摘要:
随着逆向的越来越深入,发现自己不会的东西越来越多,知道了PE文件的结构,于是想着可以逆向些程序了吧?结果,OD条件断点不会下,自己用MFC写的最简单的程序根本无从逆起,现在只能逆用汇编写的win32程序,可是这有什么意义。。。现在谁会用汇编写win32?要学的东西还有好多啊,windows中的寄存器,特别是ESP,看的头大,真的不知道是干什么用的,看雪上有些在ESP下条件断点,可是这是为什么?要弄... 阅读全文
摘要:
上周毕业答辩,没完成任务,惭愧惭愧。。。。可选头的最后一部分是DataDirectory字段,这个字段包含了16个IMAGE_DATA_DIRECTORY结构,结构的定义如下:[代码]结构很简单,16个IMAGE_DATA_DIRECTORY代表的内容对应如下:0IMAGE_DIRECTORY_ENTRY_EXPORT导出表1IMAGE_DIRECTORY_ENTRY_IMPORT导入表2IMAG... 阅读全文
摘要:
紧接着IMAGE_FILE_HEADER结构的是IMAGE_OPTIONAL_HEADER32结构,这个结构称为可选头, 其中定义了很多重要的信息,可选头的结构如下所示:[代码]这个结构中重要的元素有如下几个:AddressOfEntryPoint:指出了可执行代码入口点在内存中的偏移(RVA),这个偏移是相对文件本装入内存以后此入口点相对文件头的偏移,由于PE文件在磁盘中和在内存中的对齐粒度不一... 阅读全文
摘要:
上一篇讲到PE load程序已经找到了PE文件头,PE文件头的定义如下所示:[代码]Signature为PE文件标识,其值始终为00004550h,查ASCII表可以知道45h代表字符E,50h代表字符P。紧接着PE文件标识的是IMAGE_FILE_HEADER结构,这是一个20个字节的结构,其定义如下:[代码]各个字段的意义如注释所示,其中元素SizeOfOptionalHeader的值始终为e... 阅读全文
摘要:
Windows下的可执行文件为PE(Portable Executable File Format/可移植的执行体)格式,文件的组织形式还是比较复杂的,花了大概一个星期的时间终于稍微弄懂了PE文件的装载过程。PE文件最开始的部分称为DOS头,存在的作用是为了兼容DOS下的可执行程序,DOS头的结构如下:[代码]可以看到,这个结构总共占用的空间为32个WORD,64个字节,64×8个bit... 阅读全文
摘要:
看雪上下载了一个针对初学者的crackme,要求是写出注册机,不过汇编暂时看不太明白,还需要再努力啊!所以直接给爆破了,注册机以后长进了再写了。过程如下:1. 开OD,载入程序,停在这个位置2.按F9让程序运行,随便输入一些注册信息,然后看会有什么情况3.最简单的方法是通过查找字符串确定关键跳转点,对于这个crackme,关键的字符串是“Registration fail.”... 阅读全文
摘要:
人生中第一篇博客献给博客园。一直以来都是从博客园索取,现在轮到付出的时候了,所以给自己定下一个目标,每周至少两篇!一定要做到 阅读全文