m0_64180167的博客

这里我们能发现 sub_401080 是对 sub_401060的解密。可以让IDA在一系列编译器的标准库文件里自动找出调用的函数，使反汇编更加清晰。因为是有规律的 所以我们可以使用枚举类型来表示这个数字。IDC原本就是一种类C语言的脚本控制器、语法和C语言类似。选中 401060的代码 然后U 然后重新选中 按 C。而IDA中FLIRT却可以正确标记所调用的库函数名称。在IDA的反汇编中却成为了没有意义的数字。IDC的脚本中都一条包含ida.idc语句。IDA的原始嵌入脚本语言叫做IDC。

参考重命名是ida极好的一个功能可以把反汇编清单的默认名称改为有意义的名称增加可读性单击 + N 即可打开这个 sub_401120没有什么意义全部的 sub_401120都变为了 WndProc。

逆向分析的第一步就是文件类型分析文件使用什么写的 使用什么编译器编译的是否被加密过然后才能进入下一步有很多工具可以进行分析我选择exeinfo来查看但是并不是工具就可以直接分析完成因为有些会存在欺骗把入口代码改造成和Visual C++ 6.0类似的代码就可以对该类软件进行欺骗。

自定义别名的命令有3个as ad alas为内存中的字符串定义别名ad 删除别名 ad Name ad *al 列出别名as /选项 别名名称 别名实体选项的选择/ma ASCII/e 指定的环境变量/f 指定文件的内容。

x64dbg是开源的调试器 支持 32位和64位。

File->Open/或者按F3 打开目标文件 可以调用CreateProcess创建一个用于调试的进程。程序显示进入被调试程序领空的时候 我们可以通过Run Trace 查看函数调用次数。使用 PC Hunter 、GMER可以获得隐藏进程的pid。如果我们要进行源代码级的首要条件是生成文件中包含的调试信息。我们只需要得到我们想附加进程的pid 就可以附加。OllyDbg将受到目标进程发送的调试事件信息。如果我们是隐藏的进程 那就不能使用上面的方式。但是对它的子进程的调试事件将不给予理财。

我们在 (一)中调试了一个程序 接着我们开始继续学习。

我们进行载入的时候 主要返回的是CPU窗口 是最主要的窗口 对应面板的C。

这里主要就是调用WinMain函数 然后返回值为一个 INT的 nMainRetVal。在栈平衡上 _cdecl是自己加0c来保证栈平衡 则 pascal和stdcall相反。是通过 visual 6.0 的 "Maximize Speed"的优化选项。启动函数就会调用应用程序的入口函数（main、WinMain）在写32位程序的时候 源代码必须实现一个 WinMain函数。函数通过调用程序来调用函数 然后在函数返回的时候继续执行程序。在传递引用的 时候 修改参数值的复本不会影响的原本参数的值。

侧重于windows 的加密保护和解密技术