逆向破解笔记

申请ID：木翼光
申请邮箱：Solomonhot@foxmail.com
原创文章：逆向破解笔记：

系统：win7
这些笔记是我学习中遇到的问题，解决方法来自网络搜索。希望和我一样的新手可以方便知道哪里出错。

问题
1.
OD调试时，有时候滚动鼠标滚轮，同一地址的处的汇编代码发生变化。
关掉系统的ASLR保护后好了一些，还是有几个程序偶尔跳转还会有这种情况，不过单走几步就恢复了。
一、注册表关闭aslr：
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Memory Management]
"MoveImages"=dword:00000000
二、EMET软件关闭



2.
某几个程序代码显示的问题，见图，跳到oep时汇编语言显示的很乱，分析代码也没有用，虽然这样壳还是能顺利脱下来的。
至今无解。。。。


3.
CreateFileA下断点，程序跑飞
当bp CreateFileA下段时，见图可以看到段在了KernelBa模块中，而不是在kernel32模块
解决：用绝对定位bp kernel32.CreateFileA
     

5.
最后一次异常法，教程是2次跑飞，我试了是4次跑飞，所以第3次停止，转到SE，接下来代码就乱跑了，
根本就到不了OEP。最后我根据SE句柄消失的次数计算，假设SE句柄第n次时消失，那么n-1次时应该停止
，就能找到OEP了。


其他：
001.
MOV EDI, EDI的作用
系统库函数的代码时都是从一条MOV EDI, EDI指令开始的这是为了实现hot-patching技术，运行时修改一个函数的行为。
90            NOP
90            NOP
90            NOP
90            NOP
90            NOP
8BFF          MOV EDI,EDI

999.
快捷键：
Ctrl+F9 运行至ret
Alt+F9 运行至上层调用的下句
Shift+F9 忽略异常运行




最后是我自己的对称文桌面

Hmily

抱歉，未能达到申请要求，申请不通过，可以关注论坛官方微信（吾爱破解论坛），等待开放注册通知。