windows逆向破解： 
 0.基本概念 
  
  
 Intel的CPU将特权级别分为4个级别：RING0,RING1,RING2,RING3。Windows只使用其中的两个级别RING0和RING3，RING0只给操作系统用，RING3谁都能用。 
 1.软件逆向应用： 
 1） 软件破解 
 2） 病毒和恶意程序分析 
 3） 系统漏洞分析（Exploit） 
 4） 其他 
  
 2.代码分析技术 
 1)代码静态分析 
  
 
 
二进制对比技术 （补丁漏洞分析）
 
2)代码动态分析：代码流、数据流 
 内核调试：采用硬件调试器；bain写用于调用调试的驱动程序和中断处理函数；微软在windows内核中添加了支持调试的相关服务（主要）。 
  
 单步压缩壳：地址有很大变动；遇到向上跳的是坑，f4跳过，直接下一条；入口点一般是push ebp或pop；找到入口点，直接右键OD默认脱；验证是否成功，peid先看看是否显示语言，再运行下
 
3)Fuzzing分析 
 模糊测试 
 
 
文件、协议、组件、web Fuzz测试 
 攻击性的畸形数据 
 Fuzz目的：崩溃crash、中断break、销毁destroy 
  
 捕获异常信息深入分析
 
 
  
 FileFuzz软件（测试打开文件的软件） 
 FTPFuzz测试FTP协议安全的工具 崩溃时用OD调试 附加
 
程序插桩技术是在被测程序中插入探针，然后通过探针的执行来获得程序的控制流和数据流信息，以此来实现测试的目的； 
 符号执行，即使用符号值代替真实值执行。 
 3.PE文件 
 文件偏移地址，起始值为0 
  
 入口点、 
 基地址 
  
  
 相对虚拟地址是内存中的地址，虚拟地址是程序访问存储器的逻辑地址
 
节都是通过节表实现索引 
 
 
病毒要修改节表再把节给修改了，添加时节属性要要可写可读可执行 
 Section 代码/数据 读/写
 
重点 
  
 
 
节 
 调用dll 可以调用函数名或其索引值 
 PE文件中的数/代码拥有相同属性，就会列入同一节 
  
  
  
 
 
4.Win32 PE病毒原理
 
 
  
  
  
 
 
PE文件对比分析类工具：PEinfo
 
分析win32.virus.sality病毒 
 病毒只添有一个代码节，无法调用API函数，所以应先知道dll中API函数地址， 
 搜索感染目标文件常用API：FindFirstFile、FindNextFile、FindClose 
 病毒分析常用工具： 
 Peid、OD、IDA 
 下载监视器、抓包工具（WsocketExpert用的比较少，MiniSniffer）、 
 Regmon查看进程操作注册表的行为、Filemon文件监视器、 
 IceSword查看系统，权限高

再Windows上运行，都遵循PE文件格式。
exe，dll，sys
      1，程序从哪里开始执行

      2，数据存在哪里


      3，程序存在哪里
          最终存储为0和1
字节（BYTE）：8位（两个十六进制数），     WORD（字）：16位，      DWORD（双字）：32位（BIT）
Windows操作系统存储从高位到低位 ：E8 00 00 00  ——> 000000E8
PE查看器—>找到代码段起始地址—>找到第一个函数
将16进制数转换成汇编的过程——反汇编
二进制—》汇编—》C语言——逆向
逻辑运算 —— 按位运算
    或（ or   | ）——有一则一定是一
    与（ and    & ）——有零则一定是一

    异或（xor  ^）——不一样的为一

    非（not   ！）——1是0，0是1
    左移（ << ）——0010  <<  0100

例题：CPU运行：2+3=？


CPU只能做加法运算，存储数据的容器：CPU里---寄存器，内存条---内存（慢）

32位通用寄存器：
EAX：       累加器
……

汇编指令：
mov  把后面的立即数放到前面的寄存器里
add   加数再放回
sub   减数再放回

客户端---密钥---服务器端
内存：
【编号】成为地址，
32位计算机：寻址宽度（编号最大不能超过32位）——存储最大数据：FFFFFFFF+1  —》 4G
(包括00000000)
内存单位大小（内存单元）是一个字节
内存的读写：(练习时:地址可用ESP的)


DS(段寄存器):后面是立即数,与内存属性有关
SS:后面是ESP/EBP
ES:后面是EDI
PTR:后面是地址

LEA:取地址编号










堆栈:ESP(栈顶),EBP(栈底)
PUSH,POP--->(+4/-4)

 
 
小甲鱼 OllyDbg 视频教程
       尝试 1 ： https://www.bilibili.com/video/av6889190?p=17
       尝试 2 ： https://www.bilibili.com/video/av6889190?p=18
 
小甲鱼OD学习第13-14讲：https://www.bbsmax.com/A/QV5ZL1gZzy/
 
逆向常用 api ：https://pan.baidu.com/s/1dypI6la3Gj4i-G6exiCMkg    提取码：v6dq 
 

  
 
尝试 1：使用 查找模块间的调用 进行逆向
 
 
 
方法 1：
 
API 函数 GetWindowTextA 可以取得一个窗体的标题（caption）文字，或者一个控件的内容
 
 
可以通过 api 函数 GetWindowTextA 来进行逆向
 
 
搜索 API 函数 GetWindowTextA 函数
 
 
 按 Alt + b ，查看所有断点，可以看到 下了 3 个断点
 
 
 
 
把 这个 3 个断点删除，使用另外一种方法查找。
 
 
 
方法 2：
 
按下  Ctrl + n ，查找 getwindowa ，然后 右键 -> 在每个参考上设置断点。按下 Alt + b ，可以看到还是设置三个断点。
 
 
查看断点 Alt + b：
 
 
然后重新载入程序、运行，看程序有没有在断点处停下来。发现程序在断点处停下来，因为没有输入内容，所以这个断点是没有用的，删除这个断点，按 F9 继续。发现程序又在一个断点处停下来，同样没有输入内容，所以这个断点也是没有用的，删除这个断点，按 F9 继续。发现程序运行，出现界面。点击注册：
 
 
发现程序果断的在最后一个断点处停下，
 
 
然后开始 F7、F8 调试，寻找关键跳转：
 
可见是判断al值，那么上一个call可能就是计算加密的函数，下断点进入
 
 
神奇的发现有两处call地址相同，附近代码也相同，猜测这是程序怕被破解所以出现的二次验证程序
 
进入后找到两处retn
 
由经验得出第一个retn为true，第二个为false
 
 
将跳转实现的标志位修改成未实现（修改标志位Z）
 
修改后确实弹出了注册成功了的对话框，但是发现界面依然显示未注册的信息。
 
 
这时候我们就要考虑他的双重验证了，第二个验证call
 
也可以通过字符串查询方式，寻找关键位置
 
 
下断点进入，找到关键跳转关键call
 
 
进入函数 
 
 
找到关键跳转，mov bl，1   
 后面直接 mov al，bl
 我们修改代码 mov al，1
 
 
成功
 
总结：还是要锻炼寻找加密思路，寻找关键的上一个跳转及call是最关键的
 
 
 
 
 
尝试 2：查找关键字进行爆破
 
 
 
这次我们的任务是 PJ 这个需要注册码的软件，如下图所示
 
 
我们搜索上图相应的提示字符串，看看能找到什么线索，我们搜索  invalid  code  试试看，如下图
 
 
然后下断点，如下图所示
 
 
我们来到断点处的代码，如下图
 
 
观察代码，发现0041749C  JNZ SHORT XoftSpy.004174E3  能跳转到相应的成功注册的提示信息，如下图
 
 
我们干脆把代码改为 jmp  SHORT XoftSpy.004174E3，看看效果，如下图
 
 
用所有修改保存，运行程序并且注册，发现提示成功，如下图
 
 
但是我们又发现，软件还是没有注册成功，如下图所示
 
 
我们干脆换个方式，搜索另外一个标志字符串，下断点，如下图所示
 
 
观察 00401499 JE SHORT XoftSpy.004014AD,这行代码能跳转到软件注册成功的代码处，如下图
 
 
我们尝试着用NOP来代替这行代码看看效果，如下图
 
 
用所有修改保存，运行软件，发现已经破解成功！！
 
 
 
 
 
 
 

《加密与解密》是一本逆向必读书籍，以Windows平台为目标讨论。本书以软件逆向为切入点，讲述了软件安全领域相关的基础知识和技能，可以说是安全人士必读书籍之一了。《加密与解密》（第四版）国庆后将出版上市，许多朋友非常关注这本书，在这里简单谈谈阅读这本书之前，需要哪些基础知识。
 
很多人都想学习加解密，这东西刚入门时会让人沉迷进去，可以饭不吃、觉不睡。出现这种现像，也许是解密满足了人们的猎奇心理吧。但掌握这方面技术，对自身的提高确实有好处：可以通过跟踪软件，提高自己的调试技能，并且能了解他人程序思路，使自己写出更好的程序。研究解密技术有助于掌握一些系统底层知识，系统底层知识绝对是构造起大型软件的坚实基础。许多开发人员的发展，都经历了这一锻炼过程。
 
大多数人可能认为解密是一门高深的学问。造成这种原因是以前这方面的技术资料缺乏，从而将“解密”这一技能“神”化了。初学者一般不知从何下手，由于没方向，花费了大量时间和精力，走了不少弯路。这里就给对这方面感兴趣的读者指明一个方向。
 
一、汇编语言
 
讨论前，先了解一下计算机中的程序。高级语言编写的程序，会编译成机器语言在CPU中执行，如Visual C++等。由于机器语言与汇编语言是一一对应的，因此就可将机器语言转化成汇编语言，这个过程称之为反汇编。而汇编语言可能读性是比较好的，这样就可分析程序流程，解析其功能了，这个过程就是解密（俗称破解）。也就是说，解密的基础是建立在汇编语言级别上的，因此想涉足这一领域的朋友，汇编语言一定得学好。
 
汇编语言是大学计算机的必修课，这方面的书籍非常多，例如基普·欧文的《汇编语言：基于x86处理器》、王爽的《汇编语言》等。虽然大多数书籍以16位汇编为讲解平台，但对理解汇编指令功能而言依然有益。
 
 
看雪课程平台，也有汇编语言的视频教程，感兴趣的朋友可以看视频学习：
 《汇编快速入门》：https://www.kanxue.com/book-31.htm 看雪讲师：奋斗出国
 《从C语言追溯到X86汇编语言》：https://www.kanxue.com/book-27.htm 看雪讲师：岭南散人
 《汇编语言》：https://www.kanxue.com/book-28.htm 看雪讲师：君子谬
 
二、Win32编程
 
等汇编学好了，此时一般的逆向文章己能看懂了，但为了水平提高的更快些，建议再掌握Win32编程。Win32程序设计就是API方式的Windows编程，学习Windows API将使您更深入地了解Windows工作方式。此类书籍有Charles Petzold著的《Windows程序设计》（以VC来讲解）等。
 
 
 
链接：https://pan.baidu.com/s/18BCJKXNwoaz9hM2-PpXT2Q
 提取码：6xmj
 
 
 
三、逆向技术
 
有了上面这些基础，你就能看懂一些逆向文章了，也能看懂《 加密与解密（第四版）》这本书了，单击查看详细介绍
 
 读者在阅读本书的内容后，很容易就能在逆向分析、漏洞分析、安全编程、病毒分析等领域进行扩展。这些知识点的相互关联，将促使读者开阔思路，使所学融会贯通，领悟更多的学习方法，提升自身的学习能力。
 
软件的加密与解密是一个迷人的研究领域，它几乎可以与任意一种计算机技术紧密结合――密码学、程序设计语言、操作系统、数据结构。而由于这样或者那样的原因，对于这一领域的关注程度一直还处于低温状态。而这本书相信会为更多对知识怀有渴望的朋友多开辟一条走向这个领域的道路，并且进而推动这个领域的不断发展。
 
 
 
原帖地址：https://bbs.pediy.com/thread-247264.htm