逆向破解笔记
申请ID:木翼光申请邮箱:Solomonhot@foxmail.com
原创文章:逆向破解笔记:
系统:win7
这些笔记是我学习中遇到的问题,解决方法来自网络搜索。希望和我一样的新手可以方便知道哪里出错。
问题
1.
OD调试时,有时候滚动鼠标滚轮,同一地址的处的汇编代码发生变化。
关掉系统的ASLR保护后好了一些,还是有几个程序偶尔跳转还会有这种情况,不过单走几步就恢复了。
一、注册表关闭aslr:
"MoveImages"=dword:00000000
二、EMET软件关闭
2.
某几个程序代码显示的问题,见图,跳到oep时汇编语言显示的很乱,分析代码也没有用,虽然这样壳还是能顺利脱下来的。
至今无解。。。。
3.
CreateFileA下断点,程序跑飞
当bp CreateFileA下段时,见图可以看到段在了KernelBa模块中,而不是在kernel32模块
解决:用绝对定位bp kernel32.CreateFileA
5.
最后一次异常法,教程是2次跑飞,我试了是4次跑飞,所以第3次停止,转到SE,接下来代码就乱跑了,
根本就到不了OEP。最后我根据SE句柄消失的次数计算,假设SE句柄第n次时消失,那么n-1次时应该停止
,就能找到OEP了。
其他:
001.
MOV EDI, EDI的作用
系统库函数的代码时都是从一条MOV EDI, EDI指令开始的这是为了实现hot-patching技术,运行时修改一个函数的行为。
90 NOP
90 NOP
90 NOP
90 NOP
90 NOP
8BFF MOV EDI,EDI
999.
快捷键:
Ctrl+F9 运行至ret
Alt+F9 运行至上层调用的下句
Shift+F9 忽略异常运行
最后是我自己的对称文桌面:lol
抱歉,未能达到申请要求,申请不通过,可以关注论坛官方微信(吾爱破解论坛),等待开放注册通知。
页:
[1]