随笔分类 - 逆向
摘要:一共10个字母,我按照硬编码的方式,从代码里面,找出了每个编码的位置。c 0x63.text:0007371C sub_73608 MOV R10, #0x63 看似像是在做字符串,但是做出来的东西似乎不是字符串0xB0,0,0,0x10,0x21,0x1A,0x20,0x42,0x30,0x63,...
阅读全文
摘要:Up p sub_78DF8+18 BL fopen参数来自R1断了 Up p sub_5C654+84 BL CreateFileW参数来自R1Down p sub_5C768+84 BL sub_5C654Down p sub_5C88C+A0 BL sub_5C768Down p sub_5D...
阅读全文
摘要:但是根本就没有那个 camera.bin。而更要命的是,在文件夹中把 camera.bin 删除了之后,程序仍然能运行,且不报错,且不提示缺少什么文件。。。我曾经考虑,是不是因为这个 camera.bin 不是字符串资源,而是一个一个字符拼接出来的。在汇编里面,字符属于常量,是直接硬编码写在汇编代码...
阅读全文
摘要:代价就是不能调试,其实也不算什么代价,这个程序脱壳之后,不用调试期,在虚拟机里面单独运行都崩溃。但是看代码,看得好晕。。。这里,第一个call先malloc了一块空间,然后把字符串memmove到了那块空间,扔到了一个全局指针上,然后返回了第二个call给某个全局变量做了一个原子++操作,很恶心,第...
阅读全文
摘要:一个程序,被加了UPX壳。。。结果加壳的人把UPX脱壳的关键参数都给删除掉了,我现在连脱壳都脱不掉。。。我从网上下载了UPX最新3.91版本的壳,复制了两个UPX.exe,本来互相加壳和脱壳都没问题。但是,我只要修改2几个字节就会变成这样结果就是 ,2本来是加壳的,却不能被脱壳了,但是自身却仍然能运...
阅读全文
摘要:公司产品的激活部分,被人破解了,发了一个小工具出来,不是很意外,但是我想看看这个小工具是怎样的,所以,我开始观察这个小工具。观察了两天,我放弃了。我能使用的方法,都用上了,可能是我落后了,我的调试器还处在上个世纪九十年代的水平。。。程序加了个VMP壳,做了TLS回调,能预知双机调试。OD加载它直接退...
阅读全文
摘要:那高手的也是IE6,我也是IE6,但是他的IE6就总是进recv,我的IE6就进WSARecv,一点都不科学。。。擦。。不调了。 ...
阅读全文
摘要:反了一个CSDN免积分下载的小软件。.NET 下 应该是 VB.NET 写的,群里一个人写的小软件,可以免积分下载CSDN上的东西。想到以前,曾经有一个模拟网页注册,然后下载资源的小工具,我想看看这次这个工具,是否也是那样,模仿注册。由于本人能力不够,经验又不足,开始的时候多走了很多弯路。此工具由 ...
阅读全文
摘要:VC:启动函数最乱,三大函数都在后面。前面8个PUSHDELPHI7:启动函数最整洁,2、3、4、2,形式排队VB:启动函数最好记,12个0。。。。汇编:三大函数距离最紧凑,除VB外,启动函数最短Borland C++:启动函数与VC一样乱,但是前面一个加四个减自从上次受挫,我立志好好学习,不会有下...
阅读全文
摘要:得出的值都那么大,求逆太困难了,都不符合逻辑了。哎,我太菜了。。。void fun3(char *str , char *outstr){char *temp = str;int j = 0;for( int i = 0 ; ; i++ ){if( temp == '\0' ){break;}tem...
阅读全文
摘要:但是这个函数是用EBX作为返回值的,不合逻辑,正常返回应该是用EAX004013D8 33C0 XOR EAX,EAX004013DA 33FF XOR EDI,EDI004013DC 33DB XOR EBX,EBX004013DE 8B7424 04 MOV ESI,DWORD PTR SS:[...
阅读全文
摘要:我自己看,感觉好像一句一句翻译的,写得很是生硬,不如书上写的灵活0040137E 8B7424 04 MOV ESI,DWORD PTR SS:[ESP+4]00401382 56 PUSH ESI00401383 8A06 MOV AL,BYTE PTR DS:[ESI]00401385 84C0...
阅读全文
摘要:它只做了简单的名称混淆看雪 加密解密第三版第九章9.4.2详细地介绍了名称混淆的方法、效果以及应对方案看书多真好还得好好地,多看书。
阅读全文
摘要:书上把各种软件的加密方法写得如此清楚、全面对应加密方法的解密方案写得如此透彻我更庆幸,我脑袋里面还记得那中加密方法写在书中的第几章
阅读全文
