创建一个新目录项目,然后选择语言(languages -- java) 4.创建画图的文件。点击项目左边,右键 -- new class view -- New sequence d...
工具使用之Bouml
QQ960054653的博客
06-16 410
时序图
UML建模工具全面对比与分析
"UML建模工具对比分析" 在软件开发领域,UML(统一建模语言)是一种标准化的建模工具,用于可视化、理解和构建软件系统。本资源提供了一篇详细的对比分析,涵盖了十几种常见的UML建模工具,包括它们的最新版本、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值