【看雪】第一课 逆向分析基础知识

最新推荐文章于 2022-08-18 21:58:42 发布
最新推荐文章于 2022-08-18 21:58:42 发布
阅读量1.4k 收藏 2
点赞数
文章标签: windows 编译器 汇编 数据结构 任务调度 delphi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeomanry/article/details/6486199
版权

第一课 逆向分析基础知识
 
1.1 调用约定 
 
在分析汇编代码时总是要遇到无数的Call,对于这些Call,尽量要根据Call之前传递的参数和Call的返回值来判断Call的功能。传递参数的工 作必须由函数调用者和函数本身来协调,计算机提供了一种被称为栈的数据结构来支持参数传递。
 
当参数个数多于一个时,按照什么顺序把参数压入堆栈。函数调用后,由谁来把堆栈恢复。在高级语言中,通过函数调用约定来说明这两个问题。常见的调用约定 有:
 
http://bbs.pediy.com/upload/bbs/faq/call.gif 
 
 
【例】按__stdcall约定调用函数test2(Par1, Par2) 
 
 
push par2 ; 参数2
push par1 ; 参数1
call test2;
{
push ebp ; 保护现场原先的EBP指针
mov ebp, esp ; 设置新的EBP指针,指向栈顶
mov eax, [ebp+0C] ; 调用参数2
mov ebx, [ebp+08] ; 调用参数1
sub esp, 8 ; 若函数要用局部变量,则要在堆栈中留出点空间

add esp, 8 ; 释放局部变量占用的堆栈
pop ebp ; 恢复现场的ebp指针
ret 8 ; 返回(相当于ret; add esp,8)
}
 
 

最低0.47元/天 解锁文章
yeomanry
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
之前的逆向(5)-看雪-hellore
startr4ck
04-28 395
【题目链接】http://www.shiyanbar.com/ctf/1884【解题流程和思路】下载程序之后拖入OD进行逆向分析,在比较call中进行暂停,发现是输入的字符串进行加密之后与加密后的字符进行对比。那么主要的是寻找加密方式,使用OD并不能快速找到加密方式。换做IDA进行分析。记住之前od关键call位置,在IDA当中进行寻找IDA当中分析加密方式编写程序进行反加密即可。如何编写程序?分...
逆向分析入门实战(一)
lilili260
03-18 1949
木马分析入门 大家好,我最近从Web安全开始学习二进制安全,分享一下自己学习过程的收获和心得体会。由于是入门的内容,所以对于二进制大佬来说这很简单,所以本文主要面向的对象主要是和我一样一直做Web安全,又想入门二进制安全的人。本次我学习的案例是木马和病毒常用的一个技术:确保只有一个病毒或者木马在系统中运行,即运行单一实例。对于病毒和木马而言,如果多次重复运行,会增加暴露的风险。所以要确保系统...
第一课 逆向分析基础知识
TravisLi4891的专栏
09-24 1022
看雪软件安全论坛 > 初学者园地 > 『伴你成长』 > 『资料导航』 加密与解密 解密分析入门基础知识 欢迎您,youcou 您上次访问的时间是: 2009-09-23,23:53 您的通知: 1 控制面板 论坛帮助 社区 日历事件 查看新帖 搜索 快速链接 退出论坛 通知 你当前的状态是
看雪逆向学习导航
bingghost
12-06 1338
---------------------------------------------------------------------------- 工具教程:          OllyDbg          IDA          Windbg          GDB 基本方法 参考资料 逆向原理  -------------------
逆向分析之基本知识点
learn112的博客
12-25 641
逆向分析之基本知识点 EP EnterPoint 入口点 EP是windows可执行文件的代码入口点,是程序的最先执行的代码的起始位置,它依赖于CPU(就是用OD打开exe最初始的位置) 可以看到一个CALL和JMP指令 CALL指令调用的函数里面就是程序的启动函数 启动函数并不是我们写的,而是编译器(VS)为了保证程序的运行自动添加的 启动函数里面通常有许多系统API(红色注释部分) 启动函数不只是CALL 0040270c这条指令,JMP 0040104F跳转的0040104F地址处也是启动函数 注
破解解密分析入门基础知识 - 看雪软件安全论坛.mht
06-07
破解解密分析入门基础知识 - 看雪软件安全论坛.mht
逆向工程的角度来看 C++(看雪
02-10
逆向工程的角度来看 C++(看雪
看雪2018安全开发者峰会PPT-7.自动逆向机器人
08-30
看雪2018安全开发者峰会PPT-7.自动逆向机器人,逆向自动化
VMProtect的逆向分析和静态还原.ppt
04-06
VMProtect 是一款虚拟机保护软件,通过将本机代码转换成字节码并由虚拟机执行,增加了逆向分析的复杂度。VMProtect 的逆向分析可以分为三个部分:VMProtect 逆向分析、静态跟踪和字节码反编译。 一、VMProtect 逆向...
12《看雪第一课时教案.docx
12-19
12《看雪第一课时教案.docx
滴水网络第一期初级逆向培训视频
07-23
教程名称:滴水网络第一期初级逆向培训视频  资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
逆向分析入门实战(四)
lilili260
09-19 301
本文由作者首发于合天智汇:http://www.heetian.com/info/878 这次我们对很多木马和APT组织常见的一个手法进行正向开发和逆向分析,这个手法就是当发现当前系统中存在特定的杀毒软件和行为监控软件等安全软件时,退出自身进程不再执行自身的恶意模块。其实这个原理还是很简单的,就是进程遍历,然后与这些安全软件的进程进行对比。 进程遍历的常见方法是首先使用CreateToolhelp32Snapshot函数创建一个进程快照,这个快照是当前系统中所运行的所有进程,和使用Windows任务管理
逆向分析入门
wang010366的专栏
09-16 5358
逆向分析前期学习1.首先建议学习几门语言; 汇编, C++, Python. 他们一个比一个抽象.C++里的编程范型是比较多的,而python是另一个程度的抽象.这三门语言,差不多可以代表现今发挥了巨大作用的编程语言了.2.逆向的直接基础知识,推荐几本书: Intel 微处理器. Windows环境下32位汇编语言程序设计 WindowsPE权威指南 C++反汇编逆向分析技术揭秘 加密与解密第三版
逆向分析课程】复习上篇
kaarwen的博客
04-11 4616
逆向课件复习(华中科技大学)
逆向基础知识
whatiwhere的博客
05-01 1135
逆向知识 汇编基础 mov:数据传送指令 CALL:1.把当前的IP压入栈中,2.跳转到指定位置 RET:用栈中所保存的数据赋值给IP,跳转回来 PUSH:先减ESP,再把数据放进去 POP:先把数据POP出,再加ESP LEAVE:MOV SP,BP;POP BP 通用寄存器 8位AL AH BL,BH 16位AX BX CX DX 32位EAX...
逆向的入门》-希望能帮到一些对逆向有兴趣的朋友(如有转载请标注SmallSky写)
ly114kuang的博客
12-04 1438
我写这篇博客的原因是想帮助更多想做破解,但是不懂怎么开始的朋友,当时是2003这样,听人家说学破解上网能不用钱,当时我带着一腔热血想做破解,在2016年的时候正式学习破解,很多人告诉我先学王爽写的《汇编》然后再学罗云彬写的《win32汇编》,但是想汇编这种语音非常非常苦涩难懂,光看书是没有一点用,对付考试还行,后面发现一个很老的编译器,所以实践起来非常困难,还有想做逆向和破解这样往往光学汇编并不能
逆向入门分析实战(三)
m0_73193096的博客
08-18 180
3、GetVersionEx 是用来获取计算机版本的函数,该函数只有一个参数,我乍一看觉得这个函数还挺简单,肯定和上面两个函数一样直接把返回值即计算机的版本返回到这个参数里了,当我仔细去看 MSDN 文档时发现,呵,参数居然是 lpVersionInfo,这是什么破东西?那就好好再学习一下指针吧!当然,本篇文章不是为了继续讲这个,现在我们应该更加深入的分析其他恶意代码常见的手法,这次分析恶意代码常见的获取计算机基本信息的函数,同样是先通过正向开发,然后进行逆向分析。函数无需传递参数,返回值即为计算机名。..
逆向分析入门实战(二)
lilili260
03-21 1163
本文由作者首发于合天智汇,http://www.heetian.com/info/747 上次我们对主函数分析完成了,那么这次我们对子函数IsAlreadyRun进行分析。 C语言代码 IsAlreadyRun函数的C语言代码如下图所示: 下面对其汇编代码进行分析: rep stosd之前,同样是入栈操作,我们无需仔细追究,重点关注call函数。 1. CreateMutexA...
逆向分析
Deng
10-11 1103
一卡车到563千米宽的沙漠边缘,卡车走一千米要一升油,卡车只能带315升油,沙漠边有加油站,在途中也可以设立驻油点。汽车要多少有才可以穿过沙漠?(请写出计算过程)  问题补充:汽车要多少油才可以穿过沙漠?  提问者: mzp646464 - 助理 二级 最佳答案  此题是有难度的。我希望没有理解题意的人不要在这里瞎说!  正确解法:  1)因为卡车的总载油能力为315升,卡车每千米耗油1
攻防世界看雪看雪看雪
最新发布
09-13
攻防世界是一个面向网络安全爱好者的在线学习平台。它提供了各种关于网络攻防和安全技术的学习资源,例如CTF比赛、实验环境、教程论坛讨论等。我在中找到了关于攻防世界的详细解题博客链接,你可以点击链接查看详细内容。 另外,你提到了一个关于SNOW.DOC的引用,这可能是一个关于SNOW隐写工具的使用方法。根据引用内容,你可以使用cmd命令行,输入"snow -C -p 他朝若是同淋雪 flag.txt"来进行解密操作。具体的使用方法和解密的目的可能需要参考SNOW.DOC的帮助文档来获得更详细的指导。 最后,你还提到了NTFS流隐写的引用。NTFS数据流文件是NTFS文件系统的一个特性,也被称为Alternate data streams(ADS)。这个特性允许在一个文件中存储额外的数据流,这些数据流可以在文件系统中隐藏起来,而不会影响文件的正常使用。可能你提到的攻防世界看雪看雪看雪与NTFS流隐写有关,但具体的相关内容需要进一步了解和研究。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值