逆向
关注
分享
扫一扫
文章平均质量分 70
西电小西
这个作者很懒,什么都没留下…
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
逆向常用断点设置列表
一般处理bpx hmemcpybpx MessageBoxbpx MessageBoxExAbpx MessageBeepbpx SendMessagebpx GetDlgItemTextbpx GetDlgItemIntbpx GetWindowTextbpx GetWindowWordbpx GetWindowIntbpx Dialo原创 2013-06-20 22:27:40 · 1144 阅读 · 1 评论 -
逆向分析资料汇总
一、工具1. 壳鉴别工具:PEiD2. 静态反汇编工具:IDA3. 动态反汇编工具:OllyDBG二、学习资料 1. 入门:《加解密入门基础知识》 http://bbs.pediy.com/showthread.php?t=318402. 论坛:看雪论坛 http://www.pediy.com/3. 书籍:《加密与解密》三、总体思路1. 先运行一下,有帮原创 2013-06-21 21:09:35 · 1280 阅读 · 0 评论 -
OD硬件断点,OD内存断点,API断点命令
一.【设置硬件写入断点】 HW 968A34 + X+ ^: [. R# a 命令"HW "的全称是 Hardware Write , Hardware 是硬件的意思,Write是写入硬件的意思,968A34是某游戏 的内存 地址 -------------------------------------- - w0 s, k9 H! {0 c/ w) T 二.【设转载 2013-07-15 09:41:48 · 6963 阅读 · 0 评论 -
如和将常用工具添加到“发送到”功能中
将常用工具添加到“发送到”功能中,以后要分析某文件,只需要选中文件,然后右键单击,选择“发送到”功能中对应的工具,即可打开该文件。添加步骤:1. 查找SendTo文件夹:在命令提示符中输入“cd %userprofile%\sendto ”命令,即可进入SendTo目录,从而获得其路径;2. 给工具建立一个快捷方式,让后将该快捷方式放入SendTo目录中。注意:1.原创 2013-06-25 11:10:46 · 756 阅读 · 0 评论 -
常用断点总结
常用的断点有INT 3断点、硬件断点、内存断点等。一、INT 3断点 详细介绍参考《int 3 软中断指令》一文。二、硬件断点1. 硬件断点与DRx调试寄存器有关 1)DR0~DR3:调试地址寄存器,保存需要监视的地址,如设置硬件断点; 2)DR4~DR5:保留,未公开具体作用; 3)DR6:调试寄存器组状态寄存器; 4)DR7:调试寄存器组原创 2013-06-24 23:33:37 · 1664 阅读 · 1 评论 -
int 3 软中断指令
1. int 3断点是一种很常用的断点类型,其机器码为CCh,所以也称为CC指令;2. OllyDbg中用快捷键F2设置的断点就是int 3断点;3. int 3断点原理 1)当执行一个int 3断点时,该地址处的内容被调试器用int3指令替换,但OD将int3隐藏,显示出来仍是下断前的指令; 2)当被调试程序执行int3指令导致一个异常时,调试器就会捕捉这个异常从而停在断点处,然原创 2013-06-24 11:30:35 · 6054 阅读 · 0 评论 -
数据在内存中如何存储?静态存储区 栈区 堆区 小端和大端存储方式
一、静态存储区、栈区和堆区 一般来说,编译器将内存分为三部分:静态存储区域、栈、堆。静态存储区主要保存 全局变量和静态变量,栈存储调用函数相关的变量、地址等,堆存储动态生成的变量,在c中是指由malloc,free运算产生释放的存储空间,在c++中 就是指new和delete运算符作用的存储区域。1、 静态存储分配 1) 指在编译时给数据对象分配固定的存储位置原创 2013-06-24 15:16:38 · 2526 阅读 · 0 评论 -
详解大端模式和小端模式
详解大端模式和小端模式一、大端模式和小端模式的起源 关于大端小端名词的由来,有一个有趣的故事,来自于Jonathan Swift的《格利佛游记》:Lilliput和Blefuscu这两个强国在过去的36个月中一直在苦战。战争的原因:大家都知道,吃鸡蛋的时候,原始的方法是打破鸡蛋较大的一端,可以那时的皇帝的祖父由于小时侯吃鸡蛋,按这种方法把手指弄破了,因此他的父亲,就下令,命令转载 2013-06-21 23:51:09 · 796 阅读 · 0 评论 -
几种典型程序Button处理代码的定位
首先1. od 下运行程序,F12 暂停;2. View菜单中选击Windows项,在打开的窗口中可以从Title栏看到目标按钮,从而找到它的Handle(xxxxxxxx) ;对不同平台生成的程序,分别处理:一、VB, Delphi, CBuilder 程序:3. 在CallWindowProcA入口下条件断点: [esp+8]==xxxxxxxx && [esp+0转载 2013-06-20 22:38:19 · 1937 阅读 · 0 评论 -
PE文件格式分析及修改
PE 的意思是 Portable Executable(可移植的执行体)。它是 Win32环境自身所带的执行文件格式。它的一些特性继承自Unix的Coff(common object file format)文件格式。“Portable Executable”(可移植的执行体)意味着此文件格式是跨Win32平台的;即使Windows运行在非Intel的CPU上,任何win32平台的PE装载器都能识转载 2013-06-20 16:05:03 · 1892 阅读 · 0 评论 -
献给汇编初学者-函数调用堆栈变化分析
跟一个朋友谈堆栈的时候 就写下了这段文字,顺便发到这里给需要的看看吧汇编初学者比较头痛的一个问题////////////////////////////////////////////////////////////////////比如 我们有这样一个C函数#includelong test(int a,int b){ a = a + 1; b = b转载 2013-06-20 22:44:58 · 698 阅读 · 0 评论 -
windows溢出保护原理与绕过方法概览
前言从20世纪80年代开始,在国外就有人开始讨论关于溢出的攻击方式。但是在当时并没有引起人们的注意,直至后来经一些研究人员的披露后,特别是著名黑客杂志Phrack上面关于溢出的经典文章,引领许多人步入溢出研究的行列,从此关于缓冲区溢出的问题才为人们所重视。随着溢出研究的深入,网上开始出现很多关于溢出攻击教程,揭露了许多溢出利用技术,特别是经典的call/jmp esp,借此溢出攻击案例层出不穷转载 2013-09-21 19:48:14 · 1075 阅读 · 0 评论