171211 逆向-高级反调试技术

最新推荐文章于 2022-10-22 14:51:02 发布
VIP文章 最新推荐文章于 2022-10-22 14:51:02 发布
阅读量1.1k 收藏 4
点赞数
分类专栏: CrackMe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/78787596
版权

1625-5 王子昂 总结《2017年12月11日》 【连续第437天总结】
A. 《逆向工程核心原理》-高级反调试技术
B.

花指令

这种反调的难度可高可低,不过对于只靠F5的萌新们都是无解的

简单的只是在代码块之间放置一些垃圾代码,通过jmp跳过,使得反汇编不正确,进而影响F5的反编译
只需要清除干扰指令,或者动态调试跟一下就能很轻松的解决

复杂的则会随机插入大量的花指令,与正确代码混杂在一起,很难辨识

基本上只能靠动态调试来理清执行顺序,再进一步分析了

加壳

保护壳这个东西很恐怖(:з」∠)只会ESP这种级别的我就不多说了
(其实是没见识过多少壳,不敢碰。看完这本去读《加密与解密》和52的教程再说吧)

Stolen Bytes(Remove OEP)

这个反调方法是第一次见…
简单来说就是将OEP的部分代码转移到另一个地方,使得很难Dump;另一方面对OEP的查找也会变得困难,陷入懵逼的境地
(当然知道了这种方法的存在也许会好点儿……吧)

OEP被转移的代码有时还会被处理,例如加花,动态解密,甚至运行完就删除……
安全人员的操作真是骚的不行OTZ

API重定向

这个也第一次见
由于逆向人员可以直接将断点下在系统Dll中,从而断到关键API
于是安全人员就想出了针对其的方法—将APIdump出来并修改IAT,使得不会再调用系统Dll的API
(其实就相当

最低0.47元/天 解锁文章
奈沙夜影
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第39章-何谓stolen bytes1
08-03
第39章-何谓stolen bytes1
脱壳的艺术--6. 高级及其它技术
FISH 的专栏
01-19 2012
 脱壳的艺术Mark Vincent Yason概述:脱壳是门艺术——脱壳既是一种心理挑战,同时也是逆向领域最为激动人心的智力游戏之一。为了甄别或解决非常难的逆向技巧,逆向分析人员有时不得不了解操作系统的一些底层知识,聪明和耐心也是成功脱壳的关键。这个挑战既牵涉到壳的创建者,也牵涉到那些决心躲过这些保护的脱壳者。本文主要目的是介绍壳常用的逆向技术,同时也探讨了可以用来躲过或禁用
逆向学习笔记(5)——高级调试技术
谈成(C/C++)
04-12 284
1.垃圾代码 向程序添加大量无意义的代码来增加代码调试的难度,这就是“垃圾代码”调试技术。尤其是,这些垃圾代码中还含有真正有用的代码或者应用其他调试技术时,调试程序会变得更加困难。 1)一些指令(PUSH/POP、XCHEG、MOV)拥有相同的操作数,最终执行的是一些无意义的运算。(命令执行后没有什么变化) 2)将一些简单的指令复杂化实现,增加分析难度。 2.扰乱代码对齐(花指令) 通过巧妙的编写汇编代码,实现干扰调试汇编的结果,让汇编看上去一团乱。 在正常的汇编中插入多余的call、
高级调试
寻梦&之璐
01-27 1200
垃圾代码 无意义的代码,也就是用来磨炼逆向人员的。。 扰乱代码对齐 这个的话,利用了代码对齐的状况,就中间插入了一个或者两个字节的指令,使得指令解析的时候,发送事故。但是在执行的时候并不会出现报错,利用跳转来控制运行流程。举个例子: 例1: 0041510F FFE3 JMP EBX //EBX=415117 00415111 C9 LEAVE 00415112 C2 0800 RETN 8 00415115 A3 687801FF MOV DWORD PTR DS:[FF01726
加密与解密 读书笔记
weixin_42100211的博客
10-22 1034
加密与解密的读书笔记,持续更新中
Reversing:逆向工程揭密
06-21
10.5 活跃的调试技术 331 10.5.1 调试器基础 331 10.5.2 API函数IsDebuggerPresent 332 10.5.3 SystemKernelDebugger 10.5.3 Information 333 10.5.4 用单步中断检测SoftICE 334 10.5.5 陷阱标志 335 10.5.6 ...
逆向工程实验报告.docx
03-11
课程题目:利用OllyDbg逆向工具学习高级语言的输入输出与底层的对应关系 逆向工程实验报告全文共9页,当前为第2页。逆向工程实验报告全文共9页,当前为第2页。实验背景 逆向工程实验报告全文共9页,当前为第2页。 ...
逆向数据分析.docx
12-24
逆向工程 逆向工程(又称逆向技术),是一种产品设计技术再现过程,即对一项目标产品进行逆向分析及研究,从而演绎并得出该产品的处理流程、组织结构、功能特性及技术规格等设计要素,以制作出功能相近,但又不完全...
脱壳的艺术 加解密必备参考书的中文翻译版 CHM格式
11-24
这些信息将使研究人员特别是恶意代码分析人员在分析加壳的恶意代码时能识别出这些技术,当这些逆向技术阻碍其成功分析时能决定下一步的动作。第二个目的,这里介绍的信息也会被那些计划在软件中添加一些保护措施...
ASPROTECT 1.23RC4 脱壳分析
loveboom's Reverse Enginering
04-13 3314
ASPR1.23RC4脱壳之advanced im password Recovery+简单MD5【目    标】: advanced im password Recovery v2.31【工    具】:Olydbg1.1(diy版)、LORDPE、ImportREC1.6F ASPRDBGR1.0,IDA【任    务】:先脱马甲,然后hehe……【操作平台】:WINXP pro sp1 【作
HideFromDebugger
09-14
通过NtSetInformationThread来隐藏调试器,使程序无法调试
PP保护3:HideFromDebugger
netword12345的专栏
03-04 1198
PP保护也会设置游戏线程的HideFromDebugger,不过它不是调用ZwSetInformationThread来设置,是用驱动遍历了游戏线程,直接线程的ETHREAD. 遍历线程的时候,它用到了PsLookupThreadByThreadId这个函数,所以我们要hook住这个函数,如果确定了当前是PP保护在调用这个函数,那么就把得到的线程对象的hidefromdebugger位去掉,切返回
调试器攻击技术 - ThreadHideFromDebugger
zhangmiaoping23的专栏
08-07 4622
3、 ThreadHideFromDebugger 这项技术用到了常常被用来设置线程优先级的API ntdll!NtSetInformationThread(),不过这个API也能够用来防止调试事件被发往调试器。 NtSetInformationThread()的参数列表如下。要实现这一功能,ThreadHideFromDebugger(0x11)被当作ThreadInformationCla
调试技术(一)--静态调试
weixin_30871293的博客
03-13 225
为了保护自己的程序不被破译等,很多软件使用了调试技术来阻止逆向程序员对自己程序进行爆破,这同时也催生了另一种技术--调试破解技术的出现。调试技术分为静态调试技术和动态调试技术。相比来说静态调试技术更容易实现,破解一般也只需要一次,我们这次就先谈一下静态调试技术,以及对应的破解之道。 1.PEB结构中有几个重要的成员标示了进程是否处于被调试状态。(以下以32位为例) +0x0...
高级调试技术总结
fa1c4的blog
03-25 445
高级调试 真正用于实际的软件保护的调试技术, 对于破解有着高难度的挑战. 现在总结一下高级调试技术. 对于应用了大量垃圾代码, 条件分支语句, 循环语句, 加密/解密代码, 以及调用书(Call-tree), 要逆向这样的程序都是一种肉体和精神的双重受苦之旅, 再加上动态调试的干扰, 甚至可以直接将军想要破解这个软件的逆向分析者. 对于经验丰富的玩家来说, 要完美分析一个保护器也是极其艰巨的挑战. (水了一些废话 所以来看看这些让人受苦的天灾级武器(bushi 垃圾代码 基本思想很朴素, 就是向代码
190617 逆向-神盾杯(Reverse)
热门推荐
whklhhhh的博客
06-17 2万+
突然想起来我还有个博客(…… 这一个月来各种比赛跑,然而主要都是被pizza带飞。得赶紧抽空整理一下各种题目 神盾杯re500的c#没啥思路,本身对.net机制确实没啥深入理解…加入TODOLIST留待日后研究了( babyjs 拿到html后发现按钮调用了checkLogin函数 在控制台输入checkLogin即可看到源码 obfacros 一看题目描述又是--garzon家俊那个混淆狂魔...
190326 逆向-MFC逆向技巧
whklhhhh的博客
03-27 2万+
MFC 简介 微软基础类库(英语:Microsoft Foundation Classes,简称MFC)是微软公司提供的一个类库(class libraries),以C++类的形式封装了Windows API,并且包含一个应用程序框架,以减少应用程序开发人员的工作量。 –百度百科 虽然由于实际应用中MFC似乎即将被淘汰,(据说微软放弃更新十几年,但从版本号和种种迹象来看似乎是还在不断更新的,V...
190407 逆向-西湖论剑杯
whklhhhh的博客
04-08 2万+
Re1-easyCpp IDA打开发现一大堆模板很丑,但仔细看一下其实只有一堆变量来回操作而已 基本上就是各种STL和vector的用法,算法名都保留下来了所以难度下降很多 基本流程是接收输入、生成斐波那契数列的十六项 然后对输入依次使用transform和accumulate算法 分别是遍历vector中的一元运算和二元运算 运算都是自定义的方法,双击算法进去可以看到lambda函数 tra...
190505 逆向-DDCTF2019(Reverse)
whklhhhh的博客
05-06 2万+
咕咕咕咕咕 连续若干CTF以后就是各种考试作业DDL催命_(:з」∠)_ 等这两周各种考察课完了慢慢补各种活儿吧~ 先交一下之前的DDWP-0- 还请各位大佬多指正~ Windows Reverse1 通过段名发现是UPX壳,upx -d脱壳后进行分析 核心函数只是通过data数组做一个转置,求index即可 值得一说的是data的地址与实际数组有一些偏移 由于输入的可见字符最小下标就是空格的0...
c汇编与逆向分析技术揭秘 pdf
最新发布
07-14
此外,书中还介绍了一些高级汇编和逆向分析技术。例如,动态调试和跟踪技术,用于在程序运行时动态地查看和修改内存和寄存器的内容。还介绍了静态分析技术,用于分析程序的结构和行为。 总的来说,这本书通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值