存档

文章标签 ‘od’

[HDUSEC CTF]逆向分析Final

2013年11月12日 16 条评论

这是杭州电子科技大学信息安全竞赛(HDUSEC CTF)一个比较坑爹的题目,运行程序之后电脑就自动关了,如果直接在真机测试,那丢点数据也在所难免了,呵呵~ (注:本文是在比赛结束后发的
这个时候,你很可能拿起你的OD准备动手了,可是当你刚载入OD的那一瞬间,屏幕又黑了,看了看主机箱,擦,灯灭了,电脑有关了,这尼玛不是坑爹么!
别哭,开机继续搞!把程序载入PEiD,看,有TLS呢!当然啦,大概就猜TLS里面有坑爹的代码。这个TLS可以看也可以不看的,但是出于好奇心,我还是忍不住看了下。那还是用I[......]

继续阅读

SFX自动脱壳

2011年12月2日 2 条评论

OD还有这么一个功能,以前一直不知道。虽然步骤很简单,但是原理网上却不见有讨论,似乎只能脱一些压缩壳。
使用SFX自动脱壳法脱壳的常见步骤:

  1. 将OD设置为忽略所有异常;
  2. 在OD的“调试选项”对话框的“SFX”选项卡中选择“字节模式跟踪实际入口”选项并确定;
  3. 将待脱壳程序载入OD,待程序载入完成后,会直接停在OEP处。

测试了一下ASPACK,结果可行,OD会自动停留在OEP!本次脱壳完成后记得把OD的SFX设置改回去!

0100739D . 6A 70 push [......]

继续阅读

分类: 逆向调试 标签: , ,

两次内存断点法寻找OEP

2011年9月11日 没有评论

逆向过程中通过会遇到脱壳的过程,而脱壳的方式有有多重,如果手工脱壳,需要找到OEP。
所谓“两次内存断点法寻找OEP”,按照《加密与解密*第三版》上的解释来说,就是这样的。
一般的外壳会依次对.text、.rdata、.data、.rsrc区块进行解压(解密)处理,所以,可以先在.rdata、.data等区块下内存访问断点,中断后,此时代码已解压,接着再对代码段(.text)下内存访问断点,即可到达OEP。
我个人的理解是所有节区都解压完毕之后,然后程序的执行流会转移到OEP,这个时候自然回去访[......]

继续阅读

分类: 逆向调试 标签: , , , ,

PEDIY之计算器关闭动画

2011年6月25日 1 条评论

这个月似乎没有接触过逆向了,事情有点多,趁着今天有时间复习一下。参考看雪论坛http://bbs.pediy.com/showthread.php?t=75788一文(其实吧,我是照着上面的一步一步做的,配上一点自己对文章的分析)。
我们的目标:当计算器关闭时给其添加关闭动画,通过调用user32.dll中的AnimateWindow来实现。
操作步骤:OD载入计算器,然后右键,选择“搜索”->“所有分支”,来到分支窗口,选择其中的一个分支,单击右键,选择“列出分支案例”,可以找到窗口消息处理(一[......]

继续阅读

分类: 逆向调试 标签: , ,

系统即时调试器注册表设置

2011年5月26日 没有评论

最近几天比较闲,于是想扩展一下原来写的PE工具,发现那个太差了,不好意思拿出手,所以现在又模仿了PETools的一些功能。今天做了一下那个调试功能:把选中的进程附加到系统的即时调试器。
一开始我以为是要用DebugActiveProcess这个API来附加到进程,后来发现DebugActiveProcess这个API是用来将自己附加到指定进程。也就是说,如果你自己是调试器,去调用DebugActiveProcess才有意义。于是就不知道该怎么办了。后来,用OD简单分析了一下PETools的这个功[......]

继续阅读

分类: 逆向调试 标签: , ,

strlen反汇编代码

2011年5月15日 9 条评论

一般来说strlen的反汇编代码都是一个固定的形式。
IDA中的的反汇编代码如下:

.text:00401016 8D 7C 24 0C lea edi, [esp+10Ch+var_100]
.text:0040101A 83 C9 FF or ecx, 0FFFFFFFFh
.text:0040101D 33 C0 xor eax, eax
.text:0040101F F2 AE [......]

继续阅读

分类: 逆向调试 标签: , ,

[转]寻找真正的入口(OEP)——广义ESP定律

2011年3月21日 2 条评论

寻找真正的入口(OEP)——广义ESP定律

  • 作者:Lenus
  • FROM: poptown.gamewan.com/bbs
  • E-MAIL:Lenus_M@163.com

1.前言
在论坛上看到很多朋友,不知道什么是ESP定律,ESP的适用范围是什么,ESP定律的原理是什么,如何使用ESP定律?看到了我在
http://poptown.gamewan.com/dispbbs.asp?boardID=5&ID=54&page=1
调查结果发现,大家对ESP定律很感兴趣,当然因为[......]

继续阅读

分类: 逆向调试 标签: , , ,