不知不觉,接触破解逆向已经三个月了,从当初的门外汉到现在的小白,这个过程只有经历过才知道其中的苦与乐:有无知、困惑、痛苦、惊喜、彻悟、欣慰……有无助的软件脱壳,茫然的代码分析,有无趣的反复测试,有人说破解不应该程序员干的事,我回复我不是程序员;有人说.NET程序太没难度了,去破安卓,后来我真开始研究...
分类:
Web程序 时间:
2015-08-30 00:36:45
阅读次数:
208
学习汇编能做什么(逆向,歪瓜,脱壳,反病毒,漏洞挖掘等等必备基础)
分类:
其他好文 时间:
2015-08-29 12:20:19
阅读次数:
130
环境:android 4.4.3
本人移动安全小菜一枚,最近在研究indroid的源码,发现里面原来是在dalvik里面插桩,所以就先把dalvik是如何解析指令的过程研究了一番。给人的感觉是这块要是研究透了,万能脱壳真的是可以的。因为无论dex怎么隐藏,最终还是要交给dalvik去解释执行。
Smali汇编一共有200多条不同的指令,每条指令对应的操作码对应源码在dalvik/li...
分类:
其他好文 时间:
2015-08-26 14:02:58
阅读次数:
212
前言最近把研究dex的脱壳,顺便又是再次熟悉了一下dex的标准格式以及dex被解析后在内存中所存在的格式。自己上官网加了一个壳子,发现跑不起来。于是求助几个基友,最后样本是海总给的apk,很全面,带有Activity、Application、BroadcastReceiver、ContentProvider、以及Service。0x1 加壳前后对比加固后的文件列表变化:
新增一个so文件以及...
分类:
其他好文 时间:
2015-08-11 23:23:26
阅读次数:
176
de4dot是一个开源的.net反混淆脱壳工具,是用C#编写的,介绍一下它的使用方法首先 pushd 到de4dot.exe所在文件夹,然后调用 de4dot.exe 路径+dll名称如下图Detected Unknown Obfuscator 说明侦测不到这个程序集是用什么方式混淆的,但是de4d...
分类:
Web程序 时间:
2015-08-05 14:37:38
阅读次数:
391
在现在的移动安全环境中,程序加壳已经成为家常便饭了,如果不会脱壳简直没法在破解界混的节奏。ZJDroid作为一种万能脱壳器是非常好用的,但是当作者公开发布这个项目后就遭到了各种加壳器的针对,比如说抢占ZJDroid的广播接收器让ZJDroid无法接收命令等。我们也会在”安卓动态调试七种武器之多情环 ...
分类:
其他好文 时间:
2015-08-04 20:41:26
阅读次数:
1817
内存镜像法:载入OD:内存镜像法在资源节下断点:运行,停在这里:再下断点:运行,停在这里:往下跟踪,凡是向上跳的就F4跳过。注意这里,如果F4跳过jmp到call的位置就会跑飞,所以我们F4跳到红框的位置:直到这里,有一个大跳转:就跳转到了OEP:
分类:
其他好文 时间:
2015-07-30 21:12:20
阅读次数:
222
方法一:载入OD,使用ESP定律:下硬件访问断点之后,运行四次,跑飞,那么我们运行三次,到这里看到很多pop:retn返回后就到达OEP了:方法二:直接单步跟踪,跟踪到F4跳过,继续跟踪:遇到这个loopd,F4跳过。继续单步跟踪,会在下面的这三个跳转指令间循环一阵子:往上跳到这里:往上跳到这里:这...
分类:
其他好文 时间:
2015-07-30 00:43:06
阅读次数:
194
一上来的载入位置:一路往下跑:但凡遇到往回的大跳转,就按F4跳到下一步,跳过循环部分直到一个retn返回到:然后我们继续往下跟,一直跟到一个jmp如果再F4往下一步,程序就会跑起来:所以我们在这里下个断点:然后按F9运行,看这个循环会运行多少次,大约按了9次后,程序又跑起来,那我们再重新加载程序,这...
分类:
其他好文 时间:
2015-07-28 12:46:29
阅读次数:
169
LordPE简介一款强大的可执行文件分析辅助脱壳工具,附带16进制编辑器.不包括反汇编模块.它名字叫LordPE而不是LoadPE. 其拥有基于最小功能的PE修改方式.对于win32平台下如果不将样本拖到其中分析看看,还叫分析恶意程序吗?可见其非常常用实用....
分类:
其他好文 时间:
2015-07-24 16:11:49
阅读次数:
153
