逆向
文章平均质量分 92
Sezangel
这个作者很懒,什么都没留下…
展开
-
CTFre-V&NCTF2020-strangeCpp
https://buuoj.cn/challenges#[V&N2020%20%E5%85%AC%E5%BC%80%E8%B5%9B]strangeCpp先使用一下exe,发现是貌似检测系统环境变量的程序然后放入ida,定位一下他这个程序的主函数可以看到引用了很多字符串,看一下他引用的字符串的位置:然后有一个细节值得我们注意,那就是byte_140021008这段字符串被跳过去了,被一个很可疑的函数sub_140013580引用,我们跟踪进去看一下其实根.原创 2020-05-15 14:26:31 · 654 阅读 · 0 评论 -
CTF逆向-BJDCTF-JustRe
定位到关键函数查看一下该字符串的内容,如果IDA没有自动识别字符串格式,只需要选中范围,一键a即可然后再回过头看一下那个sprintf函数其实就是把19999和0赋给这个字符串,然后存到内存地址String中,因此flag即可很简单地获取到:BJD{199902069a45792d233ac}...原创 2020-05-13 23:17:46 · 551 阅读 · 0 评论 -
sourceinsight四种版本序列号绕过
最近闲来无事,因此认真分析了一下sourceinsight这个软件,希望和广大网友一起探讨讨论一、sourceinsight3.0没有地址随机化(ASLR)反静态调试:目测有反静态分析的工具在43A105处,分析函数调用异常,43A105内部不存在栈不平衡的现象(入栈前和出栈前要保证堆栈平衡)其实想绕过这个反静态调试,可以直接把难以分析调用函数的call指令转为强跳转或者改为nop即可,然后即可反编译反反汇编也能解决,但是可以直接动调:第一组数很容易看..原创 2020-05-12 19:53:07 · 26215 阅读 · 6 评论 -
OD逆向调试时常用断点总结
在这里简单介绍一下OD逆向调试时常用的断点1.CC断点(普通断点、F2断点)2.内存断点3.硬件断点4.条件断点、条件记录断点5.API断点6.消息断点以上就是OD逆向调试常用的断点,在这里总结,希望以后使用起来更加灵活方便...原创 2020-03-03 10:29:17 · 8644 阅读 · 2 评论 -
消息断点
一、1.windows消息循环:不具体介绍,可以自己看看,主要就是窗口、控件、消息窗口就是比如我们打开一个程序,比如笑脸,就是一个窗口控件就是窗口里的一些元素,比如按钮等等消息就是这个窗口内执行了某些东西(比如按了一个按钮),会有消息2.窗口可以在OD的W界面内看(如果没显示可以右键刷新)3.消息可以自己选择,对于我们要看的按钮来说,可以选择202(鼠标左键抬起),选择按消息暂停程序、...原创 2020-03-03 10:25:07 · 1633 阅读 · 0 评论 -
API断点
1.API断点和CC断点几乎相似,只是说下断到API函数,所以叫API断点2.ctrl+n里有的API函数,不代表作者一定用了,只是可能写了误导你所用下面有一个API断点的例子:使用的还是笑脸课件,因为是往输入框内输东西,因此ctrl+n,猜测有GetDlgItemTextA函数我们输入的序列号:Name:123456897 密码:11111(1)在函数处下断(2)运行程序,成功断...原创 2020-03-03 10:18:16 · 1288 阅读 · 0 评论 -
条件断点、条件记录断点
一、条件断点1.下断方式:shit+f2,即可在某条指令上设置条件断点,之后会弹出一个框,让我们设置条件当到这条指令并且满足条件的时候,就会在此断住2.条件语句很灵活,不只是可以设置一个条件,可以设置多个条件,比如用 ||或者&&连接推荐写条件的时候用双等号,和C里面if似的(==)二、条件记录断点1.下断方式:shift+f4,可以选定一条指令,右键,条件记录断点,其...原创 2020-03-03 10:15:24 · 2464 阅读 · 0 评论 -
硬件断点
1.硬件断点的原理更复杂,检测更难,暂时不了解反硬件断点的反调试的解决方法2.硬件断点停留的位置,是设置断点的下一行,和CC断点与内存断点不同3.设置模式:(1).硬件执行断点,选中代码,右键–断点–硬件执行利用command,HE xxxx,也可以给地址、调用函数等设置硬件断点(2)在内存中设置硬件断点,选中地址(第一个字节就OK),右键–断点–硬件写入(可以选长度),也可以设置硬件访...原创 2020-03-03 10:13:06 · 1471 阅读 · 1 评论 -
内存断点介绍
一、设置内存断点1.选中一条指令,右键–数据窗口中跟随,有许多选项(1)选择(2)内存地址(3)立即数(4)堆栈隐含地址…分别可以跟到不同的内存地址,比如选择立即数,就是跟到立即数所在的内存地址,选择,就会跟到选择的指令所在的内存地址…到时候自己可以看一看试一下2.在内存中选择一段内存,右键–断点–内存访问只要对这段内存进行了读、写、访问等等,就会断下内存断点没有地方帮你记录,得...原创 2020-03-03 10:11:01 · 2840 阅读 · 0 评论 -
CC断点介绍
一、1.F2断点:普通断点、CC断点、int3断点2.为什么叫CC断点呢?可以通过调试看出来,我们在一个指令上下断点,例如:je xxxx指令,这个指令机器码是74 01 我们在这里下断点指令所在内存是0040101A,内存处存放的完整数据是74 01 C3 A1然后我们将这条指令对应内存地址的内容复制到寄存器内:mov eax [0040101A]按理说,eax内容应该是A1C3...原创 2020-03-03 10:09:04 · 1795 阅读 · 0 评论 -
逆向笔记3--常见的逆向调试方式
根据软件调试经验,这里列举了我个人总结出来的一些常用的软件调试方案1.nop法nop法通过用于跳过序列号验证机制,得到最后的成功结果,关键是我们要找到序列号判定的函数,如何找到这个函数,常用的方法有以下几个:1.利用字符串查找法,右键,查找,引用的字符串,查找判断失败或者成功弹出的字符串,从而向上,找到判定函数的位置,之后再跟进调试。2.利用调用模块查找法,右键,查看调用的模块,尤其是对于...原创 2019-11-05 20:05:26 · 1863 阅读 · 0 评论 -
逆向笔记2--常用的调试软件及插件
逆向软件及插件汇总结合平日的逆向调试经验,特别总结了几个常用的逆向软件和插件,方便大家学习和应用1.OD:动态调试神器,可以用原装的ollydebug,也可以使用吾爱破解版,吾爱破解版内置很多方便的插件,推荐大家使用。2.IDA:静态调试神器3.PEID:查文件用,对于不额外加壳的程序,可以看程序编写的源代码类型,对于加壳的程序,有时可以查看壳的种类。4.PEview:方便查看PE文件结...原创 2019-11-05 19:15:03 · 1181 阅读 · 0 评论 -
逆向笔记1---基础准备
逆向笔记1----基础准备根据看雪主编的《加密与解密》相关书籍,还有李佳宇老师的相关视频,开始涉足进入逆向方面的捏内容,给大家相关参考,希望对大家有所帮助这是第一部分,在涉足逆向和加密解密之前了解的相关基础知识,大致浏览即可要开始逆向,怎么能不懂大端序小端序、操作系统基础知识、消息队列、句柄、NT架构、PE结构等等相关内容??一、1.多字节存储顺序:大端和小端 常见INTEL架构为小端 ...原创 2019-09-12 16:11:22 · 977 阅读 · 0 评论