2019.4.6-优快云博客

本文档记录了逆向学习的基础知识，包括如何识别程序是否加壳、常见壳的特点、去除程序弹窗及修改主页的方法等内容，并介绍了retn大法、procmon和procexp等实用技巧。

2019.4.6

1.英语单词计划（145,146）

2.逆向学习: 由于暂时不知道从哪起手，就从吾爱破解的入门教学培训开始了

   ①认识壳以及识别壳的特征（ 1.Exeinfo PE工具识别  2.查看程序入口点和区段 3.OD载入后Ctrl+A分析 ）
   
   ②无壳程序的特点:
	(1)VC6特点：入口点代码是固定的代码，入口调用的API也是相同的，其中有的push地址不同程序可能不同；区段有四个也是固定的.text、.rdata、.data和.rsrc。	
	(2)VS特点：入口点只有两行代码，一个CALL后直接JMP，第一个CALL进去后调用的API也是相同的；区段相对于VC6多了一个.reloc。

   ③各种壳的特点:

   ④去程序弹窗/弹消息框/修改主页的方法: 
	(1)使用C32asm搜索http或者搜索弹窗的网址（ANSI和unicode），将相关段填充为0
	(2)使用OD载入找到相对应的API函数查看有几个参数，把call调用本身和push压栈的几个参数全部用nop填充
	   			 |
				  ---1.MessageBoxA/W      ----消息框
				     2.ShellExecuteA/W    ----弹网页使用（下3）
				     3.WinExec
				     4.CreateProcessA/W   ----创建进程
				     5.CreateThread	  ----创建线程
				     6.RegCreateKeyExA/W  ----注册表（下3）
				     7.RegOpenKeyExA/W
				     8.RegDeleteKeyExA/W
				     9.CreateWindowExA/w  ----开启窗体或者对话框（右下角的广告基本如此）
				     10.DialogBoxParamA/W
   ⑤retn大法: 将段首第一条指令改为retn可以省去将大量call调用改为nop

   ⑥procmon（记录一个程序所有操作）和procexp（查找窗口属于哪个程序）两个程序的利用

3.腾讯笔试考点记录