直接载入OD,观察发现弹窗可能为MessageBox,那么进行对windows api函数的搜索 跟进反汇编窗口跟随函数,来到这里,直接进行断点操作 运行程序,跑到断点处,如下图 接着发现堆栈窗口有调用CALL,这个call自然是MessageBox的函数,那么直接反汇编窗口对这个call进行跟随, ...
分类:
其他好文 时间:
2019-12-17 20:27:24
阅读次数:
96
字节码bytecode dis模块是Python字节码反汇编器。通过反汇编支持Cpython的字节码分析。 前置知识 在看字节码之前,先要了解一下code object和frame object,它们在datamodel.html中有介绍 例子: >>> import dis >>> def hel ...
分类:
编程语言 时间:
2019-12-07 19:29:55
阅读次数:
97
在逆向内核时,发现了这么一个问题,传入参数明显不一致。 通过函数末尾 @16,明显需要四个函数,这里只是传入三个函数。 查看WRK源码,发现其确实需要四个参数。 排除IDA分析错误的前提下,则存在寄存器传入。 这种情况一般IDA会自动给出注释,可以根据注释判断是哪个寄存器传入。 但是,我们可以手动推 ...
分类:
其他好文 时间:
2019-11-17 23:32:40
阅读次数:
91
今天在逆向时看到一个指令 "and esp, 0FFFFFFF8",则自然为 "111····1000",将末尾置位0. 考虑到应该是栈对齐,但是感觉二进制数基础不太好,有些欠缺,这不会破坏原来栈中的数据么? 我们继续来思考,这样进行的结果如何?结尾只能是8或0,如果为8则变为0.只有这一种情况能破 ...
分类:
其他好文 时间:
2019-11-16 10:49:02
阅读次数:
65
如何阅读反汇编文件? 以下是一个例子 4bc: e3a0244e mov r2, #1308622848 4c0: e3a0344e mov r3, #1308622848 4c4: e5933000 ldr r3, [r3] 像4bc这些是代码运行的地址, e3a0244e是机器码 那常用的汇编指 ...
分类:
其他好文 时间:
2019-11-10 09:31:30
阅读次数:
117
push a push b push c push d call xxx 则翻译过来为 xxx(d,c,b,a)。 我们分析时,将push从上往下看,push d 作为第一个参数。 因为你从下往上,你不确定一个push a到底是第几个参数,只能确定其右边最后一个参数。 而从上往下看,就能比较清楚了。 ...
分类:
其他好文 时间:
2019-11-03 13:13:00
阅读次数:
71
; 链表操作 将当前APC从用户队列中拆除eax表示该某个双向链表的节点struct node{ struct node * next struct node * last}mov ecx, [eax] [eax] Node->nextmov eax, [eax+4] [eax+4] Node->l ...
分类:
其他好文 时间:
2019-11-03 13:09:55
阅读次数:
81
一,函数绑定 函数绑定分为动态绑定和静态绑定。(绑定指的是调用) 当写完代码后,可使用javap -c java文件.class,来查看java编译器为我们生成的字节码。(反汇编过程) 具体操作:1,先在程序编辑界面,右击鼠标,然后选择 show in Explorer 就会将该代码生成的文件所在 ...
分类:
其他好文 时间:
2019-10-19 13:25:39
阅读次数:
108
一、更新源 更新源,下载Ubuntu的各种文件、程序等常用资源的网速就会得到飞速提升,一般选国内的大学(清华等)、企业(阿里/网易等)。 1.1 备份原有源 sudo cp /etc/apt/sources.list /etc/apt/sources.list.backup 1.2 更新源 自己在网 ...
分类:
系统相关 时间:
2019-10-17 14:07:54
阅读次数:
137
Java 中关键字 synchronized 表示只有一个线程可以获取作用对象的锁,执行代码,阻塞其他线程。 作用: 确保线程互斥地访问同步代码 保证共享变量的修改能够及时可见 有效解决重排序问题 用法: 修饰普通方法 修饰静态方法 指定对象,修饰代码块 特点: 阻塞未获取到锁、竞争同一个对象锁的线 ...
分类:
编程语言 时间:
2019-10-16 19:33:29
阅读次数:
73
