逆向基础笔记

最新推荐文章于 2023-01-20 16:37:00 发布
原创 最新推荐文章于 2023-01-20 16:37:00 发布 · 456 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#逆向

参考:
http://e.vhall.com/435087370

PE格式

Windows的可执行程序(.exe, .dll)是PE(Portable Executable)的格式。

PE文件使用的是一个平面地址空间,所有代码和数据都被合并在一起。

  • .text:指令代码
  • .rdata:运行时只读数据
  • .data:初始化数据块
  • .idata:包含其他外来的dll的函数及数据信息,输入表
  • .rsrc:模块的资源:图标、菜单、位图等

壳与脱壳

加壳的全称是可执行资源压缩。是保护程序的常用手段,分为压缩壳和加密壳。加过壳的程序可以直接运行。
通常运行后在内存中进行自脱壳操作,达到真正的程序入口点(OEP, Original Entry Points)并恢复函数导入地址表(IAT, Import Address Table)。
这时候,我们在自拓客完毕后,dump此时的程序状态,设置正确的程序入口点,就完成了脱壳操作。
加壳后的程序,IDA无法静态分析里面的代码逻辑,这也是脱壳的目的之一。

【Web】从零开始的js逆向学习笔记(上)
卡拉米
02-06 872
请注意,进行逆向工程时应遵守法律法规和道德准则,不得用于非法用途。同时,保护自己的代码不被逆向分析也是开发者需要重视的问题。为了保护JavaScript代码不被轻易逆向分析,开发者通常会对其进行压缩和混淆。:函数是JavaScript中的头等公民,可以像变量一样使用。闭包是指有权访问另一个函数作用域中的变量的函数。在进行JavaScript逆向时,经常需要定位加密参数。:JavaScript中使用var、let、const等关键字声明变量。:如if-else条件语句、循环语句(for、while等)。
逆向笔记基础学习(一)
NoOneGroup
02-17 1017
逆向笔记基础学习(一) 博客已搬家,新博客地址 本文笔记均来自于对滴水逆向教程的学习,通过学习教程记录的笔记,个人所见所得。 我感觉滴水课程原理性的讲的蛮好,通过这个来夯实基础。 大纲: 进制学习 数据宽度 二进制的逻辑运算 通用寄存器 常见汇编指令 内存 标志寄存器 堆栈 jcc 进制 学习大纲: 进制的实质就是查表 熟悉2进制跟16进制的转换 熟悉进...
逆向笔记1---基础准备
weixin_43046297的博客
09-12 1056
逆向笔记1----基础准备 根据看雪主编的《加密与解密》相关书籍,还有李佳宇老师的相关视频,开始涉足进入逆向方面的捏内容,给大家相关参考,希望对大家有所帮助 这是第一部分,在涉足逆向和加密解密之前了解的相关基础知识,大致浏览即可 要开始逆向,怎么能不懂大端序小端序、操作系统基础知识、消息队列、句柄、NT架构、PE结构等等相关内容?? 一、 1.多字节存储顺序:大端和小端 常见INTEL架构为小端 ...
__stdcall,__cdecl,__pascal,__fastcall的区别
DynamicComp的专栏
07-01 515
__cdecl __cdecl 是 C Declaration  的缩写,表示 C 语言默认的函数调用方法:所有参数从右到左依次入栈,这些参数由调用者清除,称为手动清栈。被调用函数不会要求调用者传递多少参数,调用者传递过多或者过少的参数,甚至完全不同的参数都不会产生编译阶段的错误。 __stdcall __stdcall 是 Standard Call 的缩写,是 C++ 的
PE文件的简单加壳和脱壳(UPX和PEiD)
qq_29566629的博客
02-12 4716
先普及几个概念: PE文件:portable executable(可移植的可执行文件),主要在Windows系统中,包括exe/dll/sys文件。 加壳:是利用特殊的算法,对EXE、DLL文件里的资源进行压缩、加密。类似WINZIP 的效果,只不过这个压缩之后的文件,可以独立运行,解压过程完全隐蔽,都在内存中完成。它们附加在原程序上通过Windows加载器载入内存后,先于原始 程序执行,得到控制权,执行过程中对原始程序进行解密、还原,还原完成后再把控制权交还给原始程序,执行原来的代码部分。加上外壳后,
您是否存在想在浏览器动态编译razor的组件的想法?
xiaohucxy的博客
01-20 497
不知道是否有人跟我一样想在浏览器上直接可以动态的编译blazor的一些组件库?而不是通过引用NuGet以后才能查看到效果,并且在使用别人的组件的时候可以在动态的调整组件的一些样式不说了开始正文:本文我们将使用Masa提供的一个组件实现动态编译,执行环境将在中执行,为什么使用而不是Server呢?首先我们需要先了解这俩种模式的执行原理。
C++黑客编程第五章C语言逆向基础笔记(一)
小飞飞的博客
03-14 596
C语言源代码如下: #include <stdio.h> #include <windows.h> int test(char *szStr, int nNum) { printf("%s, %d \r\n", szStr,nNum); MessageBox(NULL,szStr,NULL,MB_OK); return 5; } int main(int a...
C++黑客编程第五章C语言逆向基础笔记(三)
小飞飞的博客
03-15 435
switch结构分析 C语言源代码: #include <stdio.h> int main() { int nNum = 0; scanf("%d",&nNum); switch(nNum) { case 1: { printf("1 \r\n"); break; } case 2: { printf("2 \r\n"); ...
C++黑客编程第五章C语言逆向基础笔记(二)
小飞飞的博客
03-15 555
if-else结构判断 C语言源代码: #include <stdio.h> int main() { int a = 0,b = 1,c = 2; if(a>b) { printf("%d \r\n",a); } else if (b<=c) { printf("%d \r\n",b); } else { printf("%d \r...
so汇编unidbg逆向笔记-白盒aes和md5篇
12-20
此外,逆向工程通常需要逆向工程师具备扎实的编程基础和深入的系统知识,尤其是对汇编语言的理解,因为很多逆向工程工作往往需要深入到操作系统的底层。在处理复杂的加密算法时,工程师可能还需要了解相关的数学原理...
逆向-加壳工具介绍
写代码的小阿帆的博客
05-28 4454
经过两周尝试手动编写加壳程序,目前也只是能实现给PE文件添加新区块,后面还有重定位表的修复,地址输入表的处理,虚拟机和花指令技术等反调试手段…一大串要学习的工作,几乎就是放弃了吧,通过这两周学习能让自己对PE文件和偏移地址、虚拟地址有一定了解也算不亏。目前就是转而向使用工具方向了。 目前加壳的两个主要方向是压缩和加密。 压缩壳 压缩壳以UPX为代表,使用方法在前面的文章中有,此类壳的功能已压缩为主,对文件的加密效果几乎没有,Peid等侦壳工具可以轻而易举地发现这些壳,相应也有较成熟的脱壳机来实现。所以当文件
Portable Executable
y_h_t的专栏
09-25 1626
可移植的可执行文件 (英语:Portable Executable,缩写为PE) 是一种用于可执行文件、目标文件和动态链接库的文件格式,主要使用在32位和64位的Windows操作系统上。“可移植的”是指该文件格式的通用性,可用于许多种不同的操作系统和体系结构中。PE文件格式封装了Windows操作系统加载可执行程序代码时所必需的一些信息。这些信息包括动态链接库、API导入和导出表、资源管理数据和
PE学习笔记(一)
rivershan的专栏
01-22 4269
PE学习笔记 PE 的意思就是 Portable Executable(可移植的执行体)。PE文件结构的总体层次分布图:  --------------|DOS MZ Header ||--------------||DOS Stub      ||--------------||PE Header     ||--------------||Section Table ||---------
Portable Executable File
Leo_ZN_0的博客
04-14 585
reference http://www.csn.ul.ie/%7Ecaolan/pub/winresdump/winresdump/doc/pefile2.html
二进制文件比较工具bindiff/diaphora初体验
热门推荐
公众号shadow sock7
07-02 2万+
bindiff下载(独立工具+IDA插件) macOS https://dl.google.com/dl/zynamics/BinDiff4.3.dmg Windows https://dl.google.com/dl/zynamics/bindiff430.msi 安装之后如果需要给IDA配置相应的插件,则需要提供IDA所在路径。 diaphora下载 $ git cl...
IDA打开自动显示注释选项
公众号shadow sock7
06-29 4055
对于不太熟悉汇编指令的同学,初次接触IDA的时候被IDA反编译出来的汇编指令吓到了,殊不知IDA其实是可以打开自动显示注释的选项的。通过Option->General->Auto Comments即可。显示注释前打开显示注释选项显示注释后
android malware
公众号shadow sock7
08-23 1167
来源: https://github.com/fs0c131y/Android-Malwares/tree/c897dff1796c9cb7f19104e9ce3546d54cd55a45/Chrysaor/3474625e63d0893fc8f83034e835472d95195254e1e4bdf99153b7c74eb44d86用JEB看是这样一个结构 先看manifest发现用到了超多权
exploit-exercise的protostar之stack0
公众号shadow sock7
07-14 669
在官方提供的虚拟机中,使用系统已经编译好的二进制可执行文件,可以实现stack overflow系统已经编译好的二进制文件user@protostar:~/repos$ ls /opt/protostar/bin/ final0 final2 format1 format3 heap0 heap2 net0 net2 net4 stack1 stack3 stack5
逆向笔记
最新发布
03-16
好的,用户想查找关于逆向工程、反编译的笔记或资料。首先,我需要根据提供的引用内容来整理相关信息。引用1提到了逆向工程的基本概念和应用,引用2讨论了代码混淆和专利保护,引用3详细介绍了Java的jar命令用法,这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值