逆向脱壳破解分析基础学习笔记七 堆栈图(重点)

最新推荐文章于 2021-08-01 22:04:21 发布
最新推荐文章于 2021-08-01 22:04:21 发布
阅读量289 收藏 2
点赞数 1
分类专栏: 逆向分析 逆向工程 软件脱壳 文章标签: 堆栈 编程语言 数据分析 安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaotuge_always/article/details/119295147
版权
这篇博客详细介绍了堆栈图在逆向分析中的应用,特别是函数调用过程中的堆栈变化。从执行前的寄存器和堆栈状态开始,逐步解析参数压入、CALL指令、堆栈初始化、现场保护和恢复,直到返回后的堆栈状态。通过实例展示了如何逆向推导C语言代码,强调了保护和恢复现场的重要性。
摘要由CSDN通过智能技术生成

本文为本人 大神论坛 逆向破解脱壳学习笔记之一,为本人对以往所学的回顾和总结,可能会有谬误之处,欢迎大家指出。

陆续将不断有笔记放出,希望能对想要入门的萌新有所帮助,一起进步

堆栈图

首先给定一段反汇编代码,分析该段代码的堆栈的变化情况,并绘制出堆栈图

函数调用

00401168  |.  6A 02         push 0x2
0040116A  |.  6A 01         push 0x1
0040116C  |.  E8 99FEFFFF   call HelloWor.0040100A
00401171  |.  83C4 08       add esp,0x8

CALL内部

00401040  /> \55            push ebp
00401041  |.  8BEC          mov ebp,esp
00401043  |.  83EC 40       sub esp,0x40
00401046  |.  53            push ebx
00401047  |.  56            push esi
00401048  |.  57            push edi
00401049  |.  8D7D C0       lea edi,dword ptr ss:[ebp-0x40]
0040104C  |.  B9 10000000   mov ecx,0x10
00401051  |.  B8 CCCCCCCC   mov eax,0xCCCCCCCC
00401056  |.  F3:AB         rep stos dword ptr es:[edi]
00401058  |.  8B45 08       mov eax,dword ptr ss:[ebp+0x8]
0040105B  |.  0345 0C       add eax,dword ptr ss:[ebp+0xC]
0040105E  |.  5F            pop edi                                  ;  HelloWor.00401171
0040105F  |.  5E            pop esi                                  ;  HelloWor.00401171
00401060  |.  5B            pop ebx                                  ;  HelloWor.00401171
00401061  |.  8BE5          mov esp,ebp
00401063  |.  5D            pop ebp                                  ;  HelloWor.00401171
00401064  \.  C3            retn

开始分析

分析流程较为冗长,可能会有些乏味,可以先看最后的流程总结,再来看分析的细节

我们现在开始逐语句分析堆栈的变化情况:

执行前

在这里插入图片描述

寄存器状态

在这里插入图片描述

堆栈内容

在这里插入图片描述

初始堆栈图

我们观察堆栈的情况:

此时ESP:0012FF34 EBP:0012FF80

结合寄存器和堆栈内容绘出简易堆栈图

在这里插入图片描述

执行中

压入参数

00401168  |.  6A 02         push 0x2

最低0.47元/天 解锁文章
大神论坛
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
推荐几个适合 新手学习 软件逆向 脱壳破解 的网站
xiaotuge_always的博客
04-03 5802
很多人想逆向脱壳,想成为大神,但是苦于无门路,不知道怎么。 作为逆向脱壳破解方面的技术宅男,我觉得不管是逆向还是学习任何东西,首先要有个好的学习氛围,还要有一群志同道合的朋友。这样才能相互交流,有问题可以及时沟通,技术才能提升上去,质量效率才能提高。 我以前就是啊,一个调试问题,一个人卡住了几个月,后来解决了才回头发现,真简单,但 是你一个人去研究,碰到了就卡住了,至于啥时候能解决,遥遥无期。一定要有一群志同道合的朋友,一定要在这个逆向脱壳圈子里面,有问题大家及时沟通,及时分享,技术才能提高,圈子真的
逆向破解crackme简要分析
weixin_47118539的博客
05-02 2420
小白逆向破解crackme,并简要分析密码验证过程 采用字符串搜索法爆破,采用字符串比较法验证密码
逆向笔记(一)
做一个快乐学习者
10-20 403
1.main()函数的真正原型 int main(int argc,char *argv[],char *envp[]);不信可以查看MSDN。 2.程序会随着main()函数的结束而退出,所以会接近exit()函数。 3.可以用OllDbg的字符串搜索法快速找到main()函数。 4.可以用栈回溯法找到main()函数。 5.三个常用调用约定_cdecl,_fastcaol,_stdca...
【reverse】逆向7 堆栈
woodwhale的博客
08-01 3653
【reverse】逆向7 堆栈 前言 本章就是开始画堆栈来打基础拉,堆栈熟悉了之后就可以开始C语言的逆向了。 这一章使用的exe文件,我已经上传到了我的个人网盘中,点击下载 1、准备工作 先看这张内容 我们首先打开OD,使用F3打开helloworld.exe程序 然后在任意位置,ctrl+G打开窗口,输入0x401168地址,然后点击OK,自动跳转到这里 然后在这个地址上打一个断点(F2) 然后我们F9运行,让程序运行到这里 然后就是我们画堆栈的时候了 2、画堆栈 我们先在OD上看esp栈顶
通过查看堆栈_手工脱壳
weixin_30542079的博客
07-06 175
通常在软件的破解过程中,会遇到代码经过混淆器混淆的程序,此类混淆器可以称之为壳,壳又可分为压缩壳(常见的有UPX、北斗、ASDPack、Npack、PECompact等)和保护壳(如强壳Safengine、VMprotect、winlicense、Themida等),压缩壳作用是把程序进行体积缩小化处理,保护壳主要作用是混淆或加密代码防止他人进行逆向程序、破解程序。我们可以通过一些侦壳程序进行识别...
逆向破解万能脱壳工具.rar
03-31
逆向破解万能脱壳工具,常见壳都能自动脱
逆向分析脱壳技巧总结
10-30
### 逆向分析脱壳技巧总结 #### 一、脱壳基础知识要点 在逆向工程领域,脱壳是一项重要的技能,尤其是针对那些被加壳保护的软件。了解基础概念是开始学习脱壳的第一步。 - **PUSHAD**: 这条指令通常用于保存程序...
安卓逆向学习笔记之FART中的脱壳点.docx
最新发布
03-25
### 安卓逆向学习笔记之FART中的脱壳点 #### 一、概述 本文档将详细介绍在安卓逆向工程领域中,特别是在使用FART(Fast Android Reverse Tool)进行脱壳时的关键知识点。FART是一款针对Android平台的逆向工具,...
Android逆向分析基础篇之格式篇.pdf
08-07
•Dalvik汇编语言基础 •Dalvik版本HellWorld •破解第一个程序 Dex和ODex文件格式 •Dex文件结构解析 •ODex文件结构解析 •另类APK破解方法 Smali文件格式 •Smali文件结构解析 •IDA Pro 破解实例
app逆向学习相关笔记
12-13
【app逆向学习相关笔记】 在移动应用开发和安全领域,app逆向工程是一个重要的实践环节,它涉及对已安装应用程序的分析,以理解其工作原理、查找潜在漏洞或提取敏感信息。本笔记主要介绍了使用adb命令进行app逆向...
逆向工程自1(主流保护方式+破解交流网站+逆向工具)
Allen Roson
03-01 3397
主流的保护方式: 1)序列号模式(硬件序列号,用户名-序列号) 2)弹窗输密码(Nag Screen) 3)软件限制(次数限制,时间限制,功能限制) 4)可移动介质保护(光盘,USBkey) 5)网络验证(将用户名和注册码等发送到服务器上进行验证) 6)其它保护模式(验证文件,预览版本) 主流破解论坛或网站: 1)crackmes.de http://www...
第十二节 堆栈
qq_34625785的博客
03-30 339
Java程序执行过程 java执行过程: [外链片转存失败,源站可能有防盗链机制,建议将片保存下来直接上传(img-tLHNh9Zx-1585567132410)(http://www.njlife123.com/upload/2020/03/26o4303mb4hn7qkgqet7jlk5av.png)] 程序通过类加载器加载到内存,我们看看java内存结构吧。 Heap:堆,存放对象。...
逆向分析——破解一个CrackMe
Boom!脑洞大爆炸的博客
06-30 3986
破解CrackMe初体验
C程序逆向破解-入门学习(2)
邓霖涛的博客
12-16 1455
阅读到此的同相信对程序的逆向已经有了一定的了解了,如果没有那么可以参考我前面的那篇文章,传送门C程序逆向破解-入门学习(1) 直接进入正题,本文来分析C程序的if else条件分支语句在逆向后的汇编指令,我们如何修改程序的逻辑指令。 编写程序hello.c,或者由之前的hello.c进行修改为以下代码 #include <stdio.h> #include <stdlib.h> void main() { /* 我的第一个 C 程序 */ int flag=0;
逆向学习破解一个小程序
热门推荐
Cvjark的博客
03-20 1万+
笔者是个新手小白,能力有限,如果文章有所不当之处,还请各位前辈批正指出,感谢 程序下载地址: 点我 提取码: h4vi 运行程序,这里提示我们需要一个密钥文件 先进行爆破,丢进OD分析: 这里我们可以从注释得知我们的密钥文件名字为"Keyfile.dat",可以猜想,程序的算法比对的是从这个文件读出密钥,运用设计好的算法,校验合法性… 看到上面组合条件跳转,就该注意了… 到这里正常执...
破解艺术:反逆向技术与脱壳策略
3. 脱壳技巧的学习与对抗:随着恶意软件的壳技术升级,逆向分析人员必须不断学习新技巧和开发工具,以突破这些保护措施。文章提供了一些实际案例,如如何处理加密壳以获取进程映像和保证输入表工具的正常运行,以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大神论坛

喜欢作者

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值