neuisf的博客

提示traceapi中_win32.cpp内的GetThreadLocale标识符未声明，打开该文件将4322、4323行注释；继续编译，发现SetThreadLocale未声明，继续将7049-7050行注释。将该文件的21340-21353行注释；将29384-29397行注释。

代码注入，MessageBoxA的第一个参数压入栈，此时，eax是MessageBoxA函数的地址。此处有一个技巧：在call address1 指令执行时，会将下一个地址（ReverseCore字符串的地址）作为下一条指令的地址（函数返回地址）压入栈，实际上是将MessageBoxA的第三个参数压入了栈。

type1的参数为&unk_601290，分别对参数（8字节整数地址）的后两个值递归调用type1函数。这里边有2个关键：一个是后序遍历的最后一个元素是根节点；另一个是中序遍历中根节点前面的n元素同样是后序遍历中根节点的前面n个元素。解题方法为根据中序遍历（type1输出）和后序遍历（type2输出）结果，推导先序遍历结果。需要关注的函数有3个：init（）、type1（）、type2（）。0x2.在linux下执行该文件，输出6行字符串后程序退出。0x1.首先下载附件，是个64为ELF文件。

简单的自定义Base64解密，动态调试和静态分析结合。

为何要学习软件逆向工程？

记录自己学习逆向技能的心得