第19-22天 静态反汇编之IDA
摘要:1. IDA Pro 简介①安装后有 32-bit 64-bit 分别分析32位和64位程序②处理支持PE格式,还支持DOS UNIX MAC JAVA .NET等平台的文件格式③IDA会建立一个数据文件,下次直接打开数据库文件就能继续分析④如果IDA分析出了有问题代码,将 Kernel optio
阅读全文
posted @ 2020-05-22 09:14
05 2020 档案
第18天 反汇编引擎
摘要:主要有下面几种反汇编引擎,各有各的优点,先混个脸熟,以后用到的时候在学习研究,现在就马上全部记住不大现实。 1.OllyDbg的ODDisasm2.BeaEngine3.Udis864.Capstone5.AsmJit6.Keystone
阅读全文
posted @ 2020-05-10 10:56
第17天 文件类型分析
摘要:分享第一步就是要知道程序的类型,是否经管加密处理.常用的查壳工具有PEiD,Exeinfo PE.这里以PEiD为例子. 1.无法分析出文件类型可能报告 PE Win GUI2.Options → Register Shell Extensions 可以在右键快捷菜单中添加相应的选项3.PEiD提供
阅读全文
posted @ 2020-05-10 10:54
第15天 MDebug(未学习)
摘要:Generation of keys Generation of keys Generation of keys Generation of keys
阅读全文
posted @ 2020-05-10 10:32
第13天 OllyDbg的常见问题
摘要:学的今天,OllyDbg的一些基础知识也学的差不多。下面是常见问题的处理方法。1.乱码问题004010CC 55 db 55004010CD 8B db 8B 004010CE EC db EC004010CF 83 db 83 004010D0 56 db 56OD将这段代码当成了数据,使用分析→
阅读全文
posted @ 2020-05-09 10:28
第12天 调试符号 & 加载程序
摘要:一.调试符号1.介绍了5个类型的符号格式,每种的历史和现在。2.介绍了如何生成调试文件。3.使用符号文件调试文件。总结:其实调试符号文件就是用参数或者函数代替了汇编代码,让汇编代码更具备可读性 二.加载程序1.通过CreateProcess创建 ①直接加载目标程序是可以带参数加载的。 2.利用Deb
阅读全文
posted @ 2020-05-09 09:45
004.Hook制作脱壳机
摘要:个人感想:现在的培训教程把网上的文章,代码拿过去,在视频里面稍微讲解下就能卖钱,这样不懂的还是不懂,懂的依然是懂的,真的是浪费时间、感情。 dumpDex是一个github上开源的xposed插件,可以用来脱掉当前市场上大部分的壳,而且讲道理这鬼东西是真的怪好用的。 下面个人在网上找了篇文章,慢慢研
阅读全文
posted @ 2020-05-08 21:36
第11天 插件 & Run trace & Hit trace
摘要:OllyDbg的插件功能OllyDbg有了插件功能,相当于就有了活力,我们可以自己开发插件1.常用插件介绍(1)命令行插件? 表达式D(DB,DW,DD) 查看内存数据bp 设置断点hw 设置硬件写断点(2)OllyScript插件大家都知道的脚步插件 2.插件的开发有了SDK才能开发 OllyDb
阅读全文
posted @ 2020-05-08 14:21
第9-10天 常用断点
摘要:常用的断点有 INT 3断点、硬件断点、内存断点、消息断点等。1.INT 3断点INT3 断点的机器码是0xCC,缺点是软件很容易检测API被下断了,可以下断在下一行代码躲过检测。 2.硬件断点最多设置4个硬件断点,和INT3断点类似,但是不会修改机器代码。所以更难被检测出。 3.内存断点内存断点分
阅读全文
posted @ 2020-05-06 11:00
OD调试程序的时候老是断在ntdll领空
摘要:系统 Win7 64 OD里面都设置好了,可一直断在ntdll.dll领空 1.换了款OD,发现可以断在入口点. 2.以Win XP兼容模式可以断在入口点.或者直接在下面选中以管理员身份运行此程序
阅读全文
posted @ 2020-05-02 23:21
