摘要:
转载自大神CSDN博主「九阳道人」版权声明:本文为CSDN博主「九阳道人」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/qq_31507523/article/details/88309060QQ连连看单机版辅助制作全流程最近在15PB学习逆向,分析了个小游戏并写出了辅助工具,在这里总结下全流程。游戏:QQ... 阅读全文
摘要:
转载自https://www.cnblogs.com/KIDofot/p/8641385.htmlKIDofot大神手工脱壳之 PESpin加密壳【SHE链硬件反调试】【IAT重定向】【混淆+花指令】阅读目录(Content)一、工具及壳介绍二、脱壳之寻找OEP1、硬件断点失效 2、采用API断点+单步跟踪3、确定目标3.1、API Address3.2、Put EXE IAT3.3、IAT加密3... 阅读全文
摘要:
ClamAV(www.clamav.net)打造属于自己的恶意软件分析特征库。特征库主要包括HASH匹配、文件内容特征库、逻辑特征库、二进制特征码(SHELLCODE)、ASCII特征码。0x01 ClamAV部署实验环境所有实验均在Kali Linux V1.0.9操作系统上。安装clamav其他环境其他环境请参考如下URL: http://www.clamav.net/doc/install.... 阅读全文
摘要:
转载https://www.cnblogs.com/KIDofot/p/8641380.html#_labelTopKIDofot大神手工脱壳之 未知IAT加密壳 【IAT加密+混淆+花指令】【哈希加密】【OD脚本】阅读目录(Content)一、工具及壳介绍二、初步脱壳 三、解析IAT加密方式三、锁定IAT加密点四、OD脚本五、混淆和花指令 一、工具及壳介绍使用工具:Ollydbg,PEID,Im... 阅读全文
摘要:
00417000 90 NOP00417001 > 60 PUSHAD00417002 E8 03000000 CALL 00_aspac.0041700A ; 下一条是花指令 按100417007 90 NOP00417008 EB 04 ... 阅读全文
摘要:
00438450 > 55 PUSH EBP00438451 8BEC MOV EBP,ESP00438453 83EC 0C SUB ESP,0xC//第一个call观察发现没有参数,返回值eax也没被使用,可知这个call没有参数也没有返回值,//即在C语言 == void fun(void),enter进去观察。(... 阅读全文
摘要:
IAT在内存中和在文件中的特征? IAT在内存中是一个函数地址数组,在文件是是一个RVA数组 重定位的原理是什么? 重定位地址的计算: addr = 映像基地址+VA+OffSet 重定位地址处的数据: [addr] – 原基地址 + 现基地址 [addr] + (现基地址–原基地址) 重定位在内存 阅读全文
摘要:
脱壳0.upx.exe ① 找OEP ESP定律 跟脱aspack.exe方法差不多。 脱壳0.exe(FSG 2.0) ① 找oep 单步跟踪 跳转到OEP代码: 观察寄存器,看是否有在获取导入表的代码附近代表快到OEP了。 就能找到 JMP DWORD PTR DS:[EBX+0xC] ② 阅读全文
摘要:
概述 脱壳是一项综合技术,结合PE文件格式、汇编指令的分析,调试加密的程序并将其还 原的一个过程。 壳一般分为两种,加密壳和压缩壳,里面所使用的技术有,压缩算法、对代码加密、 对IAT加密、对资源加密。 我们从简单入手压缩壳 关于压缩算法 有损压缩 一个像素点:RGB 红绿蓝 一个图片:(3,4, 阅读全文
摘要:
恢复内容开始 脱壳之序言 回顾 PE文件的Magic code(魔数、幻数)是什么? MZ头、PE头 PE文件中文件头的信息有哪些? 运行平台、时间戳、PE文件属性、区段数量、扩展头的大小 PE文件中扩展头的信息有哪些? EP的RVA、ImageBase(400000)、代码段起始地址、数据段起始地 阅读全文