逆向学习笔记
Posted 向往生
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了逆向学习笔记相关的知识,希望对你有一定的参考价值。
背景
花了1500报了一个暑期学习班,重新从基础开始学习逆向
笔记第0课
关于学习方法的课:
1.按顺序学习,不要遗漏知识点,稳扎稳打,走得更远
2.善于思考,观察;
3.学习之后要练习,要提问。
第一课
1.通常exe的启示地址是0x401000;
2.EXE和DLL的区别:结构相同,但exe可以直接运行,DLL是可被exe调用的库函数;
3.系统领空和程序领空的区别
4.未运行时,可以通过光标点击CALL 函数,回车进入查看,小键盘-号返回。
6.MessageBoxA是系统弹窗函数,可在此设置断点,在弹出之前断下来;
7.在Command窗口输入:?MessageBoxA,可以查到它的绝对地址;
8.Ctrl+G可以跳转到制定地址,相当于是goto;
第三课
1.破解95%是在根据零碎信息猜测开发者的程序流程;
2.Ctrl+N(Alt+E)呼出“模块”窗口,可以看到程序调用的DLL以及DLL里的API,输如函数名可以筛选。
下断点的几种方式:
1.F2;
2.在命名窗口输入:bp 函数标识(绝对地址)
第四课
F9运行
通过两种方式切入:
1.搜索字符串,双击进入程序代码段;
2.通过系统函数如MessageBoxA下断点,在右下角的堆栈窗口,看到调用函数,Enter进入
到了关键函数代码段后,点击函数段首,OD会有一个“转到CALL来自,就进入他的上级调用函数”
3.修改跳转条件,使程序不进入失败(则会进入成功);
4.修改的方式是:将跳到此处的条件跳转,改为nop,不发生跳转,或是找到成功的位置,将有条件跳转转为JMP无条件跳转。
5.导出:右键,“复制到可执行文件”,保存所有修改,右键,保存文件,存为新的exe即可。
作业已完成(2022年7月15日07:58:48)
以上是关于逆向学习笔记的主要内容,如果未能解决你的问题,请参考以下文章