为了能到远方,脚下的每一步都不能少.|
收藏闪存小组博问

园龄:粉丝:关注:

随笔分类 -  逆向

PE扩大节区的方法
摘要:PE结钩我就不多说了,网上有资料,这里只讲操作性的东西,也就是说本文适合有一定pe基础的学习者。 本次案例工具于原料有 ollydebug、CFF Explorer、WinHex以及本次用来修改的程序 下载地址:http://pan-yz.chaoxing.com/share/info/bb01f4
297
0
0
PE增加空白节区的方法
摘要:PE结钩我就不多说了,网上有资料,这里只讲操作性的东西,也就是说本文适合有一定pe基础的学习者。 本次案例工具于原料有 ollydebug、CFF Explorer、WinHex以及本次用来修改的程序 下载地址:http://pan-yz.chaoxing.com/share/info/bb01f4
234
0
0
文件数据加载至内存映射的一些问题
摘要:1.内存节区一定比文件节区大 2.到底复制多少数据取决于文件节区的大小,内存节区的多余部分全部为0
59
0
0
逆向工程核心原理 使用代码钩取技术钩取ZwQuerySystemInformation达到隐藏进程的目的
摘要:因为我喜欢把功能封装成函数集中放在头文件中,要导入两个我自己编写的头文件 链接: http://pan-yz.chaoxing.com/share/info/e9683ebe7126a18f 首先是注入程序 他可以将dll注入至pid>100的进程中 也可以卸载dll 隐藏进程3.c #includ
323
0
0
c/c++ 生成debug函数,使用API会检查堆栈平衡
摘要:今天我使用的代码钩取的技术手段钩取了loadLibaryA,但是却报错了,查看汇编代码,发现在调用loadLibaryA后还会调用一个检查堆栈平衡的函数,这个是编译器在debug版本自动加的。 详细说明请看: 本次案例代码为钩取函数的代码,编译环境为:vs2010,字符集为unicode,运行环境w
255
0
0
windows消息钩子的工作过程
摘要:其中可能有错误的理解,仅供参考 1.按类型和目标程序是否钩取(如果不是全局钩子的话,全局钩子只考虑类型) 2.将接收函数注入目标程序地址空间中(如果目标程序没有的话) 3.将消息送入接收函数中 由此可见钩子与接收函数是1对多的关系,通过目标程序判断选择对应的接收函数
63
0
0
在VC++6.0 与code:block 开发工具生成的C与C++程序中快速找到Main函数
摘要:VC++6.0 上图是VC++6.0开发的程序的入口点 它的主函数就在1000处 我们使用表达式追踪 见下图 结果 见下图 果然找到了 main函数,里面写有hello world代码,但是并不是401000一定是Main函数,因为VC++6.0会是按你写的代码顺序加载内存的,所以也有可能是你写的其
572
1
0
节区头 节区属性设置
摘要:下面描述几个常用的: IMAGE_SCN_CNT_CODE 包含代码,常与0x10000000一起设置 IMAGE_SCN_CNT_INITIALIZED_DATA 包含已初始化的数据 IMAGE_SCN_CNT_UNINITIALIZED_DATA 包含未初始化的数据 IMAGE_SCN_MEM_
292
0
0
逆向核心原理:第二十章 内嵌补丁 与教科书不同的另一中打补丁方式2
摘要:上一次我介绍了一种自己调试patchme的独特方式,今天介绍另一中方法 上次的网址 https://www.cnblogs.com/czlnb/p/13996202.html 代码结构: 这一次我们要插入的地方是代码块4的末尾,因为这个地方已经运行了解压程序,但是没有运行校验程序,所以我们要修改代码
139
0
0
逆向的辅助性技巧
摘要:汇编代码看得头皮发麻,别担心一切不过是数据的流动 使用代码结构这个技能就能帮你捋清思路 比如说逆向工程原理 第二十章的示例代码 它的代码结构是 有序号的都是代码,大写字母是被操作的数据块 方块中心的是代码的功能,左边是地址 左边单箭头的是位置不够在外面写,而右边双箭头是被操作的数据块内的代码 代码的
131
0
0
逆向工程核心原理 所有示例程序
摘要:https://pan.baidu.com/s/1Taaa3hElERWVQagfRepfZA 提取码:439s
816
1
0
逆向核心原理:第二十章 内嵌补丁 与教科书不同的另一中打补丁方式
摘要:在逆向核心原理中,第二十章的实验是调试patchme 见下图1 图1 最后实验的结果: 书上的思路是修改跳入OEP的jmp指令,以此来插入自己的代码,但是这部分的指令是被加密过的,所以修改它时要手动做加密,十分麻烦。 所以我想出了一个更好的办法:因为我们要插入字符串,而字符串是被加密的,而且后面还有
188
0
0
OllyDbg 出现实际运行的汇编代码与显示出来的不一致的问题?或 OllyDbg执行单字节数据?
摘要:下图①是我遇到的问题,执行到这里时发现是单字节,但执行还是可以执行 经过我努力的搜索,总于找到了和我有同样遭遇的老哥,并且有大佬给出了解决方案 见下图② 这是我按了Ctrl + a后的情况 见下图 ③ 虽然大佬的方法正确,但是我并不认同他对原因的分析。 因为我反汇编的程序是运行时解压缩程序,而这段代
191
0
0
使用逆或进行双重加解密
摘要:假如我的幸运数字是6,但是我不想让别人知道,所以我对其进行加密 加密: 步骤一: 将数字6转换成二进制 6 > 00000110 步骤二:选取一个字节的数字 01010101 ① 步骤三:进行异或运算 01010011 步骤四:选取一个字节的数字(和上面不同的)10101010 ③ 步骤五:进行异或
115
0
0
汇编代码中是如何确定apI函数的地址的呢?
摘要:汇编代码中是如何确定函数的地址的呢
677
0
0
上一页 1 2 3
点击右上角即可分享
微信分享提示
深色
回顶
收起