随笔分类 - 逆向 / Windows逆向
多线程逆向
摘要:一.资料检索以及归纳 XDBG调试时默认是只运行下断调试的线程 其它线程处于暂停挂起状态属于单线程调试。打开线程窗口可以查看线程挂起计数(+号 -号快捷键可以挂起恢复线程)双击线程可进入选择线程,如果要调试指定线程的话我的理解是应该在线程代码中下断(线程的各种系统 CALL),线程会自己断下。CE调
某虚拟机软件逆向破解
摘要:最近都在忙着学习QT开发,对于逆向有点手生了,打算拿一个程序练练手,发现电脑上的程序基本都逆向过了,只有虚拟机软件是直接用的网上的注册码,今天就来逆向分析一下这个每天都在用的虚拟机软件。 三种破解思路: 修改注册表:该程序有一个判断时间的功能,即还有几天的剩余时间。在注册表当中肯定会存储相应的时间,
常见反调试技术
摘要:反调试技术 一. 使用Windows API函数 1. IsDebuggerPresent函数 2.CheckRemoteDebuggerPresent函数 3.OutputDebuggerPresent函数 二. 手动检测数据结构 1. 检测BeingDebugged属性 BeingDebugge
常见反汇编技术
摘要:### 一. 相同目标的跳转指令 当jz与jnz的目地地址相同时,此时相当于jmp,但是IDA会将jnz后面的指令(实际上不会执行的指令)进行反汇编,这个时候如果加上比如call(E8),jmp(E9)等字节指令,那么势必会导致反汇编出现问题。 这个时候我们需要将jnz后面的代码转化为数据,然后使正
WindowsAPI函数
摘要:## 一. 复制自身至Windows文件以及用户文件 GetModuleFileName(); GetWindowsDirectory(); GetSystemDirectory(); CopyFile(); ## 二. 获得系统信息有关函数 GetVersionEx();//获取操作系统版本 Ge
PE文件结构2(实现PE文件载入)
摘要:现在我们已经学完了PE文件格式,但是尚还停留在纸上谈兵的阶段,作为Windows系统上的可执行文件格式,PE文件结构总是和结构体,指针等紧密联系在一起的。理解它的最好方法就是通过写一个类似LordPE的程序来帮助我们理解PE文件结构的底层实现逻辑。计算机到底是如何实现对于PE文件结构的读取和分析的,
PE文件结构1
摘要:# 引言 PE文件格式是Windows操作系统下的可执行文件的格式,包括.exe文件和.dll文件,通过PE文件格式的学习,可以帮助我们更加熟悉有关Windows系统下的逆向分析和PC端病毒的学习,同时PE文件格式也是HOOK,加壳等知识的基础,在这里分享一下自己的有关PE文件格式学习的收获和如何编
