一、病毒名称:Win32.Loader.bx.V
二、分析工具:IDA 5.5、OllyDebug、StudPE
三、PE病毒简介:
PE病毒感染的方式比较多,也比较复杂也比较难分析,下面就针对PE文件感染之加节的方式进行汇编层次的深度分析,其实说来惭愧,第一接触这个病毒样本的时候也有
点手足无措,最后还是在别人的指导下才顺利的分析下来,开始分析该样本的时候,仅仅关注这个样本是木马病毒这个...
之前看过吾爱破解论坛一个关于Android'逆向动态调试的经验总结帖,那个帖子写的很好,对Android的脱壳和破解很有帮助,之前我们老师在上课的时候也讲过集中调试的方法,但是现在不太实用。对吾爱破解论坛的该贴,我也是看了很多遍,自己也查了不少资料,但是自己动手的时候总觉比较繁琐,并且很多细节的地方没有注意到,按照那个帖子尝试了几遍但是却出现了错误(后面会提到),今天周末重新拾起来试了试,终于把遇...
分类:
移动开发 时间:
2015-04-12 09:25:27
阅读次数:
400
以前一直认为一个工具只要会用就可以了,可是作为一名喜欢安全的渣渣来讲,会用还远远不够,你还得了解它,欺骗它,改造它,提升它!
上一篇文章讲了如何脱掉peid0.94版本的壳
[调试原理]逆向peid_脱壳
这一篇文章对peid开始逆向分析它的原理。开始的时候,从最简单的分析起:如何判断程序有vc编译器编译的。
逆向工具:ollydbg,ida,winhex
分析对象:peid v0.94(...
分类:
其他好文 时间:
2015-04-10 13:40:41
阅读次数:
254
一、需求:
使用IDA 导入C/C++头文件,添加头文件中的结构体,使用此结构体中的函数替换反汇编中的偏移,是文件可读性更好!!!!
二、步骤:
步骤一:点击IDAPro 菜单项“File->Load file->Parse c header file ” 选择jni.h头文件
步骤二:简单修改jni.h ,注释第27行的#include ,还有将1122行的#define JNI...
分类:
其他好文 时间:
2015-04-09 15:30:40
阅读次数:
586
auto i,fp;fp = fopen("d:\\dump.dex","wb");for(i=0x46B6D000;i<0x46B6f000;i++)fputc(Byte(i),fp);
分类:
其他好文 时间:
2015-04-09 00:54:50
阅读次数:
2048
很多cocos2d开发的游戏,比如圣火英雄传、武侠Q传等,都使用TexturePacker加密资源。通过IDA debug so,可以破解出这些游戏的美术资源。...
分类:
其他好文 时间:
2015-04-07 17:41:26
阅读次数:
575
拿到程序后,拉入IDA,大概看了一番后,尝试运行,进一步了解程序的功能。 发现NX enabled,No PIE。 一号是一个猜数字的游戏,二号是一个留言本,三号是打印出留言的内容,四号是退出。 观察IDA中逻辑后,发现一个格式化字符串漏洞。 在三号功能(Print your messa...
分类:
其他好文 时间:
2015-04-05 17:16:20
阅读次数:
162
题目给出了pwn200和libc.so。使用IDA查看程序,发现逻辑很简单。 使用checksec查看pwn200的安全属性,如下图: 发现NX enabled,No PIE。 在第一次读(0x08048524位置)的时候,可以读取17个字节,观察栈结构: 发现可以将nbytes覆盖...
分类:
其他好文 时间:
2015-04-04 21:08:28
阅读次数:
202
<<IDA pro权威指南>> p348页,另一种技巧常用于面向Windows的恶意软件中,它配置一个异常处理程序,并有意触发一个异常,然后在处理异常时操纵进程的寄存器状态。 下面的例子被tElock反逆向工程工具用于隐藏程序的...
分类:
其他好文 时间:
2015-03-29 13:48:15
阅读次数:
130
各种开源的decompiler都不太好用,眼下最好的反编译器是IDA pro。尽管是收费的,只是破解版非常好找。我试过5.5版本号的,还不错。我把windows notepad进行了反编译,多少算有点可读性:/* This file has been generated by the Hex-Ray...
分类:
编程语言 时间:
2015-03-21 14:00:13
阅读次数:
201
