存档

文章标签 ‘逆向’

逆向分析中快速定位Delphi TThread线程函数代码

2012年7月12日 2 条评论

Delphi中对线程的操作封装了一个TThread类,没接触过Delphi的人来说跟踪线程函数毫无头绪,即便是对CreateThread函数下断点,依然会遇到层层包装。

TThread是个抽象类,有个Execute的抽象方法。使用时需要自己派生出一个新类,并重载Execute方法,也就是Delphi的线程函数了。网上似乎也没有文章介绍如何跟踪Delphi线程函数,本人经过测试找到了一个看上去似乎很不错的快速定位方法。下面介绍本人的方法:

(1)在IDA的Functions Window中单击标题栏Function Name对函数名进行排序,然后就可以快速找到Classes::TThread:DoTerminate(void),双击来到函数;[......]

单步跟踪法手脱UPX壳

2011年11月27日 5 条评论

很早以前接触过免杀,不过那个时候我连汇编都不懂,所以自然是没有成功过一次;依然还记得那时候用Ollydbg、CCL之类的工具照着动画视频做,可以弄到很晚,但是一直是失败的。当然,我做这个的目的,全然是个人兴趣所向,不是拿来干坏事的,现在接触点这个,也只是兴趣,或者说以后拿来对抗病毒所用。

这里的文章算是看《杀不死的秘密》的一点笔记(个人觉得这本书上的废话太多了,很多地方感觉实在充字数。将就看下吧。)这里显示看一下单步跟踪法脱壳,这个实际过程应该很少用到,太麻烦了。
单步跟踪法就是利用OD的单条[......]

继续阅读

分类: 逆向调试 标签: , , ,

QQScLauncher逆向分析

2011年10月21日 16 条评论

QQScLauncher逆向分析
逆向版本:QQ2011正式版(2425)
逆向目的:只是感兴趣,没有任何其他意图
版权声明:本文档由代码疯子整理,在保留本文档版权声明和原始出处的前提下欢迎转载!
需要工具:IDA Pro、Ollydbg
正文内容
什么是QQScLauncher?在QQ最新版(QQ2011正式版)中加入了不少新功能,如手写、视频群聊、语音输入等,另外还有一个功能是可以把好友拖放到桌面上,点击就可以直接与之进行聊天,处于好奇,本人对他进行了一下逆向,于是便有本文。
先去[......]

继续阅读

两次内存断点法寻找OEP

2011年9月11日 没有评论

逆向过程中通过会遇到脱壳的过程,而脱壳的方式有有多重,如果手工脱壳,需要找到OEP。
所谓“两次内存断点法寻找OEP”,按照《加密与解密*第三版》上的解释来说,就是这样的。
一般的外壳会依次对.text、.rdata、.data、.rsrc区块进行解压(解密)处理,所以,可以先在.rdata、.data等区块下内存访问断点,中断后,此时代码已解压,接着再对代码段(.text)下内存访问断点,即可到达OEP。
我个人的理解是所有节区都解压完毕之后,然后程序的执行流会转移到OEP,这个时候自然回去访[......]

继续阅读

分类: 逆向调试 标签: , , , ,