汉化第二版主要更新:
1、界面采用 BoOMBoX/TSRh2004 制作的美化界面,主要为了好看一点。
2、绝大部分句子都重新翻译过,力求做到准确。
3、配置文件中除字体、语法高亮、颜色这几个部分保留为中文外....
分类:
数据库 时间:
2014-10-10 14:17:44
阅读次数:
349
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
基址重定位
链接器生成一个PE文件时,它会假设程序被装入时使用的默认ImageBase基地址(VC默认exe基地址00400000h,dll基地址10000000h),并且会把代码中所有指令中用到的地址都使用默认的基地址(例如 程序代码中 push 10001000,就是把10000000h当做了基地址,把push 10001000写入到文件中)。如果一个exe程序中一个dll装载时的地址与其它dll地址发生冲突(因为windo...
分类:
其他好文 时间:
2014-10-07 03:11:03
阅读次数:
313
PE文件结构(四)
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
输出表
一般来说输出表存在于dll中。输出表提供了 文件中函数的名字跟这些函数的地址, PE装载器通过输出表来修改IAT。
IMAGE_OPTIONAL_HEADER中的 DataDirectory[0] 提供了输出表的RVA。输出表是以一个IMAGE_EXPORT_DIRECTORY结构 开始的。
IMAGE_EXPORT_DIRECTORY结构:
typedef struct _IMAGE_EXP...
分类:
其他好文 时间:
2014-10-06 04:14:29
阅读次数:
279
可以利用该功能做到1. 跟踪对指定 API 的调用 ( 当在被调试程序中调用该 API时断点即被触发, )2. 查看程序用到了哪些 API 函数,了解程序的大体的功能 方法: (1) 在 "命令" 输入框输入 "bpx 任意API(MessageBoxA)", 然后 "ENTER", 即可打开 "....
分类:
数据库 时间:
2014-10-03 14:45:34
阅读次数:
294
PE文件结构(三)
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
输入表
输入函数,表示被程序调用但是它的代码不在程序代码中的,而在dll中的函数。对于这些函数,磁盘上的可执行文件只是保留相关的函数信息,如函数名,dll文件名等。在程序运行前,程序是没有保存这些函数在内存中的地址。当程序运行起来时,windows加载器会把相关的dll装入内存,并且将输入函数的指令与函数真在内存中正的地址联系起来。输入表(导入表)就是用来保存这些函数的信息的。
在 IMAGE_OPT...
分类:
其他好文 时间:
2014-10-03 12:24:34
阅读次数:
215
下面的案例主要介绍反汇编的使用价值,即在软件加解密方面的应用,可以很好地体会到基本的汇编指令在实践中的应用,也可以认识到Ollydbg在软件调试过程中的威力。
选用的示例程序CRACKME.exe程序来自看雪论坛的“从零开始用ollydbg cracking”系列。本文只做学习交流用途,不作其他任何用途。...
分类:
其他好文 时间:
2014-10-03 11:08:24
阅读次数:
252
PE文件结构(二)
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
区块
在区块表 后面的就是一个一个区块,每个区块占用对齐值的整数倍,一般的文件都有代码块 跟 数据块( 它们的名字一般为.text 跟 .data 但这是可以修改的)。每个区块的数据具有相同的属性。编译器先在obj中生成不同的区块, 链接器再按照一定的规则合并不同obj跟库中的快。例如每个obj中肯定有.text 块, 连接器就会把它们合并成一个单一的.text 块;再如,如果两个区块具有相同的的属性就有可能被合...
分类:
其他好文 时间:
2014-10-03 00:04:23
阅读次数:
285
文章作者:Crack_Qs[4st][PDG]使用工具:Vs 2013、ollydbg 1.10测试平台:windows 7 x64////////////////////////////////////////////////////////////////////////////////////...
分类:
其他好文 时间:
2014-09-27 23:28:10
阅读次数:
323
闲着没事,使用OD调试下扫雷程序,看了郁金香大牛的视频,OD载入扫雷程序,F9运行,查看——窗口(刷新),就可以看到主窗口地址,不知道什么原因,本机OD显示的地址是FFXXXXXXX地址,很明显不对,换了好几个系统也不正常。无奈,只好自己跟下。
一、OD打开扫雷程序,程序停在模块入口点出
二、ctrl + g 在 RegisterClassW函数出下断点
然后 F9运行,停...
分类:
其他好文 时间:
2014-09-10 00:28:39
阅读次数:
308
OllyDbg 使用笔记 (十九)
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
反调试
先看看这四个程序。
它们自己运行时都没有问题,都显示被注册信息 “You really did it! Congratz it",但是一到OD中运行就会出现未注册或者报错。
这四个程序都对OD进行了反调试。
它们都用了IsDebuggerPresent这个API函数来判断是否程序被调试器调用。
可以先看看ReverseMe.A程序,正常运行时会出现“Y...
分类:
数据库 时间:
2014-09-09 23:05:46
阅读次数:
456
