逆向
关注
分享
扫一扫
文章平均质量分 60
半同桌
这个作者很懒,什么都没留下…
展开
-
[逆向]顺序结构:四则运算
简单的顺序结构逆向分析-->四则运算使用工具:VS2013,Ollydbg源代码:#include <windows.h>//定义全局变量int nGlobal = 5; char cGlobal = 'a';int main(){ //定义局部变量 int nLocal_1 = 0; int nLocal_2 = 8; //变量之间进行运算 nLocal_1 += nGlobal; nLocal_2 = nLocal_1 * 4; nLoc.原创 2020-06-29 00:08:36 · 525 阅读 · 0 评论 -
使用IDA生成Map文件辅助OD调试
主要思路就是先在IDA中把函数名,变量名改成根据实际功能的命名,然后生成map文件,再用OD打开要分析的exe,最后利用插件LoadMap打开之前生成的map文件,就可以在OD中也看到之前在IDA中改过的文件名和变量名了一、用IDA打开要分析的程序,生成map文件打开之后,可以根据已经知道的一些信息把函数名和变量名进行重命名把变量也重命名,局部变量是以loc开头的这两个本...原创 2019-11-30 09:22:38 · 1799 阅读 · 0 评论 -
160个CrackMe_逆向 8/160
一、基本情况文件名:Andrénalin.1有弹窗,意思是说 不幸是错的,再看仔细二、具体分析查找字符串 UNICODE直接定位到提示的地方,能够看到关键跳转,还有就是前面的一个vbaStrCmp运行到vbaStrCmp处,查看堆栈中的内容所以正确的Key就是:SynTaX 2oo1...原创 2019-05-29 18:17:19 · 338 阅读 · 0 评论 -
DnSpy调试进程中的DLL
有些时候需要对一个程序中的DLL进行调试,那么就可以用以下方法:Debug-->Attach to Process这里要注意如果要调试的程序是32位的,就要用DnSpy-x86.exe;如果是64位的,就用DnSpy.exe在弹出的窗口中选择对应的进程,选择AttachDebug-->Windows-->Modules找到要调试的DLL,双击,这个DLL就会出...原创 2019-06-06 09:42:37 · 6942 阅读 · 0 评论 -
160个CrackMe_逆向 4/160
文件名:ajj.1一、基本信息没有按钮软件是用delphi写的,可以利用专门的delphi反编译软件DeDeDark查看二、具体分析随便输入用户名和注册码在过程选项卡中,有一个chkcode函数,通过名字来看,很像是关键函数双击进去,看到里面有GetText函数,这应该就是两个文本输入框的获取文本函数了在OD中找到对应的RVA在Panel...原创 2019-05-22 22:37:42 · 490 阅读 · 0 评论 -
DeDeDark delphi反编译
DeDeDark是用来反编译delphi程序的一个软件,现在网上最多的版本是3.50.041、主界面软件支持直接拖拽拖拽完之后会提示是否要分析,选择yes即可2、模块信息3、窗体点击右边的按钮能够看到程序界面的一些信息,包括控件的消息和动作4、过程这里主要是一些自己实现的函数,包括控件对应的函数,可以看到有单击和双击的消息处理函数以及一...原创 2019-05-22 20:44:41 · 9584 阅读 · 3 评论 -
新旧版本setup.inx反汇编得到源码
在运行setup.exe的时候,会调用到setup.inxinx里面一般是有注册码之类的东西,如果注册码不对,那么软件的功能上就会不全Start create CSV fileInfo Install error! Skip CSV file creation错误提示,在CSV文件创建的时候就要注意,也就是创建成功了才可以继续下面的安装新版inx这些字节是相同的74...原创 2019-05-13 17:28:37 · 1520 阅读 · 0 评论 -
C++ 类模板
在逆向比较大的用C++写的软件的时候,经常会遇到类模板,这里就总结一下遇到的一些常见的类模板:basic_string类模版的对象管理的序列是标准的C++ 字符串标准C++ 字符串类是一个容器,因此可以像操作其他普通类型一样,对C++ string类进行操作,例如比较,迭代,STL算法等string其实是形参为char的basic_string类模版的一个别名std::basic_...原创 2019-05-13 17:17:11 · 289 阅读 · 0 评论 -
OD 调试多线程遇到的问题以及解决方法
1、无法单步调试在调试多线程程序的时候,如果遇到断点能断下来,但是一按F7/F8程序就运行起来了,这种情况多半是线程被挂起了首先是去看看线程窗口,是不是有线程被挂起来,如果有,右键-->Resume all thread,然后就可以继续单步调试了2、程序运行到一半,OD就已经退出,进程终止这种情况一般是程序有一些反调试手段,我当时的情况是有两个线程,总是在第一个线程结束...原创 2019-05-13 16:44:13 · 4231 阅读 · 0 评论 -
DLL文件 COM OLE文件 OleView查看
如果一个dll的导出函数只有5个:DllCanUnloadNow,DllGetClassObject,DllRegisterServer, DllUnregisterServer, DllMain那么这个这个dll就是一个包含COM接口信息的OLE文件,这个dll文件会在程序运行的时候动态地去调用其中的函数。可以通过DispCallFuns()这个函数下断点来捕捉调用其他函数的过...原创 2019-05-17 14:02:04 · 916 阅读 · 0 评论 -
OD在VB程序下断点
在分析VB程序的时候,VB的API跟VC的差别比较大,如果直接用VC的方法去下API断点的话肯定是不行的,断不下来。比如说弹出消息框,VC中是MessageBoxA/W之类的API,但是在VB中是rtcMsgBox,用Ctrl+G是找不到这个API的,所以直接用命令行下断点就可以了,命令:bp rtcMsgBox,注意区分大小写。断下来之后再Alt+K查看堆栈,就能找到调用rtcMsgBox的...原创 2019-05-13 14:08:35 · 764 阅读 · 0 评论 -
160个CrackMe_逆向 3/160
文件名:AfKayAs.2一、软件信息打开的时候会有弹窗之后出现主窗口破解这个程序的目标有两个,一个是去掉neg弹窗,另一个是得到注册算法。二、详细分析1、随便输入用户名和序列号,会出现错误弹窗,所以切入点就是这个MessageBox在OD命令行输入bp rtcMsgBox,运行之后程序断下来,栈回溯,找到调用的地方在这个函数的前面下断,就可以单步调...原创 2019-05-21 18:47:55 · 313 阅读 · 0 评论 -
VB 函数
持续更新...VB的函数有些不能根据名称来直接判断函数的功能,平时积累vbaStrI4 将数字转换为UNICODE字符串rtcMsgBox MessageBox函数__vbaobjset 用来给对象赋值或者实例化...原创 2019-05-09 19:47:44 · 859 阅读 · 0 评论 -
160个CrackMe_逆向 2/160
文件名:Afkayas.1一、软件信息属于name,serial类的软件,有注册算法错误提示二、分析这种软件一般第一步查看字符串,在ASCII中没有找到相应字符串,在UNICODE中找到了相应的字符串双击跟进,到代码的位置,依旧是在函数最前面下断点,输入之后点击OK计算name的长度将得到的长度*0x17CFB,值保存在EDI中取name...原创 2019-05-09 19:40:23 · 298 阅读 · 0 评论 -
ReadMe
160个CrackMe文件下载链接:链接:https://pan.baidu.com/s/17JDLxx25v-86MbufkCHUew提取码:x061OllyDbg:吾爱破解专用版OllyDbg原创 2019-05-09 18:06:53 · 246 阅读 · 0 评论 -
CrackMe
CrackMe集合,一共160个原创 2019-05-13 21:45:06 · 1034 阅读 · 0 评论 -
160个CrackMe_逆向 1/160
文件名:Acid burn一、打开软件,查看基本信息进主界面之前有个MessageBox,也就是neg,先把它去掉,虽然这个不去掉对程序没什么影响一路F7/F8,找到弹窗的函数,前面有个JE,改成JMP无条件跳转,过掉弹窗函数过掉neg就可以继续下面的分析了很明显属于常见的注册码-用户名之类的软件,这种软件一般能用查找字符串的方法找到关键点二、在...原创 2019-05-08 22:51:29 · 415 阅读 · 0 评论