bbin现金官网
bbin现金官网 关于我们 业务领域 新闻中心 在线留言 联系我们
 

联系我们

网址: bbin现金官网

地址: 东莞市高埗镇振兴北路华宏西街1号

 

黑客老鸟讲逆向分析:逆向分析技术全揭秘




作者:bbin现金官网     发布时间:2021-02-28 11:18

  讲到逆向,更多的人都是考虑到既然是逆向那就应该反着来推或者相反,其实则不然,这里我们要讲的是为了更深入的研究windows编写机制,更好的研究他们的安全,谁让微软这么保守虽然曾经流出过windows的部分代码.....

  【专家特稿】经过前几课的学习,我们现在开始正式开讲逆向分析。逆向分析技术是指通过分析反汇编代码来理解其代码功能,如各接口的数据结构等,然后用高级语言重新描述这段代码,逆向推出原软件的思路。下面从函数的调用、循环、控制语句等方面分析。

  如果确定某段代码是循环,就可以分析其计数器,一般是用ecx寄存器做计数器。

  用户模式调试器是指用来调试用户模式的应用程序,工作在Ring 3级。(例如VC++编译器调试器)

  内容模式调试器是指能调试系统内核的调试器,工作在Ring 0级。(例如SoftICE、OllDBG)

  F2:设置断点,只要在光标定位的位置(上图中灰色条)按F2键即可,再按一次F2键则会删除断点。

  F8:单步步过。每按一次这个键执行一条反汇编窗口中的一条指令,遇到 CALL 等子程序不进入其代码。

  F7:单步步入。功能同单步步过(F8)类似,区别是遇到 CALL 等子程序时会进入其中,进入后首先会停留在子程序的第一条指令上。

  F9:运行。按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。

  CTR+F9:执行到返回。此命令在执行到一个 ret (返回指令)指令时暂停,常用于从系统领空返回到我们调试的程序领空。

  ALT+F9:执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空。

  一种是final型的,这是在异常未能得到线程相关处理例程处理操作系统在即将关闭程序之前会回调的例程,这个例程是进程相关而不是线程相关的,因此无论是哪个线程发生异常未能被处理都会调用这个例程.

  当Windows检测到异常时,执行线程立即被中断 ,处理从用户模式转向了内核模式,控制权交给了异常调试程序,它负责查找处理新异常的方法。

  对于比较关键的API,可以检测其是否被设置了断点,即检查该API的入口的第一个字节是否为Int 3指令。

  花指令是一堆汇编指令组成,对于程序来说,是一堆废话,加不加花指令都不影响程序的正常运行.编写的花指令要终始保持堆栈的平衡。花指令的作用是干扰反汇编。

  子明最近一直在研究有关逆向分析的技术。上面的就是我的一点研究,不知道大家是否还能够满意。我以后还会为大家服务,写出更加通俗易懂的文章来。

bbin现金官网



  • 上一篇:广元到元坝区返空车货运平台4米2、6米8、9米6、
  • 下一篇:逆向分析
  •  
    24小时咨询热线:
    bbin现金官网 关于我们 业务领域 新闻中心 在线留言 联系我们 网站地图
     
     
    手机:  地址:东莞市高埗镇振兴北路华宏西街1号
    ©2018 东莞市天发物流公司 版权所有