动态基址开启后,在动态调试是想要和ida静态分析中的地址对应还要进行一步计算,取消动态基址便可以剩下很多时间。 只要修改pe文件头中的Characteristics低位置1 Characteristics可以是下面一个或者多个值的和 pe修改的工具很多,我用的peid ...
分类:
其他好文 时间:
2019-08-30 17:26:37
阅读次数:
119
程序: 这个窗口显示这是一个需要去除的 Nag 窗口 点击“确定” 用 PEiD 看一下 这是一个用汇编语言写的程序 逆向: 用 OD 载入程序 Nag 窗口的标题和文本 右键 -> 查找 -> 所有参考文本字串 只有这两条 下一个断点,跑一下程序 该 NAG 窗口还是弹出来了 点击“确定” 然后关 ...
分类:
其他好文 时间:
2018-10-14 00:31:24
阅读次数:
291
程序: 打开程序 出现一个 NAG 窗口 这是主界面 点击 Exit 程序出现 NAG 窗口,然后退出 用 PEiD 看一下 是用 VC++ 6.0 写的程序 逆向: 用 OD 载入程序 跑一下程序 出现 NAG 窗口时暂停 按 Alt+K 显示调用堆栈 这个是 MFC 的对话框,双击来到它所在的地 ...
分类:
其他好文 时间:
2018-10-05 17:29:07
阅读次数:
298
程序: 运行程序 点击 Start,它就会进行对系统的扫描 点击 About -> Enter Registration Code 随便输入一下内容,点击 OK,会弹出该弹窗 用 PEiD 看一下 该程序是用 Microsoft Visual C++ 6.0 写的 逆向: 用 OD 载入程序 右键 ...
分类:
其他好文 时间:
2018-10-03 21:24:18
阅读次数:
173
程序: 运行程序 界面显示的是未注册 点击 Help -> About 点击 Use Reg Key 这里输入注册码 用 PEiD 看一下 该程序是用 Delphi 6.0 - 7.0 写的 逆向: 用 OD 打开程序 右键 -> 查找 -> 所有参考文本字串 然后右键 -> 查找文本 搜索 这里有 ...
静态分析: 1,virus total反病毒引擎搜索2,MD5计算哈希值3,用PEid检测是否加壳,并进行脱壳操作4,stringe.exe查看恶意代码的字符串,从中可以看到是否含有特殊的网址,IP地址,特殊的导入函数,比如读写文件,赋值文件,自启动,记录键盘的函数。。。5,用Dependency ...
分类:
其他好文 时间:
2018-09-02 21:47:05
阅读次数:
218
前言 首先十分感谢整理这些CrackMe的吾爱大佬,真是方便了我这样的小白。希望最后这160个CrackMe都可以做出,我会认真做好分析过程的。 准备 系统:Windows 7 SP1 x64 ultimate 工具:PEiD、OD 分析 运行程序,看下需要做些什么。 程序先弹出了一个对话框,就是一 ...
分类:
其他好文 时间:
2018-07-25 12:42:07
阅读次数:
366
前言 第2个练习CrackMe。 准备 系统:Windows 7 SP1 x64 ultimate 工具:PEiD、OllyDbg 分析 拖入PEiD查壳,无壳,而且是VB写的。 运行程序。 用户名输入、序列号输入。 随意输入,看错误提示。 错误字符串 。 载入OD,搜索字符串便可以看到错误提示。 ...
分类:
其他好文 时间:
2018-07-25 12:38:17
阅读次数:
356
一、工具及壳介绍二、脱壳1、ESP定律脱壳2、单步跟踪脱壳3、基址重定位的修复 一、工具及壳介绍 使用工具:Ollydbg、PEID、ImportREC、LoadPE、010 Editor 查看待脱壳程序 查看AsPack壳特有的区段信息 小结:根据链接器版本推断待脱壳程序应该是VS 2013编写 ...
分类:
Web程序 时间:
2018-07-18 14:02:41
阅读次数:
224
0x01. PEID查看 发现是汇编编写,并未加壳 发现是汇编编写,并未加壳 0x02.修复编辑框只能输1个字符的问题 首先找到窗口回调 在WM_INITDIALOG (0x110)分支处可看到如下信息 获取两个编辑框控件ID 前两个call 通过GetDlgItem 分别获取两个编辑框的控件ID ...
分类:
其他好文 时间:
2018-05-28 13:41:58
阅读次数:
170
