- 博客(8)
- 资源 (3)
- 收藏
- 关注
RSS订阅
原创 OD使用技巧 (持续更新中)
常见问题,从易到难,如果错误,请指正,谢谢。OD 做逆向分析的关键:函数调用参数及返回值的变化、内存数据变化;3.1 如何将在一个OD中下的断点,在另外一个OD重中使用?方法:将当前库的UDD文件拷贝到新的OD的UDD文件夹下即可;3.2 如何下条件断点?当某处多次被跑到,需要在特定的情况下停下,使用条件断点;快键: Shift + F12例如:如果想到值为A的时候断...
2018-09-09 11:38:22
3214
原创 IDA逆向技巧(持续更新)
读者如果发现错误,请指正。IDA的逆向分析水平就是一个逆向工程师的水平;7.1 IDA与OD的联合使用一般使用OD下断点,找到关键代码位置,然后使用IDA静态看流程。需要注意的是IDA需要与OD基地址对齐,这样才方便在IDA中查找代码位置,具体方式如下:Edit ---> Segment ----- Rebase Program : 设置基地址;在WINdbg中基地址...
2018-09-02 17:48:53
24572
9
原创 逆向反汇编:从C/C++到汇编 (持续更新)
各位读者,总结如有错误请指正,谢谢。2.1 常见指令2.1.1堆栈相关命令Push:把一个32位操作压入堆栈中。Esp -4,我们认为栈顶是最小的区域;Pop:与push相反,一个数据出栈;sub:减法:第一个是被减数的寄存器,第二个参数是减数;Add:加法:Ret:返回,自动的弹出返回地址;Call:调用函数。将下一条指令的地址压入堆栈中,然后指向它调用的函数的开头;区别:...
2018-09-09 11:29:57
4626
原创 OD/Windbg 一、简介(持续补充)
用于动态调试的工具;1.1 布局、窗口分析布局: L Log 窗口 E Executable窗口 M Memory窗口 T Threads 窗口: 有时需要激活 W Window窗口 H Handle窗口 C CPU窗口 :汇编代码; / Patches 窗口 ...
2018-09-09 11:22:01
1425
原创 六、IDA动态分析
6.1 本机调试 使用IDA打开exe,选择菜单Debugger下的Start process(也可以按F9键)来开始调试;在寄存器窗口中显示着每个寄存器当前的值和对应在反汇编窗口中的内存地址。函数在进入时都会保存堆栈地址EBP和ESP,退出函数时恢复。6.2如何对DLL文件进行动态跟踪用[F2]在IDA View中当前代码行切换断点。 启动装载DLL的EXE文件。 使...
2018-09-02 17:44:39
2923
原创 五、IDA静态分析常用
5.1交叉参考通过交叉参考(XREF)可以知道指令代码互相调用的关系.如下:.text:00401165 loc_401165: ;CODE XREF:sub_401120+B|j这句CODE XREF:sub_401120+B|j 表示该调用地址是401120,“j”表示跳转(jump)“o”表示偏移值(offset)“p”表示子程序(procedure)双击这里或按回车键可以跳...
2018-09-02 17:42:10
2176
原创 二、IDA快捷键
快捷键太多,自己开个IDA,多用就记住。按空格键切换反汇编窗口(列表视图&图形视图) 翻页 esc 和 Ctrl+Enter G :定位地址; X: 交叉引用 TAB: 汇编指令与伪代码之间切换; N :重命名; Y:修改函数原型 或者 变量类型; 双击:转到定义处; 注释 “;”和”:” 按;号输入的注释,所有交叉参考处都会出现, 按:号键输入的注释只在该处出...
2018-09-02 17:38:57
12091
1
原创 一、IDA简介
IDA是 交互式反编译专业版,International disassemble professional,采用递归向下反编译器,目的是尽可能呈现接近原代码的代码; IDA分为windows版本、OS版本、Linux版本;IDA的目录结构: 1.1 IDA界面打开IDA Pro 6.5,为进入IDA界面提供三种启动选项,分别是New(新建),Go(运行),Previous(上一个...
2018-09-02 17:36:24
4833
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人