IDA 字符串解密脚本

最新推荐文章于 2025-05-30 12:47:54 发布
最新推荐文章于 2025-05-30 12:47:54 发布
阅读量5.6k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yourenhello/article/details/16867635
.text:10116143 BF 20 A1 18 10                    mov     edi, offset unk_1018A120

.text:10116148 BA 28 B1 18 10                    mov     edx, offset aKLVljqKqvyTy ; "k]L}VLJQ]KqVy[Ty"

这两个地址字符串被加密了

用如下脚本解密:


#include<idc.idc>
static main()
{
	auto nSrc,from;
	from=ScreenEA();
	from++;
	
	from=Dword(from);
	Message("%08x\n",from);
	nSrc=Byte(from);
	while(nSrc)
	{
		Message("%02x,0x%08.x\n",nSrc,from);
		PatchByte(from,nSrc^0x35);
		from++;
		nSrc=Byte(from);
	}
}


软件逆向破解入门系列(2)—静态分析利器IDA使用方法及爆破初探
Think88666的博客
07-07 4484
ida,静态分析,破解
IDA系列--插件开发-Python版
最新发布
Tasfa的博客
07-02 575
本文介绍了基于Python的IDA Pro插件开发技术,主要内容包括:开发环境配置(IDA Pro 7.0+及内置Python)、核心架构设计(事件处理、UI组件等)、关键API分类(控制流分析、反汇编操作等)、典型开发流程(插件生命周期管理、菜单集成等)。文章还深入讲解了高级功能开发(二进制补丁、自动重命名、图可视化)、调试技巧(日志输出、热重载)以及发布部署和安全注意事项。最后通过字符串解密器等典型案例,展示了Python插件开发的实用技巧和最佳实践。全文提供了详细的代码示例和架构图,帮助开发者快速掌握
ida flare_emu模拟执行批量解密字符串(Orchard_Botnet)
jentle8的博客
11-02 826
使用模拟执行批量解密堆栈字符串 ida flare-emu
使用IDAPython解密被加密函数名
liuhaidon1992的博客
12-04 1516
最近分析一款病毒,输入表是空的,并且搜字符串,搜不到函数名,函数名被加密了。 就写了个脚本把函数名都解密起来,并加注释,方便在IDA中查看。 完整脚本如下: def get_string(addr): out = "" sourceString = "amNFHufoTRn0P3vI8xBS4t6jM9CqXeibUDEpQ1ZGYywJzAg7sk2lc5WLOrKdhV.?...
IDA dumpdex经典脚本(记录)
qq_37567841的博客
05-30 229
IDA dumpdex经典脚本(记录)
java 对字符串的加密解密
城墙上奔跑de二帅
05-12 1万+
import java.security.Key; import java.security.spec.AlgorithmParameterSpec; import javax.crypto.Cipher; import javax.crypto.SecretKeyFactory; import javax.crypto.spec.DESKeySpec; import javax.crypto.
攻防世界 流浪者
沈理大学牲的博客
10-23 122
没有发现main函数,可以从字符串入手,找到对应的函数。然后根据第一个解释逆推写出第二个脚本。首先逆推出v5也就是a1这个数组。点进一个字符串,两个都一样。ctrl+x找到所属函数。找到调用此函数的函数。
lua脚本的加密与解密简单介绍
热门推荐
douluo998的博客
03-15 1万+
这里有个小技巧,当有很多so文件的时候,一般最大的文件是我们的目标(文件大是因为集成了lua引擎)。其中lua是明文代码,直接用记事本就能打开,luac是lua编译后的字节码,文件头为0x1B 0x4C 0x75 0x61 0x51,lua虚拟机能够直接解析lua和luac脚本文件,而luaJIT是另一个lua的实现版本(不是原作者写的),JIT是指Just-In-Time(即时解析运行),luaJIT相比lua和luac更加高效,文件头是0x1B 0x4C 0x4A。
如何在ida里面使用之花指令的操作+python插件进行运行脚本 以[MoeCTF 2022]chicken_soup为例
2302_81097378的博客
05-25 1152
(也就是说是到倒数第二个就结束了)我们就得到了如下的解密代码。
字符串提取与修改】:VS中从.exe文件提取和编辑隐藏字符串
![【字符串提取与修改】:VS中从.exe文件提取和编辑隐藏字符串](https://cdn.afterdawn.fi/screenshots/normal/14755.jpg) ...# 1. 字符串提取与修改的基础概念 ...通过对程序代码中的字符串进行提取,我们
白日门手游luac文件加密怎么解密_浅析android手游lua脚本的加密与解密
weixin_28877505的博客
02-05 3820
2018.05.02更新这段时间在翻备份的硬盘,突然发现了以前的分析项目和代码,从里面提取了之前附件的内容,现在上传给大家,真是柳暗花明又一村啊。附件包括201703版本的梦幻手游里面提取的so文件和一些加密后的资源文件(包括lua脚本),并包括了2个扑鱼APK文件,最后还打包了解密代码,供大家参考。附件太大,快100MB,上传不来论坛,我又放到百度网盘了......链接:https://pan....
Android逆向之旅---Android应用的汉化功能(修改SO中的字符串内容)
05-11
Android逆向之旅---Android应用的汉化功能(修改SO中的字符串内容)
国科大软件安全漏洞分析与发现第一次作业key1
灵魂画师牧码
03-16 1869
使用的是IDA Pro 6.6,导入homework1.exe之后,在Strings window窗口中可以看到以下信息 也就是please input key1:输出前的一个字符串xipbsfzpv@,这个字符串即是经过加密的字符串,接下来要做的工作就是将其解密,双击该处的字符串,跳转到了如下图位置 在_main+27那个位置点击右键,选择jump to operand,跳转到了如下图的位
Tool_RE_IDA基础字符串修改
CheAyuki13的博客
07-31 3864
字符串查找按住键盘组合键 shift + f12 打开字符串窗口,包含所有字符串,双击进去会找到选定字符串的内存地址,字符串修改1.选中字符串,在Hex dump修改对应内存地址内容(PS关于16进制可以在百度百科搜索ascii码表2.要将hello 52pojie!对应的hex是:68 65 6C 6C 6F 20 35 32 70 6F 6A 69 65 21改成hello world!在a...
ida字符串存储的小端序陷阱
amber_o0k的博客
10-08 998
小端序,英文名little endian 在ida f5查看伪代码后,如果看到 _DWORD v4[7]; v4[0] = 0xD6C0B67; v4[1] = 0x175F4078; v4[2] = 0x3302058; v4[3] = 0x725D1244; v4[4] = 0x2E1F3441; v4[5] = 0x6847404D; v4[6] = 0x1B; 注意最开始的数据类型,这个数组不光要按照4字节左侧补零对齐,还要将每一组数据翻转才能得到正确的字符串 ...
IDA-自定义字符串编码类型
counsellor的专栏
12-28 3015
最近在使用IDA时,发现有些字符串的标记是text不是db,并且undefine之后,按’A’键转换不成text格式的字符串,甚至根本不是完整的字符串。这个text到底是什么,改如何转换此类字符串呢?
IDA简单使用及源码修改教程
xiaorur的博客
08-30 1万+
简单使用 待记录... 修改源码 修改字符串 题目链接 要修改的函数如下 void read_flag() { int fd; // [esp+1Ch] [ebp-Ch] ​ fd = open("/proc/flag", 0); read(fd, gbuf, 0x1000u); ​ 因为正常情况下没有该目录文件,修改结果应为./flag.txt 双击该字符串,定位地址如下 .rodata:080486B0 file ...
IDA Pro 代码破解解密》笔记一
Fly20141201. 的专栏
11-14 5761
return 0;  C语言返回0语句的汇编形式 Intel-32汇编: leave xor eax, eax ret AT&T汇编: leave xorl %eax, %eax ret 从汇编的结果可以看出,返回0的C语言语句,在编译器生成的汇编语句中并没有包含常量,这是编译器优化的结果,它认为复制零的操作比执行异或的运算更耗资源。 操作码与S
请告诉我一个模拟执行还原ollvm混淆的字符串的方法,我是新手,越方便越好。
04-01
然后通过示例代码展示如何操作,比如Python脚本调用Unicorn,设置内存和寄存器,执行解密函数,最后读取内存中的明文字符串。 可能需要注意的问题包括确定解密函数的参数和返回方式,处理内存布局,确保模拟环境与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值