精华内容
下载资源
问答
  • windows逆向教程
    2020-06-27 10:58:16

    前言
      正向开发,是先写代码,再编译成软件。而逆向分析,到手的只有软件。从软件入手,推测对应的代码,需要了解一下编译之后的软件是怎么跑起来的。

    软件运行过程
      1、软件加载到内存。
      2、CPU读取内存的指令。
      3、根据指令,再读取数据,进行运算。
      4、运算的过程,数据是存在CPU里面的寄存器。
      5、运算过程,用到另一个功能,需要保存当前环境,存到堆栈。
      (这里涉及操作系统和计算组成原理,大概了解,心里有底就好)

    代码语言的变化
      1、C/C++语言:高级语言,给人看的
      2、汇编语言 :低级语言,给机器用的
      (逆向分析,接触多是汇编语言, 需要自行学习下)

    软件加载过程
      磁盘 >>内存>>寄存器
      1、代码编译成软件,先放在磁盘(C盘,D盘这些)
      2、开始运行的时候,就会加载进内存(平时说的内存条)
      3、真正运行的是在CPU(也就是所谓的芯片),里面存数据的地方叫寄存器。

    软件的构成
      软件的外部
        包含:一个主要程序(exe后缀),多个独立库(dll后缀)。
        内存一开始加载exe,有必要的时候,exe再把dll加载进内存来。
        
        exe或者dll在内存的开始位置,叫做基址。(每次加载,随机放置,基址不固定)
        exe或者dll里面和基址的距离,叫做偏移。(每次加载,内部不变,偏移固定)
        
        打个比喻:exe和dll相当小尺子,要放在内存这个大尺子上。
        大尺子上只要有空位,小尺子就可以随便放。
        小尺子不管怎么放,里面的刻度固定的。
        在这里插入图片描述
      软件的内部
        软件 = 代码 + 数据
        数据 = 静态数据 (数据不会变)+ 动态数据 (数据会改变)
        动态数据 = 全局数据 (多个函数共用)+ 局部数据(单个函数私有)
        代码和静态数据在软件运行过程不会改变,位置固定,可以方便使用。
        全局数据,因为是共用的,位置固定,也可以方便使用。
        所以这三种的偏移是不变的。
        
        内存地址 = 基址 + 偏移。
        基址可以用GetModuleHandle得知。
        偏移又是不变的,内存地址也就可以算出来了 。
        而偏移会变化的局部数据,就不能直接算出来了。
        
        局部数据,是软件运行过程中,临时生成又销毁的。
        所以要获取局部数据,只能在软件的运行过程进行拦截。(也就是所谓的HOOK)

    逆向分析目的
      逆向分析的两个目的
        1、调用功能
        2、获取数据
        
      通过上面的原理可以知道
        1、调用功能
          代码是固定的,找到偏移,就可以调用。
        2、获取数据
          对于全局数据,找到偏移,就可以得到。
          对于局部数据,需要拦截,才可以得到 。
          (拦截的是代码,所以要找代码的偏移)
          
      所以,逆向的核心点,是找固定的偏移。

    下一篇,找偏移的方法。

    参考资料(下功夫,基础扎实,逆向才顺手)
    汇编:http://c.biancheng.net/asm/
    反汇编:《C++反汇编与逆向分析技术揭秘》
    函数调用:https://blog.csdn.net/zhongguoren666/article/details/7586074?utm_source=blogxgwz6

    工具和教程,放群里(163419350),方便交流。
    实战代码放在github:https://github.com/KongKong20/WeChatPCHook

    更多相关内容
  • 小甲鱼 OllyDbg 视频教程 尝试 1 :https://www.bilibili.com/video/av6889190?p=17 尝试 2 :https://www.bilibili.com/video/av6889190?p=18 小甲鱼OD学习第13-14讲:https://www.bbsmax.com/A/QV...

    小甲鱼 OllyDbg 视频教程
          尝试 1 : https://www.bilibili.com/video/av6889190?p=17
          尝试 2 : https://www.bilibili.com/video/av6889190?p=18

    小甲鱼OD学习第13-14讲:https://www.bbsmax.com/A/QV5ZL1gZzy/

    逆向常用 api :https://pan.baidu.com/s/1dypI6la3Gj4i-G6exiCMkg    提取码:v6dq 

    尝试 1:使用 查找模块间的调用 进行逆向

    方法 1:

    API 函数 GetWindowTextA 可以取得一个窗体的标题(caption)文字,或者一个控件的内容

    可以通过 api 函数 GetWindowTextA 来进行逆向

    搜索 API 函数 GetWindowTextA 函数

     按 Alt + b ,查看所有断点,可以看到 下了 3 个断点

    把 这个 3 个断点删除,使用另外一种方法查找。

    方法 2:

    按下  Ctrl + n ,查找 getwindowa ,然后 右键 -> 在每个参考上设置断点。按下 Alt + b ,可以看到还是设置三个断点。

    查看断点 Alt + b:

    然后重新载入程序、运行,看程序有没有在断点处停下来。发现程序在断点处停下来,因为没有输入内容,所以这个断点是没有用的,删除这个断点,按 F9 继续。发现程序又在一个断点处停下来,同样没有输入内容,所以这个断点也是没有用的,删除这个断点,按 F9 继续。发现程序运行,出现界面。点击注册:

    发现程序果断的在最后一个断点处停下,

    然后开始 F7、F8 调试,寻找关键跳转:

    可见是判断al值,那么上一个call可能就是计算加密的函数,下断点进入

    神奇的发现有两处call地址相同,附近代码也相同,猜测这是程序怕被破解所以出现的二次验证程序

    进入后找到两处retn

    由经验得出第一个retn为true,第二个为false

    将跳转实现的标志位修改成未实现(修改标志位Z)

    修改后确实弹出了注册成功了的对话框,但是发现界面依然显示未注册的信息。

    这时候我们就要考虑他的双重验证了,第二个验证call

    也可以通过字符串查询方式,寻找关键位置

    下断点进入,找到关键跳转关键call

    进入函数 

    找到关键跳转,mov bl,1   
    后面直接 mov al,bl
    我们修改代码 mov al,1

    成功

    总结:还是要锻炼寻找加密思路,寻找关键的上一个跳转及call是最关键的

    尝试 2:查找关键字进行爆破

    这次我们的任务是 PJ 这个需要注册码的软件,如下图所示

    我们搜索上图相应的提示字符串,看看能找到什么线索,我们搜索  invalid  code  试试看,如下图

    然后下断点,如下图所示

    我们来到断点处的代码,如下图

    观察代码,发现0041749C  JNZ SHORT XoftSpy.004174E3  能跳转到相应的成功注册的提示信息,如下图

    我们干脆把代码改为 jmp  SHORT XoftSpy.004174E3,看看效果,如下图

    用所有修改保存,运行程序并且注册,发现提示成功,如下图

    但是我们又发现,软件还是没有注册成功,如下图所示

    我们干脆换个方式,搜索另外一个标志字符串,下断点,如下图所示

    观察 00401499 JE SHORT XoftSpy.004014AD,这行代码能跳转到软件注册成功的代码处,如下图

    我们尝试着用NOP来代替这行代码看看效果,如下图

    用所有修改保存,运行软件,发现已经破解成功!!

    展开全文
  • 逆向分析小实 调用约定 关键字 参数入栈顺序 堆栈回收 C标准规范 __cdecl 从右到左 调用者负责 快速调用规范 __fastcall 前几个参数寄存器传参,之后从右到左 被调用者负责 标准调用规范 __stdcall 从右...

    本文为笔者从零基础学习系统安全相关内容的笔记,如果您对系统安全、逆向分析等内容感兴趣或者想要了解一些知识,欢迎关注。本系列文章将会随着笔者在未来三年的读研过程中持续更新,由于笔者现阶段还处于初学阶段,不可避免参照复现各类书籍内容,如书籍作者认为侵权请告知,笔者将立刻删除。强调本系列所有内容仅作为学习研究使用,作者对此文章中的代码造成的任何后果不负法律责任。

    前文链接
    [系统安全] PE文件格式详解1
    [系统安全] PE文件格式详解2
    [系统安全] Windbg Preview调试记录
    [系统安全]《黑客免杀攻防》MFC逆向基础实战
    [系统安全] windows下C++编写第一个加壳程序
    [系统安全] PE文件格式分析实战基础—分析helloworld文件
    [系统安全]《黑客免杀攻防》逆向基础之经典脱壳基础
    [系统安全] 反病毒与免杀原理概论
    [系统安全] 恶意代码分析实战基础之必备知识点和常用工具记录


    本篇文章为《恶意代码分析实战》笔记,到此学完前七章,包括基础静态分析、基础动态分析、高级静态分析(高级静态分析主要使用IDA Pro工具)。将课后最后一题进行复现,以此来做个总结。

    函数调用约定

    调用约定关键字参数入栈顺序堆栈回收
    C标准规范__cdecl从右到左调用者负责
    快速调用规范__fastcall前几个参数寄存器传参,之后从右到左被调用者负责
    标准调用规范__stdcall从右到左被调用者负责

    注意函数调用约定是编译器的事情,即在把C源码编译成汇编代码时考虑;而如果只关注源码的话,除了在函数前声明使用哪种约定外,没有任何差别。


    Windows API匈牙利表示法

    Windows总体上使用匈牙利表达法作为API函数标识符。这个表达式使用一个前缀命名模式来使识别一个变量的类型更为容易。包含一个32位无符号整数的变量,或DWORD,会以dw开头。

    常见API前缀

    类型和前缀说明
    WORD(w)16位无符号数值
    DWORD(dw)双字节、32无符号数值
    Handles()H对象引用,例如HModule、HInstance
    Long Pointer(L)指针类型,例如LPCSTR是指向字符串的指针
    Callback回调函数指针

    Windows注册表

    基本概念前面看过,这里留个链接

    https://blog.csdn.net/weixin_42172261/article/details/121140017
    

    同时还可以通过.reg文件的注册表脚本来修改。
    请添加图片描述


    组件对象模型COM

    组件对象模型(Component Object Model,COM) 是基于Windows 平台的一套组件对象接口标准,由一组构造规范和组件对象库组成。组件对象不使用方法而用接口来描述自身。接口实质是一组函数指针表,每个指针必须初始化指向某个具体的函数体。
    COM对象通过他们的全局唯一标识符(GUID)来进行访问,这个全局唯一标识符分为两类,是类型标识符(CLSID)和接口标识符(IID)。
    COM类通过CLSID的GUID来标识,接口通过IID的GUID来标识。
    通过这两个标识符来指定使用哪个类的哪个接口来实现功能,在此之前先要用这两个标识符来调用CoCreateInstance函数来完成初始化工作。


    逆向分析小实战—Lab 7-3

    基础静态分析

    strings64.exe Lab07-03.exe查看字符串,发现以下内容。

    CloseHandle
    UnmapViewOfFile
    IsBadReadPtr
    MapViewOfFile
    CreateFileMappingA
    CreateFileA
    FindClose
    FindNextFileA
    FindFirstFileA
    CopyFileA
    KERNEL32.dll
    kerne132.dll
    kernel32.dll
    C:\windows\system32\kerne132.dll
    Lab07-03.dll
    C:\Windows\System32\Kernel32.dll
    WARNING_THIS_WILL_DESTROY_YOUR_MACHINE
    

    根据函数名FindNextFileAFindFirstFileA可以猜测这个exe文件可能会在一个目录中搜索文件。
    CopyFileACreateFileA表示程序可能会拷贝和创建文件。
    MapViewOfFile表示可能会把文件映射到内存中并进行拷贝。
    还有两个很类似的dll动态库名,猜测程序的目的可能是用自己伪造的dll来替换windows自带的Kernel32.dll,以此达到隐藏的目的。

    depends查看exe文件的导入表,并没有发现导入了Lab07-03.dll。
    请添加图片描述
    对Lab07-03.dll用string查看字符串

    exec
    sleep
    hello
    127.26.152.13
    CloseHandle
    Sleep
    CreateProcessA
    CreateMutexA
    OpenMutexA
    KERNEL32.dll
    WS2_32.dll
    strncmp
    free
    

    看到有ip字符串,表示程序可能会联网。同时CreateProcessA表示程序会创建新的进程。OpenMutexA表示程序会用到互斥量,用来控制同一时刻只能有一个恶意程序在运行。

    通过IDA发现这个dll并没有什么导出符号,这一点很奇怪。
    请添加图片描述

    基础动态分析

    直接双击运行程序后,apateDNS没有发现网络行为,但是Regshot发现了有修改注册表的行为,又好像这些修改跟这个软件没有什么关系,看不太懂。
    请添加图片描述

    高级静态分析

    先分析dll文件,导入IDA。
    通过图形话窗口看到这个dll里面的东西还是很多的,为了简略查看功能,搜索所有的call字符如下所示。
    请添加图片描述
    大多数函数在上面分析过了,这里先来到connect函数的位置。
    请添加图片描述
    判断是链接的127.26.152.13的80端口,接着往下看。
    请添加图片描述

    在创建一个新进程后,send了一个hello字符串。
    根据下面的图示可以看到这个新的进程发送完hello后会收到一些数据。
    根据recv收到的数据和一些字符串进行比较,进行下一步操作,是sleep还是exec还是q。
    请添加图片描述
    可以看到如果是exec,会调用创建进程函数
    请添加图片描述
    第二个参数lpCommandLine是有关创建进程的一些信息,查看这个变量。
    根据负值可以判断是在当前函数的栈上申请的变量,同时距离buf变量5个字节,而buf又是recv来的数据,可以得出结论recv的数据是exec xxxx的形式。

    请添加图片描述
    到此知道这个DLL实现了后门功能,这允许攻击者通过发送回复给80端口上的一个数据包,来启动一个系统上的可执行文件。但依旧有一个疑问是这个dll没有导出符号。

    接下来分析exe文件
    mian函数一开始判断了命令格式,必须是两个字符串,并且规定了第二个字符串是什么。这就是为什么刚才双击后没有什么反应。
    请添加图片描述
    到此判断出执行程序的命令行为Lab07-03.exe WARNING_THIS_WILL_DESTROY_YOUR_MACHINE

    继续往下,看到打开了两个dll,一个是Kernel32.dll,另一个就是刚才分析的dll。
    请添加图片描述
    接下来是一些数据的处理,通过F5查看反汇编代码也能看出是对数据的处理。
    请添加图片描述
    请添加图片描述
    这部分代码调用了sub_401040和sub_401070两个函数,书上说是在计算偏移地址等。

    最后到了结尾部分,看到CloseHandle等函数,关闭了两个文件后把Lab07-03.dll拷贝到kerne1.dll(注意这里是1)。
    请添加图片描述
    接着又传参调用了sub_4011E0函数,把C:\\*作为第一个参数传进去

    请添加图片描述
    导函数里看,刚才第一个字符串参数被标记为lpFileName。
    请添加图片描述
    这个函数第一步就开始FindFirstFile,然后是一些不调用任何函数的操作,先不管这些代码。再往后有一个malloc和call sub_4011E0,发现调用自己本身,判断这是一个递归函数。

    请添加图片描述
    后面会和.exe字符串进行比较,如果相等的话会call sub_4010A0
    请添加图片描述
    然后这个函数内部还有FindNextFile等函数,到这里可以下结论,这个函数会在C盘找exe后缀的文件,如果是exe后缀文件,就调用函数进行一些操作。

    跟进sub_4010A0函数,看到CreateFileACreateFileMappingAMapViewOfFileIsBadReadPtr等函数,无疑又是对文件进行操作。
    这个函数再往后看到stricmp函数和movsd、movsb指令,这是字符串操作函数。仔细分析是把dword_403010字符串传送ebx的位置。
    请添加图片描述
    转到dword_403010字符串,看到如下信息,这是IDA错误的标记,高亮这个变量按a键即可转成字符串。是kerne132.dll,注意是1
    请添加图片描述
    现在知道这个可执行文件遍历整个文件系统来查找以.exe结尾的文件,在.exe文件中找到字符串kernel32.dll的位置,并使用kerne132.dll替换它。

    逆向分析总结

    Lab07-03.dll被复制到C:\Windows\System32目录中并被命名为kerne132.dl。可以断定这个恶意代码修改可执行文件让它们访问kerne132.dll,这意味着了kerne132.dll会替代kernel32.dll被修改过的可执行文件所加载。
    而上面略过的繁琐的操作部分应该就是把真正的kernel32.dll的的导出表整合到自己的kerne132dll中。这样任何依赖kernel32.dll的程序都会先加载kerne132.dll,然后再通过这个加载的伪冒的dll来加载真正的kernel32.dll导出的函数。
    接下来可以通过基础静态分析来查看kerne132.dll的导出表来验证上面的结论。

    展开全文
  • iOS逆向教程之动态调试详解逆向教程之动态调试详解前言前言有时候想更了解别人App的调用流程,就需要在App运行的时候进行动态调试。动态调试指的是将程序运行起来,通过下断点、打印等方式,查看参数、返回值、函数...
  • python逆向入门教程

    2021-01-01 13:22:55
    我们在Windows 10上开始python逆向之旅,首先开始搭建开发环境,python解释器使用最新的3.6.1,IDE使用PyCharm社区版2017.1.3,下载地址如下所示,下载完成后直接双击安装包安装即可,随后设置PyCharm的Project ...
  • Windows C/C++与游戏逆向辅助开发

    千人学习 2020-06-08 16:27:05
    学习C/C++基础, 并从内存和汇编的角度深入理解C++, 为以后的逆向做好基础铺垫 学习Windows常用API函数、网络通信(socket和http协议)、线程池等 实战MFC、大漠插件、雷电模拟器控制、MySQL数据库操作基础、Lua、游戏...
  • windows 逆向技术必备知识(书籍)

    千次阅读 2019-09-04 11:45:24
    《加密与解密》是一本逆向必读书籍,以Windows平台为目标讨论。本书以软件逆向为切入点,讲述了软件安全领域相关的基础知识和技能,可以说是安全人士必读书籍之一了。《加密与解密》(第四版)国庆后将出版上市,...

    《加密与解密》是一本逆向必读书籍,以Windows平台为目标讨论。本书以软件逆向为切入点,讲述了软件安全领域相关的基础知识和技能,可以说是安全人士必读书籍之一了。《加密与解密》(第四版)国庆后将出版上市,许多朋友非常关注这本书,在这里简单谈谈阅读这本书之前,需要哪些基础知识。

    很多人都想学习加解密,这东西刚入门时会让人沉迷进去,可以饭不吃、觉不睡。出现这种现像,也许是解密满足了人们的猎奇心理吧。但掌握这方面技术,对自身的提高确实有好处:可以通过跟踪软件,提高自己的调试技能,并且能了解他人程序思路,使自己写出更好的程序。研究解密技术有助于掌握一些系统底层知识,系统底层知识绝对是构造起大型软件的坚实基础。许多开发人员的发展,都经历了这一锻炼过程。

    大多数人可能认为解密是一门高深的学问。造成这种原因是以前这方面的技术资料缺乏,从而将“解密”这一技能“神”化了。初学者一般不知从何下手,由于没方向,花费了大量时间和精力,走了不少弯路。这里就给对这方面感兴趣的读者指明一个方向。

    一、汇编语言

    讨论前,先了解一下计算机中的程序。高级语言编写的程序,会编译成机器语言在CPU中执行,如Visual C++等。由于机器语言与汇编语言是一一对应的,因此就可将机器语言转化成汇编语言,这个过程称之为反汇编。而汇编语言可能读性是比较好的,这样就可分析程序流程,解析其功能了,这个过程就是解密(俗称破解)。也就是说,解密的基础是建立在汇编语言级别上的,因此想涉足这一领域的朋友,汇编语言一定得学好。

    汇编语言是大学计算机的必修课,这方面的书籍非常多,例如基普·欧文的《汇编语言:基于x86处理器》、王爽的《汇编语言》等。虽然大多数书籍以16位汇编为讲解平台,但对理解汇编指令功能而言依然有益。
    在这里插入图片描述

    看雪课程平台,也有汇编语言的视频教程,感兴趣的朋友可以看视频学习:
    《汇编快速入门》:https://www.kanxue.com/book-31.htm 看雪讲师:奋斗出国
    《从C语言追溯到X86汇编语言》:https://www.kanxue.com/book-27.htm 看雪讲师:岭南散人
    《汇编语言》:https://www.kanxue.com/book-28.htm 看雪讲师:君子谬

    二、Win32编程

    等汇编学好了,此时一般的逆向文章己能看懂了,但为了水平提高的更快些,建议再掌握Win32编程。Win32程序设计就是API方式的Windows编程,学习Windows API将使您更深入地了解Windows工作方式。此类书籍有Charles Petzold著的《Windows程序设计》(以VC来讲解)等。

    链接:https://pan.baidu.com/s/18BCJKXNwoaz9hM2-PpXT2Q
    提取码:6xmj

    在这里插入图片描述

    三、逆向技术

    有了上面这些基础,你就能看懂一些逆向文章了,也能看懂《 加密与解密(第四版)》这本书了,单击查看详细介绍
    在这里插入图片描述
    读者在阅读本书的内容后,很容易就能在逆向分析、漏洞分析、安全编程、病毒分析等领域进行扩展。这些知识点的相互关联,将促使读者开阔思路,使所学融会贯通,领悟更多的学习方法,提升自身的学习能力。

    软件的加密与解密是一个迷人的研究领域,它几乎可以与任意一种计算机技术紧密结合――密码学、程序设计语言、操作系统、数据结构。而由于这样或者那样的原因,对于这一领域的关注程度一直还处于低温状态。而这本书相信会为更多对知识怀有渴望的朋友多开辟一条走向这个领域的道路,并且进而推动这个领域的不断发展。

    原帖地址:https://bbs.pediy.com/thread-247264.htm

    展开全文
  • 本套课程主要讲macOS平台的逆向分析,适合用于喜欢macOS系统的安全人员,如果对macOS逆向分析有兴趣那本套视频教程非常适合。
  • 电脑打开:...下载完后解压,例如解压目录为:D:\runjian\platform-tools_r30.0.5-windows\platform-tools将 上面目录加入系统变量path4. 打开cmd执行 adb ,看是不是成...
  • 游戏 参考 【Windows 逆向】使用 CE 分析内存地址 ( 运行游戏 | 使用 CE 工具分析游戏内子弹数量对应的内存地址 | 内存地址初步查找 | 使用二分法定位最终的内存地址 ) 一、运行游戏 博客章节下载 ; OD 工具 参考 ...
  • C++逆向学习

    2012-01-04 22:15:19
    C++逆向学习比较好的入门资料 版权归作者所有
  • Android在运行一个程序时首先需要UnZip,然后类似Symbian那样直接,和Windows Mobile中的PE文件有区别。 组成 解压缩apk后,一般包含如下文件结构   1.assets文件夹 资源目录:存放...
  • 基于 Windows 的软件逆向破解入门篇

    千次阅读 2018-11-26 13:59:52
    软件逆向工程(Software Reverse Engineering)又称软件反向工程,是指从可运行的程序系统出发,运用解密、反汇编、系统分析、程序理解等多种计算机技术,对软件的结构、流程、算法、代码等进行逆向拆解和分析,推导...
  • ios逆向之frida简单教程

    千次阅读 2022-03-30 17:33:12
    1. 准备: mac电脑 越狱好的手机 一个待分析的app 2. app砸壳 文章参考https://www.jianshu.com/p/80c1311530c3 3. 反编译出头文件 ...4. frida安装 电脑直接运行以下命令 pip install frida-tools ...# 将Fr
  • 小膀子app逆向百集_01 Android体系结构 小膀子app逆向百集_02 APK根本结构 小膀子app逆向百集_03 JVM、DVM与ART 小膀子app逆向百集_04 Android开发东西装备与运用 小膀子app逆向百集_05 Android逆向东西装备与运用 ...
  •  上一篇,聊到逆向分析是找偏移,有依据地找,效率会快。这一篇聊下找偏移方法。只说概念,具体的细节,后续会配合实战再展开细说。 找偏移的方法 1、内存  逆向的目的,是找功能或者数据在内存的地址。最直接的...
  •  一开始小白,学了些教程。  大多教程说了找功能的具体过程,但没说为什么要这么找。导致自己找新的功能时,容易不知道怎么下手。  也没找到把逆向分析这事说明白的资料,只能自己搜集零碎的信息,慢慢形成对逆向...
  • 逆向分析学习入门教程

    万次阅读 多人点赞 2016-09-17 12:16:21
    转在于 逆向工厂(一):从hello world开始前沿从本篇起,逆向工厂带大家从程序起源讲起,领略计算机程序逆向技术,了解程序的运行机制,逆向通用技术手段和软件保护技术,更加深入地去探索逆向的魅力。一、程序如何...
  • 1、百度云下载地址。 游戏逆向方法总结
  • 安卓app逆向破解脱壳教程

    万次阅读 2021-01-19 01:16:32
    From:Hook 神器家族的 Frida 工具使用详解:... ... APP逆向神器之Frida【Android初级篇】:https://www.jianshu.com/p/2d755beb1c54 frida 官网文档:https://fr..
  • 这篇聊聊逆向分析用到的工具。不聊工具细节,自行百度学习。重要的是理清:使用工具,是为了解决什么问题。 工具  1、CE  找偏移的方法中聊到,最直接就是在内存里面搜索。  CE(CheatEngine又称CE修改器),就是...
  • 文章目录 一、CheatEngine 简介 二、使用 Lazarus 编译 CE 源码 三、CheatEngine 相关文档资料 一、CheatEngine 简介 CheatEngine 简称 CE , 这是一款 内存 修改 编辑工具 , 借助该工具 , 可以修改运行在 Windows / ...
  • Windows PC软件反编译逆向破解

    千次阅读 2021-01-19 00:15:52
    文章目录 一.OllyDbg工具简介 二.OllyDbg分析Crakeme示例1 三.OllyDbg分析Crakeme示例2 四.总结 作者的github资源: 系统安全:...[系统安全] 一.什么是逆向分析、逆向分析基础及经..
  • 很多想学软件逆向分析的朋友们,初学者往往看到一大堆的技术资料,直接就懵了。本文以一个简单的例子,演示一下使用CE+OD进行内存的获取,然后使用Qt进行界面显示,让初学者简单了解逆向分析的流程,并且一步步自己...
  • 前言 一、上一篇博客中获取到的静态地址 二、第一层静态地址 cstrike.exe+1100ABC 三、第二层地址 四、第三层地址 五、第四层地址 六、静态地址 到 动态地址 的寻址 + 偏移 过程总结 前言 在博客 【Windows 逆向】...
  • 滴水逆向培训高级班

    2018-11-22 09:44:15
    │ 008 Windows线程切换_时间片管理.mp48 X( v. g" T0 ~- k! v* Q │ 009 Windows线程切换_TSS.mp4 n+ A9 L5 B2 t* M# H │ 010 Windows线程切换_FS.mp4 │ 011 Windows线程切换_线程优先级.mp4 A! a% n1 c. Y5 y# ~...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,706
精华内容 1,882
热门标签
关键字:

windows逆向教程