逆向笔记【贰】

最新推荐文章于 2022-06-08 07:45:56 发布
原创 最新推荐文章于 2022-06-08 07:45:56 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

一、PE文件各区段解释(区段名称跟功能没有必然关系,这里只是说明常见的定义):

  1. .code.text段:存放程序的代码数据。
  2. .data段:存放程序运行使用的数据。
  3. .rdata.idata段:程序的导入表数据。
  4. .edata段:程序的导出表所在的节。
  5. .rsrc段 :程序资源节,为多层的二叉排序树,节点指向PE文件的各种类型资源(图标、对话框、菜单等)。
  6. .reloc段:重定位表所在的节,实际加载基址改变之后,程序里的有些数据(如部分全局变量等)地址是写死的,程序加载时将这些数据的地址更新,重定位表就用来存放需要重定位的数据信息。

二、Windbg界面虽然不怎么友好(看雪提供有Windbg高亮插件),偶尔也是可以用来分析应用层程序的,但是Windbg刚加载程序时是在系统断点处断下的,可以载入程序之后在命令行设置断点bp $exentry,再运行就会在程序的入口点断下的。

三、将Windbg设置为默认调试器的方法为在命令行转到Windbg程序的目录下,输入Windbg –I,如果Windbg.exe的目录已经添加到了系统环境变量里,就不用再Cd进Windbg程序的目录了。设置默认调试器可以在程序出现异常时自动挂载程序到出异常的位置,在调试漏洞Poc时非常有用,如果Poc触发了异常就会自动调用Windbg到出问题的代码处。

四、Windbg进行本地内核调试时需要将系统的调试开关打开,命令为:bcdedit -debug on ,重启生效,同理:bcdedit -debug off为关闭调试开关。

五、使用Windbg进行源代码调试驱动程序时必须首先安装与系统相对应的符号文件,如果驱动程序对应的源码名称为QS2HU4.c,在驱动的入口设置断点的命令为bp QS2HU4!DriverEntry,其中QS2HU4为源码文件名、DriverEntry为驱动的入口函数名(相当于C程序中的Main函数),使用WinDbg打开QS2HU4.c文件之后再加载驱动,就会在源码中DriverEntry函数哪一行断下。(Windbg根据符号文件找出DriverEntry函数位置~)。

六、Windbg调试驱动程序出现蓝屏时,可以根据提示输入并执行!analysis -v,查看系统崩溃的详细信息,比如错误码C0000005代表非法内存访问等,虽然也能将定位到出现错误的源代码中的行或具体的某句汇编指令,但是情景复杂的情况往往需要进行栈回溯等等方法寻找出错的根源。

七、Windbg中查看错误码含义的指令为!error 错误码。例如!error  2。

八、栈溢出主要有覆盖返回地址、覆盖虚表指针、覆盖SEH异常处理链表等形式。

九、堆溢出一般发生在指针拆卸出错,可造成固定地址写任意数据、任意地址写固定数据、任意地址写任意数据等,目前此类型漏洞在Windows系列操作系统中发生的不多,在xp sp2之前的操作系统可以通过向系统关键地址处如进程控制块中的指针等。Ps:路由器操作系统中利用堆溢出漏洞进行拒绝服务攻击甚至是远程代码执行还很常见。

十、为了绕过Windows xp sp2及以上操作系统的dep保护机制,可以利用Immunity Debugger调试器的mona插件可以自动生成Rop链(好像是findantidep插件的升级版),当然可能还需要进行手工调试修正,首先把mona插件的python脚本下到手之后放到Immunity Debugger的plugin目录下即可。

十一、在Immunity Debugger的命令行输入!mona rop -m msvcr71.dll -n(前提是笔记十)。-m选项代表从后面的msvcr71.dll中获取rop链,-n代表过滤掉null byte,也就是“\X00",避免Rop数据被类似strcpy的字符串拷贝函数拷贝时被截断出错,命令执行之后就可以得到ruby、python等各种语言格式的Rop链啦~

十二、在使用Immunity Debugger的mona插件时,注意生成的Rop链中如果带有Ascll字样,代表构成Rop的这些数组的每一个字节的十六进制值都是小于0x80(128)的,也就是在Ascll字符表示范围内,使用这种Rop链的一个好处就是可以避免MultiByteToWideChar和WideCharToMutiByte函数对输入数据的ANSIC与宽字符之间的转换,如果漏洞利用调试过程中自己的利用代码出现了类似的小意外不妨从这里找找原因。

十三、IDA:有时候感觉用IDA的图形视图看汇编代码真是一种享受,不过IDA的强大之处还不止此,不仅可以对字符串、函数找到其交叉参考(查看该字符串或函数的调用情况,便于追根溯源),还有出色的代码标注功能及N多强大的插件(⊙o⊙)哦,比如:hexray......

十四、IDA的hexray插件功能非常强大,可以将汇编代码反编译成的类c语言的伪代码,用法也非常简单:在某调用函数反汇编代码的图形视图按下F5键就有惊喜(⊙o⊙)哦(在反汇编代码视图中光标选定位置F5之后就会得到光标所在函数的反编译代码),这技术还不是非常成熟,但是IDA反编译出的结果还算准确,测试时可以把int 3指令反编译成debugbreak()。(最好不要滥用该技能,建议老老实实的看汇编代码,慢慢打基础)。

十五、IDA以静态反汇编出名,也可以进行调试分析的,看菜单工具栏选项或F9快捷键体验一下吧,个人感觉效果、功能虽不如od的动态调试,图形视图下的调试还算不错的,结合Windbg调试就更爽了。。。

十六、如果一些窗体程序使用起来不合你的胃口,比如说对话框太小了、图片太丑了,先不用考虑放弃这个程序,试试ResHacker、eXeScope等资源编辑工具吧,操作简单,还能将一些灰色按钮的限制功能取消掉(找到相应的属性,修改之后再Rebuild),也是进行汉化操作等的利器。

十七、程序加载到内存时需要根据导入表的结构将程序运行所需要的API函数地址填充到IAT(导入函数地址表)的地址,程序运行时导入表的结构是用不到的,所以一些外壳程序会把导入表结构销毁掉,如果在脱壳过程中对其进行Dump内存镜像的操作之后,得到的程序就没有导入表结构,无法提供程序运行时的API地址信息,导致出错。这也就是为什么Dump内存镜像之后要进行导入表修复操作。

十八、硬件断点:常用的CPU都有8个调试寄存器Dr0-Dr7,其中Dr0-Dr3用于存放设置硬件断点的地址(所以硬件断点最多只能设置四个),Dr4-Dr5一般用于保留,Dr6-Dr7用于指示硬件断点的设置个数及属性(读、写中断)等。

写一个PE的壳_Part 2:ASLR+修复输入表(IAT)+重定位表支持(.reloc
可乐松子的博客
05-26 3874
文章目录Part 2:输入表和重定位表1.ASLR预备知识2.输入表支持detail 1:什么是输入表?detail 2:PE Header描述detail 3:真实的输入表detail 4:编程处理数据结构编程实现扩展:LIEF中重建Import Table介绍3.管理重定位表detail 1:什么是重定位表?detail 2:重定位表结构detail 3:编程处理4.结果展示5.参考 Part 2:输入表和重定位表 本文主要处理Part 1中遗留的2张表:输入表和重定位表(执行一个ASLR使能的文件不
苏宁APP逆向笔记系列log
2403_87731058的博客
11-27 396
Android逆向苏宁app笔记系列记录,主要想通过视频的方式来督促自己的Android逆向学习进度,也能够给新手带来一些帮助,虽然录制的不是非常专业。
从可执行文件中删除.reloc节区
qq_39249347的博客
08-14 853
.reloc节区 EXE形式的PE文件中,“基址重定位表”项对运行没有什么影响,实际上,将其删除后程序仍能正常运行。 VC++中生成的PE文件的重定位节区名为.reloc,删除该节区后文件照常运行,且文件大小将缩减,.reloc节区一般位于所有节区的最后。 若要删除位于文件末尾的.reloc节区,需要按照以下4个步骤操作: 整理.reloc节区头 删除.reloc节区 修改IMAGE_FILE_HEADER 修改IMAGE_OPTIONAL_HEADER 删除.reloc节区头 可以.
PE格式系列_0x05:输出表和重定位表(.reloc)
可乐松子的博客
06-08 932
输出表简单理解就是一个表格,记录输出函数的信息 流程:PE装载器访问PE文件输出表时,通过获取一个函数的地址,通过获取一个函数的名称,但是此时还没有建立对应关系,通过来建立名称和地址的联系示例1:DllDemo中只有一个导出函数MsgBox 使用PE工具查看输出表示例2:kernel32.dll的输出表汇总查看 2.基址重定位表 通常重定位表只有dll文件和开了ASLR的exe才需要关心,因为此时不能保证加载时默认的装载地址不会被其他模块占用简单理解,对于PE加载器来说,他不关心需要修正的地址的具体用途,只
从可执行文件手动删除.reloc
极深研几
12-07 1647
1.整理reloc节区头 2.删除.reloc节区
DLL引入表重定位 .reloc
haungrui的专栏,水底深呼吸
03-27 4401
   前几天日,在做彩虹显IP补丁程序的时候,需要将原格式化字符串从"%d.%d.*.*"修改成"%d.%d.%d.%d"以使其能显示完整的IP,在补丁代码中需要引用该字符串,于是直接从原代码中copy了一段引用该字符串的代码。头几天还能正常工作,不知什么原因程序突然无法运行了,打开调试器跟踪才发现问题就出在对字符串的引用上,模块载入后的基址与前几天相比发生了改变,补丁中对字符串的引用指向了一个无
wx.request逆向笔记
12-16
前言 frida虽然确实调试起来相当方便,但是Xposed由于能够安装在用户手机上实现持久化的hook,至今受到很多人的青睐,对于微信小程序的wx.request API,本文将以该API作为用例,介绍如何使用Xposed来对微信小程序的...
so汇编unidbg逆向笔记-白盒aes和md5篇
12-20
so汇编unidbg逆向笔记-白盒aes和md5篇的知识点涵盖了逆向工程与加密算法的深入分析,特别强调了unidbg这一工具的使用和白盒加密分析方法。unidbg是一个基于JVM的动态二进制模拟框架,允许开发者在没有原生环境的情况...
安卓逆向笔记-逆向思路教程------(1).pdf
最新发布
07-07
本文档“安卓逆向笔记-逆向思路教程------(1).pdf”将作为入门指南,向读者展示安卓逆向工程的基本思路和方法。 首先,安卓应用(APK)本质上是一个压缩包,其中包含着应用程序的资源、编译后的代码等。逆向工程的...
app逆向学习相关笔记
12-13
【app逆向学习相关笔记】 在移动应用开发和安全领域,app逆向工程是一个重要的实践环节,它涉及对已安装应用程序的分析,以理解其工作原理、查找潜在漏洞或提取敏感信息。本笔记主要介绍了使用adb命令进行app逆向...
HexRaysPyTools:IDA Pro插件可改善HexRays反编译器的工作,并有助于重建结构和类
05-04
IDA Pro插件 目录 关于 该插件有助于创建类/结构和检测虚拟表。 它还有助于更快地转换反编译器输出,并允许执行某些原本不可能的工作。 注意:该插件支持带有Python 2/3的IDA Pro7.x。 安装 只需将HexRaysPyTools.py文件和HexRaysPyTools目录复制到Ida插件目录即可。 配置 可以在IDADIR\cfg\HexRaysPyTools.cfg debug_message_level 。 如果您有错误并想要显示日志以及有关在问题中如何遇到的信息,请设置10。 propagate_through_all_names 。 如果您不仅要重命名功能的默认变量,请设置True 。 store_xrefs 。 指定是否将在反编译阶段收集的交叉引用存储在数据库中。 (预设-True) scan_any_type 。 如果要将扫描应用于任何变量类型,请设
软件反汇编破解工具集(ODbyDYK、HA-eXeScope、Resource Hacker)
04-11
OllyDBG后,反汇编;Resource:以直接修改了。包括菜单,窗口,图标等;eXeScope:能在没有资源文件的情况下分析,显示不同的信息,重写可执行文件的资源,包括(EXE,DLL,OCX)等。是方便强大的汉化工具,可以直接修改用 VC++ 及 DELPHI 编制的程序的资源,包括菜单、对话框、字串表等。
windows程序逆向笔记(一)
xiaotu0821的博客
12-16 2243
1.吾爱破解 l 按钮-程序运行的日志、插件加载的信息查看 e 按钮-模块信息,程序加载的所有模块、库 都可以看到路径等 双击就可以看到基地址 m 按钮-内存信息 对于 e按钮中 的各个模块的基地址等 t 按钮-线程信息 w 按钮-窗口信息 h 按钮- 一些句柄的信息 c 按钮-反汇编窗口 或者双击 从寄存器的 EIP shift+加号回到之前的位置 p 按钮-记录修改信息 可以在这做还...
pe文件节区的删除和增加
m0_62690279的博客
04-10 1723
pe文件节区的删除和增加 节区(.reloc)的删除(按照《逆核》书中的步骤来进行) 整个过程需要四个步骤: 1.删除节区头 2.删除节区 3.修改节区数(number of section) 4.修改映像大小(size of image) 删除节区头 在hxd中找到rva从270到297区域,用0填充 删除节区内容 在hxd中找到poiner to raw data(磁盘中地址c000),删除其后面的所有内容 修改节区数量 找到文件头中的 number of section 同样在hxd中修改其
基址重定位表&.reloc节区
weixin_30273763的博客
12-10 333
第16-17章 - 基址重定位表&.reloc节区 @date: 2016/11/31 @author: dlive 0x01 PE重定位 若加载的是DLL、SYS文件,且在ImageBase位置处已经加载了其他DLL/SYS文件,那么PE装载器就会将其加载到其他未被占用的空间。这就涉及了PE文件重定位问题,PE重定位是指PE文件无法加载到ImageBase位置,而被加载到其他地址时发生的...
Win32病毒入门 -- ring3篇
-= Hellraiser's Heaven =-
06-18 2474
                             Win32病毒入门 -- ring3篇                                 by pker / CVC.GB1、声明-------本文仅仅是一篇讲述病毒原理的理论性文章,任何人如果通过本文中讲述的技术或利用本文中的代码写出恶性病毒,造成的任何影响均与作者无关。2、前言-------病毒是什么?病毒就是一个具有一定
ELF Format-4-Symbol_Reloc_String Table
Starr
01-04 429
文章目录4. Symbol Table4.1 数据结构st_info5. Reloc Tab5.1 结构体5.2 重定位类型6. String Table 4. Symbol Table readelf -s查看符号表 4.1 数据结构 typedef struct { Elf32_Word st_name; /* Symbol name (string tbl index) */ El...
逆向笔记
03-16
<think>好的,用户想查找关于逆向工程、反编译的笔记或资料。首先,我需要根据提供的引用内容来整理相关信息。引用1提到了逆向工程的基本概念和应用,引用2讨论了代码混淆和专利保护,引用3详细介绍了Java的jar命令用法,这可能在反编译过程中用到。 用户可能需要具体的操作步骤、工具推荐或者学习资源。比如,如何反编译Java程序的步骤,或者常用的反编译工具如JD-GUI、FernFlower。此外,混淆技术如ProGuard的使用方法,以及专利保护的重要性也是相关点。 还要考虑用户可能的背景,可能是开发者或安全研究人员,需要实用信息。因此,回答中应包含工具、步骤、法律保护方法,并引用提供的资料来支持。最后,生成相关问题时要覆盖工具使用、混淆技术、法律保护和应用场景等方面。</think>### 逆向工程与反编译相关资料整理 #### 1. 逆向工程基础概念 逆向工程指通过分析软件系统理解其内部逻辑和架构,常用于性能优化、漏洞挖掘或代码重构[^1]。例如,分析Java程序的`.class`文件时,可通过反编译工具还原部分源代码逻辑[^2]。 #### 2. Java反编译技术 Java程序的逆向工程通常涉及以下步骤: - **使用`jar`命令操作JAR包**:例如解压JAR包的命令为: ```bash jar -xvf yourfile.jar -C 目标目录 ``` 参数`-x`表示解压,`-v`显示详细信息,`-f`指定文件名[^3]。 - **反编译工具**:常用工具如JD-GUI、FernFlower等,可将`.class`文件转换为可读的Java代码。 #### 3. 代码保护与混淆 - **混淆技术**:通过工具(如ProGuard)重命名类/方法名,增加逆向难度。例如: ```java // 混淆前 public class PaymentService { ... } // 混淆后 public class a { ... } ``` - **专利保护**:核心算法或创新点可通过申请专利保护,避免被逆向后直接复制[^2]。 #### 4. 反编译实战案例 - **查看JAR包内容**: ```bash jar -tf yourfile.jar # 列出JAR包内文件列表[^3] ``` - **生成索引文件**: ```bash jar -i yourfile.jar # 创建索引以加快类加载速度 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值