程序: 运行程序 界面显示的是未注册 点击 Help -> About 点击 Use Reg Key 这里输入注册码 用 PEiD 看一下 该程序是用 Delphi 6.0 - 7.0 写的 逆向: 用 OD 打开程序 右键 -> 查找 -> 所有参考文本字串 然后右键 -> 查找文本 搜索 这里有个是 accepted 为接受,failed 为失败 双击到 accepted 处 如果程序执行到这里则说明,注册码是可以的 在 Delphi 中,push 后的 retn 指令相当于

程序: 这个窗口显示这是一个需要去除的 Nag 窗口 点击“确定” 用 PEiD 看一下 这是一个用汇编语言写的程序 逆向: 用 OD 载入程序 Nag 窗口的标题和文本 右键 -> 查找 -> 所有参考文本字串 只有这两条 下一个断点,跑一下程序 该 NAG 窗口还是弹出来了 点击“确定” 然后关掉程序,始终没有停在断点处 说明该处只是干扰项 往上拉 看到一些奇怪的字符,这些是 OD 识别不了的一些代码 右键 -> 分析 -> 从模块中删除分析 代码就变得正常了 第一个 call

程序: 运行程序 弹出一个对话框,点击 OK 来到主界面,点击 Help -> Register Now 这是输入注册码的地方 按关闭程序的按钮 会提示剩下 30 天的使用时间 用 Resscope 载入程序 在 Dialog 下找到程序要退出时的那个对话框 在 100 处找到该对话框 103 为 lpTemplateName 对话框模板 逆向: 用 OD 载入程序 右键 -> 查找 -> 所有命令 64 为 100 的十六进制 找到很多 push 0x64 的指令 右键 -> 在

对话框: 对话框从类型上分为两类:modal 对话框和 modeless 对话框,就是模态对话框和非模态对话框,也有叫成模式和非模式 模态对话框不允许用户在不同窗口间进行切换,非模态对话框允许用户在不同窗口间进行切换 两者形成区别的原理是模态对话框由 windows 为它内建一个消息循环,而非模态对话框的消息则是通过用户程序中的消息循环派送的 创建模态对话框是由调用 DialogBoxParam 函数实现的,而创建非模态对话框是调用 CreatDialogParam 函数实现 程序: 点击 SE

程序: 打开程序 出现一个 NAG 窗口 这是主界面 点击 Exit 程序出现 NAG 窗口,然后退出 用 PEiD 看一下 是用 VC++ 6.0 写的程序 逆向: 用 OD 载入程序 跑一下程序 出现 NAG 窗口时暂停 按 Alt+K 显示调用堆栈 这个是 MFC 的对话框,双击来到它所在的地方 下一个断点,重新跑一下程序 OD 停在了断点处 按 F8 往下走一步 NAG 窗口出现了 过了几秒就往下走了一步了 按 F9 运行 程序又停在了这个断点处 按一下 F8 主窗口出现了 点击 Exi

程序: 运行程序 点击 Start,它就会进行对系统的扫描 点击 About -> Enter Registration Code 随便输入一下内容,点击 OK,会弹出该弹窗 用 PEiD 看一下 该程序是用 Microsoft Visual C++ 6.0 写的 逆向: 用 OD 载入程序 右键 -> 查找 -> 所有模块间的调用 键盘直接敲 getwindowtext 找到几个 GetWindowTextA,A 为 ASCII 码,W 为 Unicode 右键 -> 在每个调用

前话: VB 程序用 OD 进行逆向的话,可以先查找相关的变量和字符串,以寻找突破口 变量: __vbaVarTstEq __vbaVarCompEq __vbaVarTstNe __vbaVarCompLe __vbaVarCompLt __vbaVarCompGe __vbaVarCompGt __vbaVarCompNe 字符串: __vbaStrCmp __vbaStrComp __vbaStrCompVar __vbaStrLike __vbaStrTextComp __vbaStrT

程序: 运行 弹出 NAG 窗口,提示要花 20 美元注册 然后会进入主窗口 提示剩余 5 天的使用时间 点击,菜单栏 -> Help -> About 显示未注册版本 逆向: 用 OD 打开程序 首先把剩余 5 天的字符串作为切入点 先按 F9 运行一下程序 右键 -> 查找 -> 所有参考文本字串 右键 -> 查找文本 要把整个范围勾选上 继续查找看看,按 Ctrl+L 这个和第一个是一样的 双击第一个查找到的结果,跳到该字符串所在的位置 这个地方的上一条语句是一个 jn

1.前言 上次发完,有网友问了一个问题:如果不绕过编译,而是直接编译怎么办? 记一次Net软件逆向的过程:https://www.cnblogs.com/dotnetcrazy/p/10142315.html 今天就来说说:本次提供样本:链接: https://pan.baidu.com/s/1ekYVKXt_Jz3ShwjoFknW0g 提取码: ywf6 2.调试破解 1.查壳知道是Net程序 2.dnspy打开发现乱码.png 3.de4dot脱壳.png 4.这个就是反混淆之后的程序.p

开始之前的准备: 反汇编:IDA 十六进制编辑器: Hexworkshop LINUX环境: KALI LINUX 调试: EDB (KALI自带的) 一个简单的动态追码, 大牛们就略过吧…… 用16进制打开看看,前面有个明显的ELF标志 然后运行下看是啥样的…… 额...  一个输入密码   然后验证的程序 下面说下我的做法吧: 主要是    静态分析(IDA)    和动态调试  (EDB) 把这个CM3扔到IDA中静态分析 在它调用的函数名称表里可以看到   GETS,MEMCMP等函数.

背景:碰到一个由c#写的exe,由于之前没有分析过.net的程序,记录下分析流程. 1)peid加载判断类型,可以看出没有加壳. 2)搜索c#的反编译以及调试工具. 1.NET.Reflector以及reflexil(安装reflexil.for.Reflector.2.1.AIO.bin) 2.使用reflexil进行修改指令后导出.(无法运行,蛋疼!) 3.下载ILSpy_with_debugger_2_2带ILSpy.Debugger.Plugin的版本. 1)进行动态调试,可以显示reg

目录 @ 1 MFC执行流程 1.1 环境支持 1.2 分析 1.3 实践探索 1.3.1 创建一个MFC程序 1.3.2 下关键断点并调试 1.4 转向MFC库源文件中观测 2 逆向 2.1 特征码的选择(比如我这里还是想找到InitInstance()) 2.2 使用调试工具(OD) 搜索特侦码 咐语 @ 1 MFC执行流程 1.1 环境支持 vs 2017 afxwin.h,afxcdialogex.h 1.2 分析 ​ 在 vs 调试窗口中 有一个"反汇编窗口",同样也可以下断

随着智能手机的普及,功能越来越强大.程序也越来多和复杂化.研究一下android系统的逆向工程也是挺有意思的. 目前android逆向工程还处于初级阶段.表现在于: 1.没有完整的动态调试程序.目前由于android系统的bionic并不完全支持POSIX,导致现有编译的gdb不支持多线程无符号调试.(我实验了一下,的确多线程问题比较多,当然,gdb本身也有问题).所以对于NDK逆向工程比较麻烦,以静态分析为主. 2.手机本身种类较多,而且android版本繁多,更新较快,增加了逆向的难度. 但

Android 应用程序拆解 Android 应用程序是在开发应用程序时创建的数据和资源文件的归档文件. Android 应用程序的扩展名是.apk,意思是应用程序包,在大多数情况下包括以下文件和文件夹: Classes.dex (文件) AndroidManifest.xml (文件) META-INF (文件夹) resources.arsc (文件) res (文件夹) assets (文件夹) lib (文件夹) 为了验证这一点,我们可以使用任何归档管理器应用程序(如 7zip,WinR

这道题目我没有写出Exploit,因为编码时候里面几个细节处理出错.但对程序的逆向分析已完成,这里就学习一下别人写Exploit的思路.主要参考:绿盟科技网络攻防赛资料下载 0x01 题目要求 题目要求如下: 1.找出Exploit.exe中的漏洞.简单分析漏洞的成因,包括漏洞类型.相关的反汇编或伪C代码以及说明信息等. 2.在开启DEP+ASLR的系统里运行Exploit.弹出计算器. 0x02 漏洞分析 首先脱掉ASPack壳,OEP如下: 使用IDA分析,发现这是一个Socket serv

转:http://static.hx99.net/static/drops/tips-429.html 攻击JavaWeb应用[6]-程序架构与代码审计 园长 · 2013/08/12 16:53 注: 不管多么强大的系统总会有那么些安全问题,影响小的可能仅仅只会影响用户体验,危害性大点的可能会让攻击者获取到服务器权限.这一节重点是怎样去找到并利用问题去获取一些有意思的东西. Before: 有MM的地方就有江湖,有程序的地方就有漏洞.现在已经不是SQL注入漫天的年代了,Java的一些优秀的开源

好久没有到博客写文章了,9月份开学有点忙,参加了一个上海的一个CHINA SIG信息比赛,前几天又无锡南京来回跑了几趟,签了阿里巴巴的安全工程师,准备11月以后过去实习,这之前就好好待在学校学习了. 这段时间断断续续把<加密与解码 第三版>给看完了,虽然对逆向还是一知半解,不过对VMP虚拟机加壳这块有了一点新的认识.这里分享一些笔记和想法,没有新的东西,都是书上还KSSD里看来的,权当笔记和分享,大神勿喷. 准备分成3部分讲一下 1. VM虚拟机简介 2. VM虚拟指令和x86汇编的映射原理

本人第一篇随笔,就以一篇CTF逆向分析的文章开始吧! 链接:http://pan.baidu.com/s/1eS6xFIa 密码:u14d 因为re的分析比较琐碎,所以主要就挑一些重点东西来说. 据说这道题是谷歌的一道题目,然而我觉得题目不算很好,有很大程度上要靠猜测出题人的意图,有为了出题而出题的嫌疑,不过还是首先来上手分析吧 1.首先拿到程序用ida载入,会发现这是一个elf文件,程序的主体结构很简单,首先进入main函数,看到read_button函数,进入. 2.简单分析一下read_b

摘自:http://www.freebuf.com/tools/94777.html 如果你热爱漏洞研究.逆向工程或者渗透测试,我强烈推荐你使用 Python 作为编程语言.它包含大量实用的库和工具,本文会列举其中部分精华. 网络 Scapy, Scapy3k: 发送,嗅探,分析和伪造网络数据包.可用作交互式包处理程序或单独作为一个库.pypcap, Pcapy, pylibpcap: 几个不同 libpcap 捆绑的python库libdnet: 低级网络路由,包括端口查看和以太网帧的转发dp

OD调试6—使未注册版软件的功能得以实现 本节使用的软件下载链接 (想动手试验的朋友可以下载来试试) 继续开始我OD调试教程的学习笔记. 本次试验对真正的程序进行逆向.(之前的都是为破解而专门设计的小程序) 这次试图对一个“太监版”的程序进行完整化,也就是把限制的功能恢复,把阉割的功能添加等等.用到的知识也是之前提到的,但是会有不同的地方. 试验软件:PixtopianBook.exe(一个通讯录软件) 打开原始程序运行,观察界面: 这是一个通讯录软件,老外写的,很显然,当前是未注册版,试验后发