IDA系列教程:IDA使用方法
0x01 判断32位还是64位程序来选择不同位数的IDA进行分析 64位程序可以看到“PE..d†”,32位程序可以看到“PE..L“。 0x02 操作 使用 ”空格键“ 来切换图形模式和指令模式 使用”options-debuging options-line prefixes“来对图形化界面指令前添加地址。 使用”view-open subv……
03-31 立刻查看
逆向知识点:程序入口点与Main/WinMain函数
设有一个Win32下的可执行文件MyApp.exe,这是一个Win32应用程序,符合标准的PE格式。 MyApp.exe的主要执行代码都集中在其源文件MyApp.cpp中,该文件第一个被执行的函数是WinMain。 初学者会认为程序就是首先从这个WinMain函数开始执行,其实不然。 在WinMain函数被执行之前,有一系列复杂的加载动作,还要……
01-06 立刻查看
OD攻略:调用堆栈、交叉引用
查看调用堆栈:ALT + K OD分析时,经常用到栈回溯方法。假设我们在一个函数的入口点 使用ALT + K查看此函数的父级调用。 堆栈调用窗口显示的每一行,代表从上一层函数,进入当前函数的入口,这个功能缺点就是只能在程序运行到某个函数中,并且断下来后,才能使用。 CTRL + K 假设我们有这样的需求,我不想运……
07-20 立刻查看
逆向推荐: 逆向专用虚拟机FLARW VM
一、前言 FLARE VM是一款以Windows为基础的免费开源的虚拟机,专为逆向分析工程师、恶意软件分析研究员、事件响应人员、安全取证人员以及渗透测试者设计。FLARE VM借鉴了基于Linux的安全开源发行版的思想(如Kali Linux、REMnux以及其他Linux发行版),提供了经过全面配置的一个平台,全面集成了Windows安全工具,包括调试器、……
04-30 立刻查看