当前位置:网站首页>逆向学习笔记(一)

逆向学习笔记(一)

2022-07-16 01:19:00 向往生

背景

花了1500报了一个暑期学习班,重新从基础开始学习逆向

笔记第0课

关于学习方法的课:

1.按顺序学习,不要遗漏知识点,稳扎稳打,走得更远

2.善于思考,观察;

3.学习之后要练习,要提问。

第一课

1.通常exe的启示地址是0x401000;

2.EXE和DLL的区别:结构相同,但exe可以直接运行,DLL是可被exe调用的库函数;

3.系统领空和程序领空的区别

4.未运行时,可以通过光标点击CALL 函数,回车进入查看,小键盘-号返回

6.MessageBoxA是系统弹窗函数,可在此设置断点,在弹出之前断下来;

7.在Command窗口输入:?MessageBoxA,可以查到它的绝对地址;

8.Ctrl+G可以跳转到制定地址,相当于是goto;

第三课

1.破解95%是在根据零碎信息猜测开发者的程序流程;

2.Ctrl+N(Alt+E)呼出“模块”窗口,可以看到程序调用的DLL以及DLL里的API,输如函数名可以筛选。

 下断点的几种方式:

1.F2;

2.在命名窗口输入:bp 函数标识(绝对地址)

第四课

F9运行

通过两种方式切入:

1.搜索字符串,双击进入程序代码段;

2.通过系统函数如MessageBoxA下断点,在右下角的堆栈窗口,看到调用函数,Enter进入

到了关键函数代码段后,点击函数段首,OD会有一个“转到CALL来自,就进入他的上级调用函数”

3.修改跳转条件,使程序不进入失败(则会进入成功);

4.修改的方式是:将跳到此处的条件跳转,改为nop,不发生跳转,或是找到成功的位置,将有条件跳转转为JMP无条件跳转

5.导出:右键,“复制到可执行文件”,保存所有修改,右键,保存文件,存为新的exe即可。

作业已完成(2022年7月15日07:58:48)

原网站

版权声明
本文为[向往生]所创,转载请带上原文链接,感谢
https://blog.csdn.net/qq_20031585/article/details/125795285

边栏推荐

猜你喜欢

随机推荐