摘要:
逆向 jungle PEID 查壳,没有壳,32位。IDA打开大致看了看,C++写的,静态太难了,直接OD动态调试, 检测长度 大于0x1E 格式 flag{xx-xxxx-xxxx-xxxx} 第一个是一个md5解密,可以直接搜到md5字符串,猜测应该是字符串拼接,还能搜到两个base64编码,解 阅读全文
摘要:
第一次逆向APK,只知道jeb这种东西,直接JEB反编译吧,还好学过了java,能看懂一点。 v0 是获取我们输入的字符串。 v1,v2 两个应该是那两个函数的返回值,但是这两个函数是空的,也不知道咋办。 往下看,v0 = a.d + v1。 v1不知道,a.d 为114366 然后对 最终v0进行 阅读全文
摘要:
PEID查 .NET 直接ilspy反编译,很直观的代码。理清逻辑。 主函数: 经过一个函数(函数名乱码)对字符串变量a_进行变换,并将结果存入b中,最后将输入与b比较。 函数二: 依次取字符串的每个字符,并通过某函数(函数三)进行转换,每个字符循环变换14次。最后对变换后的字符串进行md5加密(函 阅读全文
摘要:
PEID查壳,没有,IDA载入,被加壳了。 工具没脱掉,手脱UPX。 找PUSHAD和POPAD。 来到真正的OEP,OD修改OEP,用IDA加载。 ......攻防世界没给jpg 哈哈,做不下去了。。。。。 阅读全文
摘要:
记录一下特征吧 Elymas语言编写。谁会啊、、、、、 strings命令; 编译后: import sysimport subprocess s = [36, 30, 156, 30, 43, 6, 116, 22, 211, 66, 151, 89, 36, 82, 254, 81, 182, 阅读全文
摘要:
指令格式 【指令前缀】【操作码】【ModR/M】【SIB】【位移】【立即数】 【Prefixes】【Opcode】【ModR/M】【SIB】【Displacement】【Immediate】 ModR/M 辅助说明操作码的操作数,可选。7-6 Mod 5-3 Reg/Opcode 2-0 R/M S 阅读全文
摘要:
DllMain 判断。 存储SetWindowTextW的地址 hookiat钩取和恢复 MySetWindowTextW 是对显示内容进行更改。 为了知道一个可执行文件或DLL文件被加载到进程地址空间的什么位置,可以用GetModuleHandle函数来返回一个句柄/基地址: HMODULE Ge 阅读全文
摘要:
直接看核心代码。 CreateToolhelp32Snapshot函数为指定的进程、进程使用的堆[HEAP]、模块[MODULE]、线程[THREAD])建立一个快照[snapshot]。 HANDLE WINAPI CreateToolhelp32Snapshot( DWORD dwFlags, 阅读全文
摘要:
这篇博客很全面:https://www.cnblogs.com/UnGeek/p/3515995.html DebugActiveProcess 说明:此函数允许将调试器捆绑到一个正在运行的进程上。 语法:BOOL DebugActiveProcess(DWORD dwProcessId ) 参数: 阅读全文