- 博客(8)
- 收藏
- 关注
RSS订阅原创 大一暑期学习计划
仔细想想从大一刚开学到现在确实发生了很多事情,从最初了解有实验室到开始着手准备加入实验室,一路的努力与奋斗让我明白青春就该如此而以后也是如此,从最开始举步维艰的了解CTF和砥砺前行的学习C语言,完成一个又一个学习目标。在这期间我对软件逆向产生了浓厚的兴趣,并且在主课程和学长的帮助下逐渐学习了OD的用法还有汇编语言,紧接着马上又开始新一轮学习,逆向工程核心原理这本书的庞大知识体系带来的冲击令我沉醉其...
2019-07-22 11:12:08
322
原创 OEP查找样例
由于Upack会将IMAGE_OPTIONAL_HEADER的NumberOfRvvaAndSizes值设置为A(十六进制)(默认为10)所以导致异常。忽略报错后。无法跳转EP位置,停留在ntdll.dll区域。使用stud_PE得知EP的值为01001018接着在OD查找并设置新的OEP更改EIP。前两条指令读取010011B0的前四个字节,在加到EAX当中获得0100739D,挂断点...
2019-06-15 15:56:50
444
转载 OEP寻踪总结
作者:_观众来源:CSDN原文:https://blog.csdn.net/qq_30145355/article/details/78965948版权声明:本文为博主原创文章,转载请附上博文链接!一、手动单步跟踪法主要使用的两个快捷键F8与F4F8:单步步过F4:运行到指定位置(右键->断点->运行到指定位置F4)1、逐步F8往下单步跟踪,遇到往回跳转的循环时,使用F...
2019-06-15 15:32:15
528
原创 未署名
像虚拟内存载入PE文件时(EXE/DLL/SYS/OCX/COM),加载到PE头的ImageBase所知的地址处。PE头(DOS头/DOS存根/NT头:文件头/NT:可选头/节区头及其下属构成)PE重定位指的是PE文件将要载入的ImageBase所指的位置已被占用,再加载到其他地址发生的行为。EXE默认的ImageBase为00 400 000,DLL默认的ImageBase为10 000 ...
2019-06-02 21:08:17
454
原创 IAT重定向
IAT重定向使用OD加载目标直接通过ESP寻找目标入口点设下访问断点,紧接着F9寻找入口点忽略几处异常来到入口点可以看到调用的第一个API函数是GetVersion,我们可以在一开始给GetVersion设置一个断点,运行起来,接着会断下来,看看返回地址是不是位于第一个区段,如果是就定位到返回地址处,上面就是OEP了。460ADC是IAT中的一项,其中保存的是GetVersi...
2019-05-19 04:24:04
423
原创 UnPackMe_ASPack2.12的IAT修复 19.05.13
UnPackMe_ASPack2.12的IAT修复在ESP寄存器值上面单击鼠标右键选择-数据窗口中跟随,就可以在数据窗口中定位到刚刚通过PUSHAD指令保存的寄存器环境了,选中前4个字节,单击鼠标右键选择-硬件断点-硬件访问-Dword,这样就可以给这4个字节设置硬件访问断点了。按F9键运行起来。断在了POPAD指令的下一行,我们直接按F7键单步跟踪到OEP处。现在可以对该进程进行...
2019-05-13 20:07:00
398
原创 OD学习记录19.05.08
修复IAT首先第一步定位OEP,用OD加载CRACKME.UPX。使用ESP定律来定位OEP,现在我们停在了入口点处,单击F7键执行PUSHAD。在ESP寄存器值上面单击鼠标右键选择-数据窗口中跟随。就可以在数据窗口中定位到刚刚PUSHAD指令保存到堆栈中的寄存器环境了,选中前4个字节,通过单击鼠标右键选择Breakpoint-Hardware,on access-Dword给这4个字...
2019-05-08 15:11:02
344
原创 OD学习记录19.04.20
绕过daxxor对OD的检测起手时一般直接使用OD运行程序,观察是否有壳或者反调试检测。按下图情况运行后一直提示不能调试的错误弹窗,所以是存在对程序本身有检测是否是在OD中运行,关闭后OD直接结束程序进程。所以我们需要想办法绕过程序本身对OD的检测。以上是使用OD运行daxxor的结果查找当前模块中的名称,可以看到有很多API函数,但都不是用于检测进程名的,可能这些重要的API函数被隐藏起...
2019-04-20 19:31:29
310
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人