备忘录

OEP：当外壳保护的程序运行时，会先执行外壳程序，外壳程序负责在内存中把原程序解压、还原，并把控制权还给解压后的真正程序，再跳到原来程序的入口点，这个解压后真正程序的入口点称为 OEP（Original Entry Point，原始入口点）；

EP：与 OEP 对应的是 EP（Entry Point，入口点），无壳程序的 EP 与 OEP 相同，加壳程序的 EP 是壳的入口点，而不是原程序的入口点；

使用工具

• OllyDbg 1.10原版，简称OD；
• OllyDbg修改版，简称OD；
• OD 汉化和插件均来自互联网；
• UnPackMe来自互联网，仅供学习使用；
• 文中特殊数字均是HEX，为了书写方便采用DEC；
  阅读全文 »

对壳一无所知的情况下，通过简单的操作完成程序的脱壳，从而增加成就感，获得学习的乐趣及动力；

使用工具

• OllyDbg 1.10原版，简称OD；
• OD 汉化和插件均来自互联网；
• 加壳工具使用了UPX，感谢 🙏 开源，以及 ASPACK：收费软件，可以试用；
• UnPackMe来自互联网，仅供学习使用；
• 文中特殊数字均是HEX，为了书写方便采用DEC；
  阅读全文 »

使用工具

• OllyDbg 1.10原版，简称OD；
• OD 汉化和插件均来自互联网；
• CrackMe 和 opcodes.txt来自互联网，仅供学习使用；
• 文中特殊数字均是HEX，为了书写方便采用DEC；
  阅读全文 »

记录逆向工程核心原理、加密解密、Windows PE 权威指南等书中对 PE 文件格式的部分描述，眼过千遍不如手过一遍，加强学习，同时作为备忘，初始对很多内容理解不够深刻且容易忘记，日后需多加复习和练习；

使用工具

• OllyDbg 1.10原版，简称OD；
• OD 汉化和插件均来自互联网；
• WinHex来自互联网；
• 文中特殊数字均是HEX，为了书写方便采用DEC；

之前分析过这个 CrackMe（参见：VB 调试之分析 N-Code（一）），需要借助修改版的 OD 才能去除 NAG 窗口，在阅读逆向工程核心原理一书后，学到了一种新的技巧，记录下来；

使用工具

• OllyDbg 1.10原版，简称OD；
• OD 汉化和插件均来自互联网；
• CrackMe来自互联网，仅供学习使用；
• 文中特殊数字均是HEX，为了书写方便采用DEC；

使用工具

• OllyDbg 1.10原版，简称OD；
• OD 汉化和插件均来自互联网；
• VB 静态分析工具exdec来自互联网；
• CrackMe来自互联网，仅供学习使用；
• 文中特殊数字均是HEX，为了书写方便采用DEC；
  阅读全文 »

使用工具

• OllyDbg 1.10原版，简称OD；
• OllyDbg修改版，简称OD；
• OD 汉化和插件均来自互联网；
• CrackMe来自互联网，仅供学习使用；
• 文中特殊数字均是HEX，为了书写方便采用DEC；
  阅读全文 »

使用工具

• OllyDbg修改版，简称OD；
• OD和插件均来自互联网；
• CrackMe来自互联网，仅供学习使用；
• 文中特殊数字均是HEX，为了书写方便采用DEC；
  阅读全文 »

使用工具

• OllyDbg修改版，简称OD；
• OD 汉化和插件均来自互联网；
• CrackMe来自互联网，仅供学习使用；
• 文中特殊数字均是HEX，为了书写方便采用DEC；
  阅读全文 »

初识简单了解一下 VB，相信随着深入的学习，对它的了解会更多，理解会更深；

P-Code Packed Code 压缩代码

• 4.0 以前
• 运行时，动态链接库（DLL）将翻译或解释执行程序中的指令；
• 解释器 MSVBVM50.DLL 和 MSVBVM60.DLL

N-Code Native Code 本机代码

• 5.0 以后
• 改善 VB 的运行速度
• 但还是需要 MSVBVM60.DLL，因为许多函数本体放在 MSVBVM60.DLL 里面，需要不断地 CALL 其中的函数，不过，这时候的 MSVBVM60.DLL 就不承担解释执行的任务了，只是充当一般的 DLL；