存档

2011年3月 的存档

Armadillo(穿山甲)简单脱壳处理

2011年3月28日 6 条评论

Armadillo,理论上来说,应该翻译成“犰狳”,而不是“穿山甲”;不过关于壳方面很多人都把他叫做穿山甲。这里简单说一下处理的一个壳,只是穿山甲壳中的一种情况,仅供参考。
OD下断点GetModuleHandleAPEID查克,一时“Armadillo 3.00a – 3.61 -> Silicon Realms Toolworks”,直接OD载入目标程序。用bp GetModuleHandleA+5进行下断点。为什么要在API后面加5呢?主要是防止穿山甲从中作梗,另外调试的时候注意通过插件来隐藏OD。每次断下之后都要接着继[……]

继续阅读

分类: 逆向调试 标签: , ,

使用ImportREC修复脱壳文件导入表

2011年3月25日 2 条评论

在逆向调试中往往会遇到脱壳后文件无法正常运行的现象,这时候就需要尝试修复导入表。需要用到的几个工具:Ollydbg、ImportREC,当然,如果OD没有dump功能,还得选一个工具,可以为LoadPE等。导入表的修复时脱壳中必须要掌握的一项基本技能,下面是本人的一些学习记录:(仅供参考,如有错误,请指正)
首先是脱壳,OD载入,可以用ESP定律(如果可行的话)来脱壳(不懂?看这里《ESP定律脱壳》一文),找到程序的OEP。找到OEP之后,在OD的CPU窗口中右键,选择“在OllyDump脱壳调[……]

继续阅读

分类: 逆向调试 标签: , , ,

Borland C++入口点特征码

2011年3月25日 没有评论

Borland C++入口点特征码:(一进去就是一个跳转)

00401000 > $ /EB 10 JMP SHORT ImageWat.00401012
00401002 |66 DB 66 ; CHAR ‘f’
00401003 |62 DB 62 ; CHAR ‘b[……]

继续阅读

分类: 逆向调试 标签: , ,

swprintf和wsprintf

2011年3月24日 没有评论

wsprintf是Windows API,不支持浮点型格式输出;swprintf是C运行时函数,支持浮点型格式化输出。

今天写代码的时候用了wsprintf,老是输出f,各种蛋疼。


觉得文章还不错?点击此处对作者进行打赏!


本文地址: 程序人生 >> swprintf和wsprintf
作者:代码疯子(Wins0n) 本站内容如无声明均属原创,转载请保留作者信息与原文链接,谢谢!

分类: C语言 标签: , ,

初探逆向之URLegal破解

2011年3月23日 7 条评论

【文章标题】: 初探逆向之URLegal破解
【文章作者】: 代码疯子
【作者邮箱】: stackexploit@gmail.com
【操作系统】: Windows XP
【软件名称】: URLegal 3.3.0.0
【软件介绍】: 可以自动找出HTML文件中的断链接并自动对其进行修复
【加壳方式】: 无
【保护方式】: 注册码
【编写语言】: Microsoft Visual C++ 6.0
【使用工具】: OD + PEID + IDA
【作者声明】: 纯属技术交流,没有其他目的。仅以本文[……]

继续阅读

[转]寻找真正的入口(OEP)——广义ESP定律

2011年3月21日 2 条评论

寻找真正的入口(OEP)——广义ESP定律

  • 作者:Lenus
  • FROM: poptown.gamewan.com/bbs
  • E-MAIL:Lenus_M@163.com

1.前言
在论坛上看到很多朋友,不知道什么是ESP定律,ESP的适用范围是什么,ESP定律的原理是什么,如何使用ESP定律?看到了我在
http://poptown.gamewan.com/dispbbs.asp?boardID=5&ID=54&page=1
调查结果发现,大家对ESP定律很感兴趣,当然因为[……]

继续阅读

分类: 逆向调试 标签: , , ,

PECompact 2.x -> Jeremy Collake脱壳

2011年3月20日 没有评论

看到网上有用SEH脱壳的,看的不是很明白(最主要还是讲的很不明白,然后很多人千篇一律的转载,所以就看不明白了)。另外还有看到用ESP脱壳的,这个比较好理解(ESP定律就那么一个套路,不懂的请看《ESP定律脱壳》一文)。
首先,对目标程序用PEiD查壳,提示PECompact 2.x -> Jeremy Collake,然后OD载入,OD会提示数据有加密或者压缩,点击否。然后OD断下的代码大概如下:

00401000 > B8 D09A6D00 MOV EAX,Waterm[……]

继续阅读

分类: 逆向调试 标签: , , ,

关于VC bin目录下的几个EXE

2011年3月20日 没有评论

BSCMAKE.EXE 生成一个浏览信息文件 (.bsc),该文件包含有关程序中的符号(类、函数、数据、宏和类型)的信息。在开发环境内的浏览窗口中查看此信息。(.bsc 文件也可以在开发环境中生成。)
LIB.EXE 用于创建和管理通用对象文件格式 (COFF) 对象文件库。它还可用于创建导出文件和引用导出定义的导入库。
EDITBIN.EXE 用于修改 COFF 二进制文件。
DUMPBIN.EXE 显示有关 COFF 二进制文件的信息(如符号表)。
NMAKE.EXE 根据MAKEFILE文[……]

继续阅读

分类: MFC开发 标签: , ,

接触脱壳中的Overlay

2011年3月19日 8 条评论

初次接触逆向,在学习的过程中遇到很多问题。前几天学习了ESP定律脱壳,感觉很不错,所以每次看到有popad的壳,就想用ESP定律去脱。这次遇到一个,PEID查壳,发现壳后面有个Overlay,Overlay是什么呢?本人不是很清楚。
其实,overlay虽然大家在脱壳当中觉得很陌生,但是他离我们并不遥远。在我们平时使用的软件当中,有一些软件要处理一些数据流文件,比如winamp。当我们下载了mp3文件(数据文件),没有播放器是不可能播放的,与此相关的还有很多,比如txt文件和notepad的关系[……]

继续阅读

分类: 逆向调试 标签: , , ,

ESP定律脱壳

2011年3月18日 11 条评论

ESP定律脱壳,很容易上手,网上也有这方面的视频教程,看一个就知道了。不过对于ESP定律的原来,暂时不去研究。看雪论坛上面很有多讨论这个问题的帖子,有兴趣的朋友可以自己去找找看。本人对ESP定律该在何时使用也很迷茫中。
ESP定律的大概步骤:
OD载入加壳程序,然后当popad执行之后,观察ESP的值,然后跟踪ESP的值在内存中的位置,对那个地方进行下断点(word的硬件访问断点)。接着F9,来到断点处,之后F8,当ret/retn到某一个地方的时候,就是OEP了。
文字描述可能不太清楚,下面贴[……]

继续阅读

分类: 逆向调试 标签: , , ,