随笔分类 - 逆向
摘要:就一个URL,以后可能用得着,留着 GIT:https://github.com/WebAssembly/wabt.git
阅读全文
摘要:步骤: 1,使用dnSpy 工具,直接反了C# 程序。 2,如果第一步失败,仔细看一下程序,是否有加壳,是否有混淆,名称混淆好办,流程混淆难办。 如果是名称混淆,可以使用工具修复。 3,这里预计可以用dnSpy 正确反编译C# 程序。 4,使用dnSpy 导出 C# 程序,成为一个VS的C#项目。
阅读全文
摘要:.net 反混淆工具。 https://github.com/276793422/de4dot forked from de4dot/de4dot 使用方法非常简单, 1:下载代码 2:VS2017打开 de4dot.netframework.sln 3:全部重新编译 4:去 Debug 目录下找到
阅读全文
摘要:上上周吧,一个道通科技的HR找到我,问我是否想找一份逆向相关的工作, 然后XXXXXXXX,最后是说,他们会给我一个机试的考题,让我尝试逆向那道题,然后给出算法。 为了保护道通公司,所以我不会透露考题的内容以及相关信息,我只说思路和感想。 这道题,不算特别难,输入一个数字,题里输出一个数字, MFC
阅读全文
摘要:好久没弄ollvm了,可以继续了,今天给ollvm新增了一个pass,用来加密字符串,这个pass是从别的库里面扒出来的。 本文是基于在Windows 上使用VS2017编译出来的ollvm,在这个基础上来添加。 第一步: 寻找两个pass的代码 头文件 1 #ifndef _STRING_OBFU
阅读全文
摘要:cfg/pdf.cfg 文件中主要有两个字段 PDBSYM_DOWNLOAD_PATH 这个字段可以注释掉 PDBSYM_SYMPATH 这个字段需要设置一个符号路径,具体设置方法和WinDBG的设置方法相同
阅读全文
摘要:首先查询MSDN,可以清楚地看到 位于kernel32 dll 里面。 有目标就好办,找到这个dll,然后,开工,进入IDA。 跳啊 就到下面那块了。 遗憾的是。。。显然不是这里阿,实际上下一块调用的地方是kernelbase里面 这里才对,代码非常少。 下面那块是在取进程主模块基址, 就是这里 m
阅读全文
摘要:今天接到一个问题,说Kernel32 模块的 GetVersionEx 获取系统版本不准确, 然后让我查查什么原因, 我当时就想,它不准,就用ntdll的 RtlGetVersion 阿,或者 RtlGetNtVersionNumbers,这不都行么, 那就看看为什么会出现 kernel32 的函数
阅读全文
摘要:最近遇到了一个恶意软件,劫持主页,其实也不算劫持吧,技术也不算多高明, 下面整套分析流程全部在IDA内部做,没有作一丁点调试。 不是我不会调试,只不过我感觉,这玩艺挺简单的,还要上手来调试,有点失身份,有点大材小用。 注册minifilter实现目录隐藏 准备目标进程列表 准备三个回调,真正干活的
阅读全文
摘要:今天正在扒360 的一个模块, 扒呗,无聊的时候,就看到这么个东西, 给我留了这么多调试信息, 然后呢,那就看看这些东西都是输出什么的呗, 压了个调试信息,入栈,然后call 了过去,之后平衡堆栈,擦,这不是明显的 变参函数的玩法, 调试信息输出函数里面是空的, 我擦,这不是掩耳盗铃么, 360的代
阅读全文
摘要:上一篇,多开方法,适用于一年前的版本 http://www.cnblogs.com/suanguade/p/5646776.html 前言: 一转眼一年过去了,日子越来越无聊了,于是,准备再玩一玩梦幻手游, 有了去年的经验,那就直接来试试看呗,安装了梦幻手游单机版之后,更新了之后,用去年的工具运行一
阅读全文
摘要:好多好多时候,我都需要找各种各样的数据结构好难好难找不到, 怎么办, GITHUB,找不到, WRK,找不到, 各种各种找不到, 找到了,突然发现,和自己操作系统内的版本可能还不相同, 怎么办啊怎么办, 这么办, WinDBG,加载符号, 然后 dt。。。。 要啥有啥。我开心得不得了。
阅读全文
摘要:加载DLL 的时候断: sxe ld:[dll] 卸载DLL 的时候断: sxe ud:[dll] 比如: sxe ld:wininet.dll (在wininet.dll 被装载的时候断点) 这里DLL名字是支持通配符的 比如: sxe ld:wini*.dll 或者直接在DllMain下断: b
阅读全文
摘要:自己鼓捣的方法,累死我了。。。 遇到一个程序,这程序启动之后,会自动重新启动我的电脑, 我想调试它一下,但是遇到了问题, 如果我用调试器附加上去的话,电脑是不重起了,但是它启动了之后会立刻黑屏,全黑, 根据分析,实际上是有个全黑的窗口占到了最前,后面的窗口都不能显示出来, 然后这个黑色的窗口卡死,并
阅读全文
摘要:正常情况下 ebp + 8 第一个参数 ebp + 4 返回地址 ebp 旧ebp地址 ebp - N 局部变量 OK,没了 加的都是参数,减的都是变量, 不想写太多,够用就行,关键时刻,能解决很多问题,节省很多时间。
阅读全文
摘要:https://en.wikipedia.org/wiki/Win32_Thread_Information_Block 这是重点 herein: FS:[0x124] 4 NT Pointer to KTHREAD (ETHREAD) structure
阅读全文
摘要:第一步,先去 IDA dbgsrv 这个目录下,找到要调试的那个远程计算机对应的可用客户端, 比如,android_server, 把它拷贝到目标计算机中, 比如 adb push 。。。。 然后如果是特殊的系统,给它一个执行权限, 比如 adb shell , chmod 777 。。。 然后运行
阅读全文
摘要:前言: 每天工作都很无聊,总想找点乐子,但是毛乐子都没有。 找个游戏玩吧,挂机的游戏。 找到了,这游戏叫做。。。梦幻西游手游。丁三石的游戏。。。 由于我手机是个功能机, 所以,下载个模拟器来玩吧, 下载了之后,安装了之后,启动游戏之后,CPU巨卡,可能我得电脑有点老。 怎么办,看到手游官网上竟然写着
阅读全文
摘要:不应该拿到一个ppt就着手去分析,其实我并没有直接去分析,我还是看了一下它里面的东西的,也跑了一下,看了一下它的执行效果,但是由于经验不足,我没有认出那两个可疑的东西,我真的看了,而且还用16进制编辑工具看了,但是我只看了头部,不是PE文件,也不是DOS程序,不是可执行的二进制文件,然后我就放弃了,...
阅读全文