存档

文章标签 ‘Ollydbg’

单步跟踪法手脱UPX壳

2011年11月27日 5 条评论

很早以前接触过免杀,不过那个时候我连汇编都不懂,所以自然是没有成功过一次;依然还记得那时候用Ollydbg、CCL之类的工具照着动画视频做,可以弄到很晚,但是一直是失败的。当然,我做这个的目的,全然是个人兴趣所向,不是拿来干坏事的,现在接触点这个,也只是兴趣,或者说以后拿来对抗病毒所用。

这里的文章算是看《杀不死的秘密》的一点笔记(个人觉得这本书上的废话太多了,很多地方感觉实在充字数。将就看下吧。)这里显示看一下单步跟踪法脱壳,这个实际过程应该很少用到,太麻烦了。
单步跟踪法就是利用OD的单条[......]

继续阅读

分类: 逆向调试 标签: , , ,

[持续更新]OllyDbg使用技巧汇总

2011年7月11日 没有评论

快捷键
F2:设置断点,只要在光标定位的位置(上图中灰色条)按F2键即可,再按一次F2键则会删除断点。
F8:单步步过。每按一次这个键执行一条反汇编窗口中的一条指令,遇到 CALL 等子程序不进入其代码。
F7:单步步入。功能同单步步过(F8)类似,区别是遇到 CALL 等子程序时会进入其中,进入后首先会停留在子程序的第一条指令上。
F4:运行到选定位置。作用就是直接运行到光标所在位置处暂停。
F9:运行。按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。
Ctrl + F9:执行[......]

继续阅读

分类: 逆向调试 标签: ,

调试与反调试(一)——IsDebuggerPresent

2011年4月21日 没有评论

IsDebuggerPresent是一个声明与kernel32.dll中的函数,通过它可以检测当前进程是否正在被调试。当然,这是一个很古老的API了,我相信不会有人用这个来检测程序在被调试,因为这个很容易绕过。对于专业的调试器而言,IsDebuggerPresent根本就没有用武之地。下面看一个例子:

// 作者:代码疯子
// 博客:http://www.programlife.net/
// 转载请注明:本文来自程序人生——Www.ProgramLife.Net
#include <[......]

继续阅读

用OllyDbg对Win32汇编进行源码级调试

2011年4月19日 2 条评论

如果是刚开始学习汇编,肯定对调试有很大的困难,我以前都是用OD来反汇编,对于Win32Asm的话,感觉还是过得去的,效果也还好。今天在网上看到有源码级调试方法,所以就搬过来了,试了一下,效果不错。
首先是编译的时候要生产符号表,类似用WinDbg进行驱动程序源码级调试一样。所以,makefile需要这样写(这只是一个例子):

NAME = NoImport
EXE = $(NAME).exe
OBJ = $(NAME).obj
 
ML_FLAG = [......]

继续阅读

Armadillo(穿山甲)简单脱壳处理

2011年3月28日 6 条评论

Armadillo,理论上来说,应该翻译成“犰狳”,而不是“穿山甲”;不过关于壳方面很多人都把他叫做穿山甲。这里简单说一下处理的一个壳,只是穿山甲壳中的一种情况,仅供参考。
OD下断点GetModuleHandleAPEID查克,一时“Armadillo 3.00a – 3.61 -> Silicon Realms Toolworks”,直接OD载入目标程序。用bp GetModuleHandleA+5进行下断点。为什么要在API后面加5呢?主要是防止穿山甲从中作梗,另外调试的时候注意通过插件来隐藏OD。每次断下之后都要接着继[......]

继续阅读

分类: 逆向调试 标签: , ,

使用ImportREC修复脱壳文件导入表

2011年3月25日 2 条评论

在逆向调试中往往会遇到脱壳后文件无法正常运行的现象,这时候就需要尝试修复导入表。需要用到的几个工具:Ollydbg、ImportREC,当然,如果OD没有dump功能,还得选一个工具,可以为LoadPE等。导入表的修复时脱壳中必须要掌握的一项基本技能,下面是本人的一些学习记录:(仅供参考,如有错误,请指正)
首先是脱壳,OD载入,可以用ESP定律(如果可行的话)来脱壳(不懂?看这里《ESP定律脱壳》一文),找到程序的OEP。找到OEP之后,在OD的CPU窗口中右键,选择“在OllyDump脱壳调[......]

继续阅读

分类: 逆向调试 标签: , , ,

初探逆向之URLegal破解

2011年3月23日 7 条评论

【文章标题】: 初探逆向之URLegal破解
【文章作者】: 代码疯子
【作者邮箱】: stackexploit@gmail.com
【操作系统】: Windows XP
【软件名称】: URLegal 3.3.0.0
【软件介绍】: 可以自动找出HTML文件中的断链接并自动对其进行修复
【加壳方式】: 无
【保护方式】: 注册码
【编写语言】: Microsoft Visual C++ 6.0
【使用工具】: OD + PEID + IDA
【作者声明】: 纯属技术交流,没有其他目的。仅以本文[......]

继续阅读

接触脱壳中的Overlay

2011年3月19日 6 条评论

初次接触逆向,在学习的过程中遇到很多问题。前几天学习了ESP定律脱壳,感觉很不错,所以每次看到有popad的壳,就想用ESP定律去脱。这次遇到一个,PEID查壳,发现壳后面有个Overlay,Overlay是什么呢?本人不是很清楚。
其实,overlay虽然大家在脱壳当中觉得很陌生,但是他离我们并不遥远。在我们平时使用的软件当中,有一些软件要处理一些数据流文件,比如winamp。当我们下载了mp3文件(数据文件),没有播放器是不可能播放的,与此相关的还有很多,比如txt文件和notepad的关系[......]

继续阅读

分类: 逆向调试 标签: , , ,

ESP定律脱壳

2011年3月18日 11 条评论

ESP定律脱壳,很容易上手,网上也有这方面的视频教程,看一个就知道了。不过对于ESP定律的原来,暂时不去研究。看雪论坛上面很有多讨论这个问题的帖子,有兴趣的朋友可以自己去找找看。本人对ESP定律该在何时使用也很迷茫中。
ESP定律的大概步骤:
OD载入加壳程序,然后当popad执行之后,观察ESP的值,然后跟踪ESP的值在内存中的位置,对那个地方进行下断点(word的硬件访问断点)。接着F9,来到断点处,之后F8,当ret/retn到某一个地方的时候,就是OEP了。
文字描述可能不太清楚,下面贴[......]

继续阅读

分类: 逆向调试 标签: , , ,

逆向某国图片水印添加工具ImageWatermarks 1.3

2011年3月17日 4 条评论

申明:本文写作纯属技术交流,请勿将本文任何内容用作商业用途,违者后果自负!
如需使用软件,请购买正版!以前有一个很好的水印添加工具的,后来无意把电脑硬盘格了,丢了。添加水印主要是为了个博客的图片做一个记号,因为一些朋友转载我的文章没有做什么申明,平时就遇到过好几次,我也没有说什么了。所以,图片上还是留一个网址。
在网上找了一款叫做ImageWatermarks的软件,一打开就提示一个“Program is not Registered!”,很烦人哦。我把这软件摸索了好久,才发现注册版和未注册版的[......]

继续阅读