前言 关于IDA的中文教程确实少,没有实例甚至讲解,都是自己琢磨的 本文是我按照网上其他人写的用ollydbg脱壳思路,这里尝试使用ida pro进行脱壳,该crackme在其他地方并没有脱壳教程 crackMe 前面有一节的TBM crackMe 逆向 是直接跳过脱壳部分,这一节补一下 ESP定律 ESP定律就是利用堆栈平衡的原理,迅速找到OEP(真实的程序入口) 通常的壳会把一些真实程序运行的资源进行压缩,等到压缩程序运行起来的时候,先进行解压,再跳到OEP的继续运行真实程序 在解压之前需要把当前环境进行保存,例如寄存器esp,那么在此下硬件断点,当压缩程序尝试恢复该寄存器值时, »
环境 看雪论坛的附件,其中序列号的第二题 IDA PRO 破解版 Version 6.8.150423 (64-bit) 入口 首先输入任意字符串注册注册名 : qianhailong ; 注册码 : longlong 点击注册,显然因为输入有问题错误而没有任何弹窗 拖入IDA PRO,断点调试,首先需要找到入口 思路一,尝试寻找类似GetDlgItemTextA获取字符串的导入函数 ,并没有什么发现,只有可疑的GetWindowTextA、 »
环境 看雪论坛的附件,其中序列号的第一题 IDA PRO 破解版 Version 6.8.150423 (64-bit) 含有下文注释的ida pro数据文件 过程 (跳过UPX脱壳过程) 首先在界面中输入Name,和Serial,发现错误的情况并不会有弹窗 拖入IDA,可见Functions View 导入表中含有GetDlgItemTextA,那么在此处DLL设下断点 输入Name: woshi; Serial »
COMMON块 大部分教材,或者Blog都会讲到c系语言中未初始化的全局变量或静态变量的内存空间是在.bss段 今天就来测试一下,gcc/g++的版本如下 chainhelen@iZwz92pw32r9w6beu4jlfpZ:~$ gcc --version gcc (Ubuntu 5.4.1-2ubuntu1~14.04) 5.4.1 20160904 chainhelen@iZwz92pw32r9w6beu4jlfpZ:~$ g+ »
如下代码 //main.c #include "static_test.h" TOKEN token; int main() { token = *getToken(); add(); printf("after add, &token2.a = %d\n", &token.a); printf( »
环境 windows10 vs2015update3 community版 cmake3.7.2 Python 3.5.3 GnuWin32 tools llvm4.0源码 安装过程 首先安装vs2015updaate3 community版,双击iso镜像文件,win10系统自动挂载,在虚拟镜像里面双击vs_community.exe,选择默认安装即可 python、cmake安装过程比较简单, »
背景 网上的关于c语言内存分配的文章满天飞,先随便荡一份事例,但是从不同的角度讲一下这个案例 对于下面的代码生成的程序,基本采用如下命令反编译 objdump -M intel -s -d -x main.o | objdump -s -x -d -M intel a.out | nl -ba -M intel »
问题 这篇手把手教你构建 C 语言编译器,里面有着这样的代码 void eval() { int op, *tmp; while (1) { if (op == IMM) {ax = *pc++;} // load immediate value to ax else if (op == LC) »