![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
逆向
刘大聪聪聪聪
从入门到转行
展开
-
滴水逆向——DLL随笔
动态链接库与静态链接库:1.静态链接库:创建:新建一个类分别在源文件和头文件中填加程序和声明:F7编译,然后查找项目下的 TestLib.lib(debug文件夹下)和LibTools.h文件,复制到需要使用的项目下。然后创建一个普通的控制台项目,将刚才的lib文件和.h文件复制到该项目中现在就可以使用静态链接库中定义的函数了。方式二:函数的声明在.h文件中...原创 2020-03-19 18:50:34 · 605 阅读 · 0 评论 -
滴水逆向PE作业——扩大一个节
扩大一个节:流程如下:注意:修改完ImageBuffer后需要将其再压缩(拉伸的逆过程)后再存盘。代码:// ExtendLastSection.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include "windows.h"#include "malloc....原创 2020-03-19 12:48:12 · 771 阅读 · 0 评论 -
滴水逆向作业——新增一个节
新增一个节// testt.cpp : Defines the entry point for the console application.//#define _CRT_SECURE_NO_WARNINGS#include "stdafx.h"#include <malloc.h>#include <windows.h>#include <strin...原创 2020-03-15 15:11:37 · 728 阅读 · 1 评论 -
滴水逆向P42——随笔
P42 新增节添加代码1.首先判断头部的空白区够不够加节表notebook.exe节表后被填充了数据,则需要使用到DOS头后面的填充垃圾值的区域。需要修改DOS头中的e_lfanew让它指向DOS头结束的下一行,将头部剩下的内容提升到前面在DOS头后面一段的地址内存的是垃圾值所有的节表后面必须跟40个字节的全0,一个节表长40字节。添加节表的时候需要注意剩余的空间中是否有80个字节...原创 2020-03-14 22:25:53 · 439 阅读 · 0 评论 -
滴水逆向作业——PE向代码区添加messagebox的shellcode
摘要:向PE结构的代码区添加messagebox的shellcode,使打开exe文件时,先执行shellcode的内容,再执行本身的功能。1.具体流程流程如下:先将.exe文件以文件模式(filebuffer)读取到内存中,再将其拉伸读取到另一段内存中内存模式(imagebuffer)但注意这可不是运行状态。判断代码区是否有存放shellcode代码的空间,如果有的话,将准备好的shel...原创 2020-02-21 12:12:10 · 2045 阅读 · 2 评论 -
滴水逆向作业——RVA与FOA相互转换
PE有两种不同的状态:1.FileBuffer文件状态 2.ImageBuffer内存状态。当需求为:改变一个变量的值,知道它在内存状态下的地址,我们需要找到他在文件状态下的地址对它进行修改。或者反之,我们知道它在文件状态下的地址、找出他在内存状态下的地址。就需要RVA与FOA相互转换。RVA与FOA相互转换主要会使用到节表中的信息,所以我们先需要复习一下节表中的信息。节表节表存在于可选P...原创 2020-02-20 12:00:44 · 2135 阅读 · 2 评论 -
滴水逆向作业——filebuffer->imagebuffer->newbuffer->存盘
代码如下:#include "stdafx.h"#include "string.h"#include <malloc.h>#include <windows.h>// exe->filebuffer 返回值为计算所得文件大小int ReadPEFile(char* file_path,PVOID* pFileBuffer){ FILE* pf...原创 2020-02-20 01:43:26 · 2017 阅读 · 14 评论 -
滴水逆向作业——PE03_stage1
#include "stdafx.h"#include "string.h"#include <malloc.h>#include <windows.h>WORD NumberOfSections = 0;DWORD SizeOfHeaders = 0;DWORD SizeOfImage = 0;DWORD SectionAlignment = 0;i...原创 2020-02-17 15:44:34 · 1457 阅读 · 6 评论 -
滴水逆向作业——PE_02打印PE头部信息
打印PE头部信息:PE头包含:DOS头+4字节PE标识符+NT头(标准PE头+可选PE头)。#include "stdafx.h"#include "string.h"#include <malloc.h>#include <windows.h>FILE* open_file(char* file_path,char* open_mode);int com...原创 2020-02-15 21:47:07 · 1260 阅读 · 1 评论 -
滴水逆向作业——PE准备阶段
题目1:将记事本的.exe文件读取到内存,并返回读取后在内存中的地址.#include "stdafx.h"#include <malloc.h>int file_length(FILE *fp);void fun_02(){ // 定义一个文件指针 FILE *fp1 = NULL; int FpSize = 0; // 初始化exe文件长度 // 打开文...原创 2020-02-14 01:40:38 · 1285 阅读 · 9 评论 -
滴水逆向作业——指针04
`typedef struct TagPlayer { int id; int level; }Player;char a[]={ 0x00,0x01,0x02,0x03,0x04,0x05,0x06,0x07,0x07,0x09, 0x00,0x20,0x10,0x03,0x03,0x0C,0x00,0x00,0x44,0x00, 0x00,0x33,0...原创 2020-02-09 23:00:46 · 1619 阅读 · 4 评论