逆向分析之基本知识点

最新推荐文章于 2025-05-30 19:04:59 发布
原创 最新推荐文章于 2025-05-30 19:04:59 发布 · 789 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

逆向分析之基本知识点

EP

EnterPoint 入口点

EP是windows可执行文件的代码入口点,是程序的最先执行的代码的起始位置,它依赖于CPU(就是用OD打开exe最初始的位置)

在这里插入图片描述

可以看到一个CALL和JMP指令

CALL指令调用的函数里面就是程序的启动函数

启动函数并不是我们写的,而是编译器(VS)为了保证程序的运行自动添加的

启动函数里面通常有许多系统API(红色注释部分)

在这里插入图片描述

启动函数不只是CALL 0040270c这条指令,JMP 0040104F跳转的0040104F地址处也是启动函数

注意:启动函数会随开发工具的不同而不同,不同版本的相同工具也会不同

main函数在JMP中

小结

EP-》启动函数-》main函数

OllyDbg基本指令

Ctrl+F9 一直在函数代码内部运行,直到遇到RETN命令,会暂停在TETN处

F4 直接执行到你光标选定的位置

小键盘*显示当前EIP的位置

小键盘-显示上一行光标位置

enter 当遇到CALL或者JMP指令时,按enter可以显示函数的内容,但是不会执行进入函数

All

最低0.47元/天 解锁文章
[系统安全] 逆向工程进阶篇之对抗逆向分析
H4ppyD0g的博客
10-14 2565
线性反汇编策略是遍历每一个代码段,根据二进制码进行反汇编,缺点是不会区分某个二进制码是数据还是指令,全部按照指令来反汇编。如果在一个函数开头加上这个字节码,则反汇编器会认为是一个call指令,这条call指令占用了函数开头的4个字节,从而破坏掉要这个完整的函数。通过使用windwos提供的api可以判断自己是否正在被调试,比如下面的一些函数,如果在分析的代码中看到这些函数,就说明这个代码样本在检测自身是否被调试。当恶意代码意识到自己被调试时,可以改变正常的执行路径或者修改自身程序导致崩溃而对抗调试。
【看雪】第一课 逆向分析基础知识
yeomanry的专栏
02-02 1612
逆向--基础知识篇
玄道的网安博客
01-24 1万+
基础知识 可执行文件 计算机中可以被直接执行的程序被称之为可执行文件,可执行文件中是由指定操作系统的可执行文件格式规范与当前CPU机器指令码组成。不同的操作系统、不同的CPU之间的可执行文件都可能存在或多或少的差异。本篇主要以Windows操作系统、x86架构的CPU进行参考。 Windows中的可执行文件格式被称之为PE文件格式。是向操作系统描述程序该如何被加载,CPU指令从文件何处执行,需要给程序分配多少内存空间,以及空间如何布局等。如图1.1 [图1.1 使用Petools工具分析PE
逆向】【Part 2】逆向分析基础
lanlanla的成长历程
01-08 792
1.基本知识回顾 1.MessageBox函数 PS:这个函数出现的频率太高了,建议记下来(以防考试)。 函数原型: intMessageBox(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT UType); 参数:  hWnd:标识将被创建的消息框的拥有窗口。如果此参数为NULL,则消息框没有拥有窗口。  lpText:指向一个以...
逆向分析学习入门教程
热门推荐
wang010366的专栏
09-17 3万+
转在于 逆向工厂(一):从hello world开始前沿从本篇起,逆向工厂带大家从程序起源讲起,领略计算机程序逆向技术,了解程序的运行机制,逆向通用技术手段和软件保护技术,更加深入地去探索逆向的魅力。一、程序如何诞生?1951年4月开始在英国牛津郡哈维尔原子能研究基地正式投入使用的英国数字计算机“哈维尔·德卡特伦”,是当时世界上仅有的十几台电脑之一。图中两人手持的“纸带”即是早期的程序,纸带通过是否
逆向基础知识
m0_52812369的博客
04-08 1152
逆向主要解决三个问题: 程序从哪里执行 数据藏在哪里 程序藏在哪里 本篇文章用到的软件:OllyDBG,ExeinfoPE OllyDBG百度云链接:https://pan.baidu.com/s/1S7E3spLBNi1GLfWPyPNTpQ 提取码:zl79 ExeinfoPE百度云链接:https://pan.baidu.com/s/1-K_vGSj8TA1lM2DScDAaqw 提取码:ua95 一、基础知识 1、PE文件结构:任何一个在Windows上运行的可执行文件都要遵循的文件格式,如.exe
Android软件安全逆向分析_带书签_Android软件安全逆向分析_带书签_android_
09-29
本篇文章将根据书中的关键知识点进行详细阐述。 一、Android系统安全基础 1. Android系统架构:理解Android系统的层次结构,包括Linux内核、HAL层、系统服务、应用程序框架以及用户界面。 2. Dalvik与ART:探讨...
逆向分析-010Editor代码
12-04
在“逆向分析-010Editor代码”这个主题中,我们可能会涉及以下知识点: 1. **010Editor基本操作**:学习如何打开、查看和编辑二进制文件,理解其界面布局,以及如何使用查找、替换、比较等基本功能。 2. **模板...
SQLite数据库逆向分析1
08-08
本节课将从基本的Main函数开始,逐步深入到数据库的逆向分析。 2. Main函数分析 Main函数是程序的入口点,负责初始化程序的环境和资源。在SQLite数据库逆向分析中,Main函数将负责加载数据库、初始化数据库环境和...
逆向知识点
qq_44661192的博客
09-08 461
逆向知识点 mov eax,0x123456789 当数据超出范围时,会舍弃低位 eax的值为23456789 eax0-31 ax 0-15 al 0-7 ah 8-15 mov add sub and or xor not等指令源操作数和目标操作数都可以为内存,但不能同时为内存 寄存器在cpu内部,执行速度快 内存: byte 8bit word 16bit dword 32bit 加[]的为...
逆向分析学习入门教程(非常详细)零基础入门到精通,看这一篇就够了!_逆向都要学啥
小司机的奥拓
07-24 4369
jnz的十六进制码为75,jz的十六进制码为74,只需将可执行程序中的75改为74就可以。\n”压入栈,供printf函数使用,在反汇编程序代码中,如果调用的函数有参数,都是先将函数的参数先用push指令压入栈中,例如:add(int a,int b),调用add函数前,先将参数a和b压入栈,根据 __cdecl调用规则,先push b,再push a,最后再调用add函数。java,c,c++,C#,pascal,python,lisp,prolog,FoxPro,易语言等等 均属于高级语言。
逆向基础知识0x00
爱党人士
06-10 609
多字节储存顺序 大端(顺序) 小端(逆序) 如1234 大端:1234 小端:3412 关于ascii和unicode windows系统下的基础知识: WINDOWS API 详细的点击下面: api详解 DLL PE结构很重要,也复杂的一批,过几天再学。 dll就是大家需要时就用,不用时就是放回去, 就像共享单车,节省资源。 汇编基础:是为了学习与底层,硬件之间的交流。 句柄h...
逆向分析基础总结
最新发布
晓梦林的博客
05-30 1494
摘要:本文介绍了计算机核心部件与编程基础概念。主要内容包括:1)CPU、内存的工作原理及分配机制,如分段分页技术;2)PE/ELF可执行文件格式及加载过程;3)x86架构寄存器体系,包括通用寄存器、段寄存器和标志寄存器的作用;4)汇编语言基础,包括指令格式和示例代码解析。文章详细阐述了内存映射、虚拟地址转换等底层机制,以及寄存器在程序执行中的关键作用,为理解计算机系统运行原理和逆向分析提供了基础技术框架。(150字)
逆向基础知识(二)
玄道的网安博客
02-18 6187
C++基础--数据存储格式(二) 类的存储格式 类与结构体的存储格式类似,其不同之处在于类中可以有函数(方法),但函数本体并不会占用类中的存储空间,如果函数中没有任何成员则函数占用一个字节。 类中有一种特殊的函数叫做虚函数,此函数在实例被创建时被绑定在对象中。无论其类型如何变化,只要类型存在该函数,均调用的是被创建时使用的那个类的实体。 classMyClass { public: virtualintmethod() { return0; }; }; classMyClas...
逆向算法常识总结
u010725842的专栏
02-23 4012
1.消息摘要算法的主要特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的密文。著名的摘要算法有RSA公司的MD5算法和SHA-1算法及其大量的变体。 2.当公钥算法与摘要算法结合起来使用时,便构成了一种有效地数字签名方案。这个过程是:首先用摘要算法对消息进行摘要,然后在把摘要值用信源的私钥加密;接收方先把接收的明文用同样的摘要算法摘
OllyDBG逆向分析:汇编功能实战改写字体
本篇文章是逆向分析基础教程的一部分,由作者CCDebuger在2006年发布于看雪软件安全论坛,作为OllyDBG入门系列的第七部分,主要讲解了如何使用OllyDBG这款强大的动态调试工具进行汇编级别的分析。文章以MyUninstaller...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值