文章分类 -  逆向

逆向知识第十四讲,(C语言完结)结构体在汇编中的表现形式
摘要:一丶了解什么是结构体,以及计算结构体成员的对其值以及总大小(类也是这样算) 结构体的特性 1.结构体(struct)是由一系列具有相同类型或不同类型的数据构成的数据集合 2.在C语言中,结构体(struct)指的是一种数据结构,是C语言中聚合数据类型(aggregate data type)的一类。 阅读全文
posted @ 2017-12-06 09:08 ye_ming 阅读(2297) 评论(0) 推荐(0) 编辑
逆向知识十三讲,汇编中数组的表现形式,以及还原数组
摘要:讲解数组之前,要了解数组的特性 1.数据具有连续性 2.数据类型相同 比如: int Ary[3] = {0,1,2}; 我们可以看出,上面定义的数组,数据是连续的,其中每个数据类型大小都是int类型(类型也是一样的) 汇编中识别数组: 1.地址连续 2.带有比例因子寻址 (lea reg32,[x 阅读全文
posted @ 2017-12-06 09:07 ye_ming 阅读(2446) 评论(0) 推荐(0) 编辑
逆向知识第十二讲,识别全局变量,静态全局变量,局部静态变量,以及变量.
摘要:一丶认识全局的 (静态变量 全局变量) 高级代码: 我们的静态局部变量 g_Number 会通过一个函数进行赋值初始化 VC6.0调试查看. 我们发现通过栈回朔会调用4个函数 调用顺序: _cinit() _initterm() $E2() #E1(); 首先讲解一下, _cinit函数是初始化函数 阅读全文
posted @ 2017-12-06 09:07 ye_ming 阅读(298) 评论(0) 推荐(0) 编辑
逆向知识十一讲,识别函数的调用约定,函数参数,函数返回值.
摘要:返回值. 在反汇编中,我们常常的会看到各种的函数调用,或者通过逆向的手段,单独的使用这个函数,那么此时,我们就需要认识一下怎么识别函数了. 一丶识别__cdecl 函数(俗称C Call),函数参数,函数返回值 首先写一个C Call的函数 1.返回值 int类型, 参数int 类型 高级代码: m 阅读全文
posted @ 2017-12-06 09:06 ye_ming 阅读(227) 评论(0) 推荐(0) 编辑
病毒分析第二讲,分析病毒的主要功能
摘要:经过昨天病毒分析第一讲,得出一个被注入的DLL 开始分析DLL主要功能 PS: IDA中,DLL会有各种初始化的代码,和释放资源,所以不再看,只看重要的API 一丶行为分析(创建命名互斥体,防止病毒多开) 进入函数去看,从DLLmain入口点分析. 得出,第一步,病毒为了防止重复注入IE,创建命名互 阅读全文
posted @ 2017-12-06 08:59 ye_ming 阅读(225) 评论(0) 推荐(0) 编辑
病毒分析第一讲,分析病毒注意事项,以及简单分析主要功能
摘要:转自 http://www.cnblogs.com/iBinary/p/7882980.html 一丶认识木马和病毒的区别 木马和病毒是两个不一样的,有人会把木马认为是病毒,但其实不是 说下区别 木马: 木马没有破坏性,木马主要功能是收集用户信息,控制机器等等. 病毒: 病毒一般带有破坏性的行为,比 阅读全文
posted @ 2017-12-06 08:58 ye_ming 阅读(269) 评论(0) 推荐(0) 编辑
逆向知识第十讲,循环在汇编中的表现形式,以及代码还原
摘要:一丶do While在汇编中的表现形式 1.1高级代码: 高级代码很简单,只是一个简单的求1~100的累加 1.2 Debug版本下的汇编表现形式 代码定式很简单 ADDR .....do While逻辑代码块 xxxx 条件 JXX Addr 注意,在 do while中, 汇编代码的语义和高级代 阅读全文
posted @ 2017-12-01 15:11 ye_ming 阅读(1080) 评论(0) 推荐(0) 编辑
逆向知识第八讲,if语句在汇编中表达的方式
摘要:一丶if else的最简单情况还原(无分支情况) 高级代码: 总共两种情况,我们看下Release中怎么优化的把(注意,优化方式选择O2,速度优先) 汇编代码: 可以看到我们熟悉的代码了.也就是昨天的三目运算. 总共三行汇编代码. 还原套路一样,还是 代入大于0 小于0 还有==0,看看最终结果是什 阅读全文
posted @ 2017-12-01 15:10 ye_ming 阅读(736) 评论(0) 推荐(0) 编辑
逆向知识第九讲,switch case语句在汇编中表达的方式
摘要:一丶Switch Case语句在汇编中的第一种表达方式 (引导性跳转表) 第一种表达方式生成条件: case 个数偏少,那么汇编中将会生成引导性的跳转表,会做出 if else的情况(类似,但还是能分辨出来的) 1.高级代码: 2.汇编代码在Debug版本下: 可以看出,生成的跳转表 比较和跳转在一 阅读全文
posted @ 2017-12-01 15:10 ye_ming 阅读(7570) 评论(0) 推荐(0) 编辑
逆向知识第七讲,三目运算符在汇编中的表现形式,以及编译器优化方式
摘要:一丶编译器优化方式 首先说一下编译器优化方式. 1.常量折叠 2.常量传播 3.复写传播 4.公共表达式 5.去掉不可达到分支 6.顺序代替分支 7.数学变化 8.代码外提 9.减少变量. 10 强度削弱. 优化方式解析 1.常量折叠 常量折叠已经讲过, 就是两个常量相加 8 + 8 ,那么在编译前 阅读全文
posted @ 2017-12-01 15:09 ye_ming 阅读(919) 评论(0) 推荐(0) 编辑
逆向知识第六讲,取摸优化的几种方式
摘要:除法讲完之后,直接开始讲 % 运算符在汇编中表现形式 首先C的高级代码贴上来. 高级代码: 一丶无符号% 2的幂在汇编中的表现形式 汇编代码: 高级对应语句: 可以看出,当无符号%2的幂的时候,直接用and计算. 其值是 2^n - 1的值 比如我们的number %8,那么and的值则是 8-1, 阅读全文
posted @ 2017-12-01 15:07 ye_ming 阅读(237) 评论(0) 推荐(0) 编辑
逆向课程第五讲逆向中的优化方式,除法原理,以及除法优化下
摘要:一丶除法的优化 1.有符号被除数 / 无符号除数的情况下 高级代码为: 汇编中优化的体现形式 相比于昨天,我们发现了的 无符号 / 常量多出了点东西 无符号/常量 如果无符号/常量,那么我们还原的时候 套用公式即可 am >> n a是被除数 m是设 2n/c 等价于 m == 2n/c 无符号的情 阅读全文
posted @ 2017-12-01 15:06 ye_ming 阅读(401) 评论(0) 推荐(0) 编辑
逆向课程第四讲逆向中的优化方式,除法原理,以及除法优化上
摘要:除法原理,涉及到了数学公式,而且在汇编中的体现形式也有10几种 这里首先讲解前4中, 抱着问题学习 一丶为什么要熟悉除法的优化,以及除法原理 是这样的,在计算机中,除法运算对应的汇编指令分为 DIV(无符号除法指令) 以及 IDIV(有符号除法指令). 但是,除法指令的执行周期较长效率很低.所以编译 阅读全文
posted @ 2017-12-01 15:05 ye_ming 阅读(1592) 评论(0) 推荐(0) 编辑
逆向课程第三讲逆向中的优化方式,以及加减乘
摘要:一丶为什么要熟悉优化方式 熟悉优化方式,可以在看高级代码的时候浮现出汇编代码,以及做逆向对抗的时候,了解汇编代码混淆 优化和混淆是相反的 优化: 指的是汇编代码越少越好,让程序更快的执行 混淆: 一条汇编代码变为多条汇编代码,影响逆向人员的破解能力,但是软件的效率大大降低 二丶加减乘的常见的几种优化 阅读全文
posted @ 2017-12-01 15:03 ye_ming 阅读(401) 评论(0) 推荐(0) 编辑
逆向课程第二讲,寻找main入口点
摘要:一丶识别各个程序的入口点 入门知识,识别各个应用程序的入口点 (举例识别VC 编译器生成,以及VS编译生成的Debug版本以及Release版本) 1.识别VC6.0 Debug版本 1.1 首先,新建一个VC debug版本的程序,然后F5运行,可以看到栈回溯窗口 1.2 而后通过栈回溯窗口,点击 阅读全文
posted @ 2017-12-01 14:59 ye_ming 阅读(922) 评论(0) 推荐(0) 编辑
逆向知识第一讲,IDA的熟悉使用
摘要:逆向知识第一讲,IDA的熟悉使用 一丶熟悉IDA,以及手工制作sig文件. IDA,静态分析工具,网上随便找一个即可下载. 首先,我们写一个可执行EXE,最简单的 使用IDA打开. 1.提示使用什么格式打开 因为是PE格式,所以我们选择PE即可.点击OK 2.重新打开一下 如果以前已经打开过这个PE 阅读全文
posted @ 2017-12-01 14:58 ye_ming 阅读(1264) 评论(0) 推荐(0) 编辑