备忘录

凡心所向,素履以往,生如逆旅,一苇以航。

发表于 分类于

对壳一无所知的情况下,通过简单的操作完成程序的脱壳,从而增加成就感,获得学习的乐趣及动力;

使用工具

  • OllyDbg 1.10原版,简称OD
  • OD 汉化插件均来自互联网;
  • 加壳工具使用了UPX,感谢 🙏 开源,以及 ASPACK:收费软件,可以试用;
  • UnPackMe来自互联网,仅供学习使用;
  • 文中特殊数字均是HEX,为了书写方便采用DEC
    阅读全文 »

发表于 分类于

记录逆向工程核心原理加密解密Windows PE 权威指南等书中对 PE 文件格式的部分描述,眼过千遍不如手过一遍,加强学习,同时作为备忘,初始对很多内容理解不够深刻且容易忘记,日后需多加复习和练习;

使用工具

  • OllyDbg 1.10原版,简称OD
  • OD 汉化插件均来自互联网;
  • WinHex来自互联网;
  • 文中特殊数字均是HEX,为了书写方便采用DEC
阅读全文 »

发表于 分类于

之前分析过这个 CrackMe(参见:VB 调试之分析 N-Code(一)),需要借助修改版的 OD 才能去除 NAG 窗口,在阅读逆向工程核心原理一书后,学到了一种新的技巧,记录下来;

使用工具

  • OllyDbg 1.10原版,简称OD
  • OD 汉化插件均来自互联网;
  • CrackMe来自互联网,仅供学习使用;
  • 文中特殊数字均是HEX,为了书写方便采用DEC
阅读全文 »

发表于 分类于

初识简单了解一下 VB,相信随着深入的学习,对它的了解会更多,理解会更深;

P-Code Packed Code 压缩代码

  • 4.0 以前
  • 运行时,动态链接库(DLL)将翻译或解释执行程序中的指令;
  • 解释器 MSVBVM50.DLL 和 MSVBVM60.DLL

N-Code Native Code 本机代码

  • 5.0 以后
  • 改善 VB 的运行速度
  • 但还是需要 MSVBVM60.DLL,因为许多函数本体放在 MSVBVM60.DLL 里面,需要不断地 CALL 其中的函数,不过,这时候的 MSVBVM60.DLL 就不承担解释执行的任务了,只是充当一般的 DLL;
阅读全文 »

发表于 分类于

异常处理流程图

懒得折腾了,更新就挂,看图最靠谱;

已经写好Mermaid的语法,准备输出流程图了,发现Hexomermaid插件已是多年前的产物,不兼容最新的版本,无奈只能用draw.io画了张图;

最稳妥的方案是根据官方文档定义 mermaid 语法块,而不是使用 markdown 语法,例如:

1
2
3
4
5
6
7
{% mermaid graph TD %}
  A[test] -->|Get money| B(Go shopping)
  B --> C{Let me think}
  C -->|One| D[Laptop]
  C -->|Two| E[iPhone]
  C -->|Three| F[fa:fa-car Car]
{% endmermaid %}
graph TD
A["系统发现产生了一个异常"] --> B{"程序是否正在被调试"}
B --> |"是,程序正在被调试"| C{"权限转给调试器,并判断调试器是否忽略了异常"}
C --> |"是,忽略了"| D{"程序是否安装 SEH"}
D --> |"是,安装了"| E{"SEH 是否解决异常"}
E --> |"是,解决了"| F["程序可以继续正常运行"]
B --> |"否,程序没有被调试"| D
C --> |"否,未忽略,但未能解决异常"| G["系统默认异常处理流程"]
D --> |"否,未安装"| G
E --> |"否,未解决"| G

图片镇楼:

图片镇楼

阅读全文 »