学破解--------脱壳8大法(一)ESP定律
学破解——–脱壳8大法(一)ESP定律萌新学习逆向破解,本教程学于学破解—-Shark恒
学习是一条长途跋涉,莫被沿途的风景迷惑心智。
个人博客:https://ctf101.gitee.io/
CSDN博客:https://blog.csdn.net/qq_45616570?spm=1000.2115.3001.5343
交流群:750092226
破解视频
## 查壳
将文件拖入PEID,查看是否带壳或者是什么壳,本次查到的是ASPack 2.12的壳。
查看编译语言将文件拖入DIE,查看软件是什么语言编译的,发现是用Microsoft Visual C/C++(2003)编写的软件。
ESP定律查壳和查编译语言之后,将文件载入OD,如下图所示:
什么时候可以使用ESP定律载入OD后看到汇编指令pushed指令,摁F8调试一下,发现寄存器窗口,仅有ESP寄存器是红色的,此时可以采用ESP定律。
脱壳前准备选中ESP寄存器内容右键—-》在数据窗口中跟随
点击数据窗口,我们更换数据位置的话,再次点击数据跟随都会定位到同一个地方。
选中任意数据个数均可(从数据跟随到的地方) ...
学破解--------壳内寻找注册码
学破解——–壳内寻找注册码萌新学习逆向破解,本教程学于学破解—-Shark恒
学习是一条长途跋涉,莫被沿途的风景迷惑心智。
个人博客:https://ctf101.gitee.io/
CSDN博客:https://blog.csdn.net/qq_45616570?spm=1000.2115.3001.5343
交流群:750092226
问题本次的问题是一个有壳的程序,点击购买按钮后,输入用户名,接着输入注册码,系统会重新启动,但是还是未购买
思路分析:因为软件会对输入用户生成对应的注册码,系统生成的注册码与我们输入的进行对比,正确则是购买成功,否则失败。我们先输入好辨认的的注册码,方便带壳查找时好作为标记点。
破解过程查壳使用PEID进行查壳,本次的软件是带有壳的,我们的目的是带壳实现注册。
导入OD
定位带壳关键地址定位带壳关键地址41000,41000是80%带壳程序的汇编开始地方
注:
出现上图情况,我们我们应当右键—》分析—》从模块中删除分析
变为汇编代码:
定位关键字符串程序出现汇编代码后,我们可以去定位字符串“未购买”
点击插件—》中文搜索引擎—-》智能搜索 ...
学破解--------JMP法破解
学破解——–JMP法破解萌新学习逆向破解,本教程学于学破解—-Shark恒
学习是一条长途跋涉,莫被沿途的风景迷惑心智。
个人博客:https://ctf101.gitee.io/
CSDN博客:https://blog.csdn.net/qq_45616570?spm=1000.2115.3001.5343
交流群:750092226
问题本次的问题是对一个加密视频进行破解,当点击视频后,出现密码框,密码不正确,会提示:“Password Wrong!”
破解过程查壳使用PEID进行查壳,本次的软件是脱壳之后的
将软件导入PEID,发现是没有加壳的。
导入OD
将项目导入OD这个软件,点击—-》插件—》中文搜索引擎—-》智能搜索
搜索字符串在软件中我们得到的提示是“**Password Wrong!**”
我们发现在智能搜索里的文本字符串可能是分行显示的,所以我们直接搜索“Password”,定位到提示语。
分析对应字符串汇编指令在智能搜索里找到的关键字符,双击进入汇编指令
分析附近汇编指令发现:
0040203F /74 15 je short 某 ...
学破解--------NOP法破解
学破解——–NOP法破解萌新学习逆向破解,本教程学于学破解—-Shark恒
学习是一条长途跋涉,莫被沿途的风景迷惑心智。
个人博客:https://ctf101.gitee.io/
CSDN博客:https://blog.csdn.net/qq_45616570?spm=1000.2115.3001.5343
交流群:750092226
问题解决一个登录问题,如果密码不正确就会登录失败,登录失败的第三次,软件就自动关闭了。
破解过程破解最主要的是:明白这个软件的运行流程是什么?
查壳使用PEID进行查壳,本次的软件是脱壳之后的
将软件导入PEID,发现是没有加壳的。
导入OD
将项目导入OD这个软件,点击—-》插件—》中文搜索引擎—-》智能搜索
搜索字符串在软件中我们得到是“用户密码错误还有1机会”
错误搜索错误的搜索是我们直接搜索整个报错信息:“用户密码错误还有1机会”,这样是搜不到东西的,如下图:
正确搜索我们发现在智能搜索里的文本字符串可能是分行显示的,所以我们直接搜索“密码错误”,定位到提示语。
分析对应字符串汇编指令在智能搜索里找到的关键字符,双击进入汇编指令
分 ...
学破解--------初识破解
学破解——–初识破解萌新学习逆向破解
学习是一条长途跋涉,莫被沿途的风景迷惑心智。
个人博客:https://ctf101.gitee.io/
CSDN博客:https://blog.csdn.net/qq_45616570?spm=1000.2115.3001.5343
交流群:750092226
认识ODCPU区从左侧分别是数据地址,16进制机器码,反汇编代码,注释
寄存器(FPU)区显示的是寄存器中的内容
信息框这个窗口很重要的,很多人都忽略它,它可以显示api的参数
ASCII区(数据)这个区域中包括地址(地址(0x0046FFFFH)是接着反汇编区的地址的,从0x00470000H开始) 注:H是16进制
hex数据代表的是数据的16进制编码
ASCII代表的是数据的ASCII编码
堆栈面板窗口这个区域表示堆栈中的内容,ESP指向的数据,栈很重要,各种api函数和子程序都利用它传递参数
案例1分析本案例是一个简单exe文件,当密码输入错误的时候,提示登录失败,我们的目的是绕过登录失败。
exe文件
账号和密码输入错误会提示登录失败
破解exe文件
将exe文件导入 ...