巴特西
首页
Python
Java
PHP
IOS
Andorid
NodeJS
JavaScript
HTML5
手动查找IAT并修复
手动修复IAT
现在我们已经了解了IAT的的工作原理,现在我们来一起学习手动修复IAT,一方面是深入了解运行过程一方面是为了避免遇到有些阻碍自动修复IAT的壳时不知所措. 首先我们用ESP定律找到加了UPX壳后的OEP,现在我们处于OEP处,原程序区段已经解密完毕,我们现在可以进行dump了. 前面已经提到过,有很多dump的工具,OD有一个款插件OllyDump的dump效果也不错,这里我们来使用另外一个工具PE TOOLS来进行dump. PE TOOLS的界面是这样的,我们用PE-TOOLS定位到CRAC
菜鸟脱壳之脱壳的基础知识(六)——手动查找IAT和修复Dump的程序
前面讲了如何寻找OEP和脱壳,有的时候,Dump出来的时候不能正常运行,是因为还有一个输入表没有进行处理,一些加密壳会在IAT加密上面大做文章,用HOOK - API的外壳地址来代替真是的IAT的地址,让脱壳者无法正确的还原程序的原始IAT,使得程序不能被破解,所以我们处理这些被加密IAT的地址的办法是找到加密这些IAT的地址的跳转(就是Magic Jump),将它修改为强制跳转(JMP),使之无法加密IAT,从而达到脱壳修复的目的!因为程序的IAT是连续的排列的,所以我们只需要找到IAT的起始
手工脱壳之FSG压缩壳-IAT表修复
目录 一.工具及壳介绍 二.脱壳 2.1.单步跟踪脱壳 2.2.IAT修复 三.程序脱壳后运行截图 四.个人总结 五.附件 一.工具及壳介绍 使用工具:Ollydbg.PEID.ImportREC.LoadPE FSG壳 2.0: 二.脱壳 2.1.单步跟踪脱壳 因为FSG是压缩壳,所以脱壳最应该尝试的是ESP定律,其次就是单步跟踪,使用OD载入程序,发现入口没有PUSHAD/PUSHFD指令,单步观察堆栈变化 程序一开始并没有保存环境,遇到这种情况单步继续跟踪,发现有解密代码的地方 继续单步跟
百度翻译word-wrap,页面错乱原因查找过程(已修复)
今天群里有人发问, 进入百度翻译http://fanyi.baidu.com/#auto/zh/, 输入word-wrap,发现页面错乱. 寻找错乱原因. 上图 开始查找原因: 1.从请求入手 从chrome的network面板里,能很容易找到翻译请求v2transapi. js语句发起请求,在chrome里能看到发起这个请求的,方法调用堆栈. 2.从方法名入手 如果方法名看不出名堂,直接从最后个方法入手.这里是b6方法,点击进入. 通过chrome自带格式化工具格式化,然后开始设断点,单步调试
天草(初级+中级+高级)VIP和黑鹰VIP破解教程(全部iso下载地址)
以下就是我收集的教程地址,之前我收集到的都是一课一课下载的,虽然这样,我也下载完了天草的全部课程.这里分享的是在一起的iso文件,比起一课课下载爽多了.~~ 还有这些教程都是从零起点开始教的,不用担心学不会.~~ 个人建议先看脱壳~然后看破解的 _________________________________________________________________________________ 黑鹰VIP破解教程(50课时)第一课 破解工具的介绍 第二课
[视频]K8软件破解脱壳入门教程
[视频]K8软件破解脱壳入门教程 链接:https://pan.baidu.com/s/1aV9485MmtRedU6pzyr--Vw 提取码:vbak C:\Users\K8team\Desktop\K8软件脱壳破解教程>tree /f文件夹 PATH 列表卷序列号为 00000200 1AD9:EBF0C:.│ 说明.txt│├─学习手记│ └─破解手记│ │ 16种可用ESP定律脱的壳.txt│ ││ └─脱壳│ ASPACK手
视频格式转换.ZC资料
1.20191013: ZC:这些都是 2015年做的尝试,之前貌似没有记录下来,现在 再次用到,把用到的记录下来: ZC: (1) 使用的视频格式转换工具是 "??/XiGua Yingshi__20190613/视频_格式_转换/魔影工厂_安装之后的压缩文件.rar",现在 在 WIn10x64下使用 也OK. ZC: (2) 使用的 视频信息查看工具是 "??/XiGua Yingshi__20190613/视频_格式_转换/MediaInfo__视频信息查看工具.ra
手脱ACProtect V1.4X(有Stolen Code)之补区段
首先需要说的是,这个壳是ximo大神视频教程里的 0041F000 > pushad ; //程序入口点 0041F001 E8 call NgaMy.0041F007 0041F006 E8 call 0665F48E 0041F00B C3 retn 0041F00C inc ebx 0041F00D D3DA rcr edx,cl 0041F00F BE 75FC1F8F mov esi,8F1FFC75 3.打开内存界面,在”.rdata”处下段,然后shift+F9运行,有些程序可
<;逆向学习第三天>;手动脱FSG壳,修复IAT。
其实对于简单的壳来说,脱壳常用的方法也无非是那几种,但是每种有每种的好处,具体使用那种方法视情况而定,我今天学习的这个壳很简单,但是重点在于修复IAT. 一.查壳: FSG 2.0的壳. 二.脱壳: 上篇随笔所说的3种方法都可以使用,单步法,内存2次镜像,ESP,这里内存2次镜像我们发现没有.rsrc区段,所以我们可以直接从地址为00401000的地方下断点,运行. 脱壳过程这里就不再赘述,最后来到OEP进行脱壳. 看这个特征可以看得出,我们最近脱壳的程序的OEP特征全是这样,典型的VC++程序
脱壳第二讲,手动脱壳PECompact 2.x
脱壳第二讲,手动脱壳PECompact 2.x PS: 此博客涉及到PE格式.所以观看此博客你要熟悉PE格式 首先,逆向inc2l这个工具,汇编中可能会用的 inc头文件转换为lib的工具 但是他有壳,先查壳. 发现是这个壳 利用Esp定律,脱掉这个壳. 首先,inc2l.exe是32位的,所以要放到虚拟机中. 一丶OD打开分析 1.OD分析 发现,首先给eax赋值,然后压栈eax,那么eax肯定会访问,那么我们F8到push eax的下面,也就是4022EA的位置 2.查看栈数据 查看栈数据.
手动脱FSG壳实战
作者:Fly2015 对于FSG壳.之前没有接触过是第一次接触.这次拿来脱壳的程序仍然是吾爱破解论坛破解培训的作业3的程序.对于这个壳折腾了一会儿,后来还是被搞定了. 1.查壳 首先对该程序(吾爱破解培训第一课作业三.exe)进行查壳: watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="&q
手动脱Mole Box V2.6.5壳实战
作者:Fly2015 这个程序是吾爱破解脱壳练习第8期的加壳程序,该程序的壳是MoleBox V2.6.5壳,之前也碰过该种壳但是这个程序似乎要复杂一点. 首先对加壳程序进行侦壳处理. Exeinfo PE侦壳的结果: DIE侦壳的结果,很显然DIE告诉我们被加壳程序的源程序使用Delphi编写的,这个比较有用,对于我们找到程序的真实OEP很有帮助作用. OD载入该加MoleBox V2.6.5壳的程序,入口点汇编的代码如图.看到PUSHAD,我们很自然会想到使用ESP定律进行脱壳.F8单步走到
手动脱KBys Packer(0.28)壳实战
作者:Fly2015 吾爱破解培训第一课选修作业第5个练习程序.在公司的时候用郁金香OD调试该加壳程序的时候出了点问题,可是回家用吾爱破解版的OD一调试,浑身精神爽,啥问题也没有. 首先使用查壳工具对加壳的程序进行查壳操作. watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQv/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt=""&g
GlusterFS数据存储脑裂修复方案最全解析
本文档介绍了glusterfs中可用于监视复制卷状态的heal info命令以及解决脑裂的方法 一. 概念解析 常见术语 名称 解释 Brick GlusterFS 的基本存储单元,由可信存储池中服务器上对外输出的目录表示.存储目录的格式由服务器和目录的绝对路径构成 SERVER:EXPORT Volume 一个卷,在逻辑上由N个bricks组成 Fuse Unix-like OS上的可动态加载的模块,允许用户不用修改内核即可创建自己的文件系统 Glusterd Gluster manageme
深入了解IAT原理
---------------------------编辑时突然死机自动保存也没有用真的痛苦回头补上------------------ 输入表中的这些间接跳转是无法正常运行的,因为在正常情况,操作系统必须知道指向各个API函数名称字符串的指针,然后通过GetProcAddress定位到各个API函数正确的入口地址并填充到IAT中,这样这些间接跳转才能起作用.可我们脱壳之后没有这些指针了自然也就无法运行了. 搞明白了问题下一步就着手重建输入表,下面我们来看看未加壳程序的IAT. 我们来定位该Cr
Linux下查找进程id并强制停止进程的脚本
Linux下的tomcat的停止脚本shutdown.sh经常失败,造成tomcat进程没关闭.所以只能手动查找进程id,然后用kill命令来强制停止.每次都要这样查一下,然后再杀进程.感觉有点麻烦,所以就把这个动作写在了脚本里面. 一.思路 这个脚本其实就2步,先获取进程id,然后 kill 掉这个进程. (1)获取进程id的方法 这个可以用 awk命令来获取 ps -ef | grep 你的进程 | grep -v grep | awk '{print $2}' 1
BK-信息查找、摘取
先了解下压缩文件中的内容: 实现功能: 1.根据"e1.xlsx"表中的dealerName.bu(可能没有).时间,匹配"待挖取信息表.xlsx"中对应的相关数据,匹配成功则直接写在"e1.xlsx"表后(如下图) 2.如果出现多值匹配,则给出提示信息,需要用户针对这些值手动查找确认.[这些信息很可能是有误的,请务必手动确认]如下图: 3.文件time_strict.py实现了以下逻辑:根据匹配到的经销商dealerName.bu信息,在&qu
GStreamer 1.18.4稳定的错误修复版本
GStreamer 1.18.4稳定的错误修复版本GStreamer团队宣布最喜欢的跨平台多媒体框架的稳定的1.18版本系列中的另一个错误修复版本!此版本仅包含错误修复和重要的安全修复程序,并且从1.18.x更新应该是安全的.突出显示的错误修正Highlighted bugfixes:• 重要的安全修复程序,用于ID3标签读取,matroska和Realmedia解析以及gst-libav音频解码• 音频混音器,音频聚合器:输入缓冲区处理修复• encodebin3:改进流选择消息处理• uri
关于《加密与解密》的读后感----对dump脱壳的一点思考
偶然翻了一下手机日历,原来今天是夏至啊,时间过的真快.ISCC的比赛已经持续了2个多月了,我也跟着比赛的那些题目学了2个月.......虽然过程很辛苦,但感觉还是很幸运的,能在大三的时候遇到ISCC,不管怎样,对我来说都会是一个很好的锻炼机会. 在做综合关的逆向破解的题目,遇到了很多蛋疼的问题,磕磕碰碰把<加密与解密>看完了.还是老习惯,把这1个多星期以后学到的,想到的做一个总结,希望能有一个思想上的提高,也希望能对其他人有一个借鉴的效果吧.这里想起lenus大神的一句话: Hacker的精神
深入底层逆向分析TDC‘s keygenme(手脱压缩壳)
系统 : Windows xp 程序 : TDC‘s keygenme 程序下载地址 :http://pan.baidu.com/s/1gdWyt6z 要求 : 脱壳 & 注册机编写 使用工具 :OD & IDA & PEID & LordPE & Import REC 可在“PEDIY CrackMe 2007”中查找关于此程序的分析,标题为“TDC.Crackme10算法分析”. 首先了解一下壳是什么: 作者编好软件后,编译成exe可执行文件. 1.有一些版权信
apk反编译(4)Smali代码注入
转自 : http://blog.sina.com.cn/s/blog_5674d18801019i89.html 应用场景 Smali代码注入只能应对函数级别的移植,对于类级别的移植是无能为力的.具体的说,如果你想修改一个类的继承.包含关系,接口结构等是非常困难的.但对于修改类成员变量访问控制权限,类方法实现,Smali代码注入的方法是可以实现的.这主要是因为Samli级代码的灵活性已经远低于java源代码,而且经过编译优化后,更注重程序的执行效率. Smali代码注入 本质上讲,Smal
热门专题
mybatis的collection只有一个字段
STM32怎么让PWM停止
ANDROID STUDIO 3.5.2第一个用例
make 命令不补全
VUE全家桶高仿小米商城
input加cursor不生效
构造方法的this()
js 实现滚轮懒加载
SpringBoot 静态资源 nginx反向代理404
php 导出word 内嵌图片
rsync 1TB 文件
无线网频道12 13是什么
arcgis engine 添加点
nltk安装三种方法
System.IO.MemoryStream 保存excel
ubuntu 开机30s等待
while循环中如果是赋值怎么办
office 2016 下载 激活
ideal中新建springboot项目没有模板
linux 不能挂载超级块