![Microsoft Visual C++ 6.0
00496EB8 >/$ 55 PUSH EBP ; (初始 cpu 选择)
00496EB9 |. 8BEC MOV EBP,ESP
00496EBB |. 6A FF PUSH -1
00496EBD |. 68 40375600 PUSH Screensh.00563740
00496EC2 |. 68 8CC74900 PUSH Screensh.0049C78C ; SE 处理程序安
00496EC7 |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0]
00496ECD |. 50 PUSH EAX
00496ECE |. 64:8925 00000>MOV DWORD PTR FS:[0],ESP
00496ED5 |. 83EC 58 SUB ESP,58](https://image.slidesharecdn.com/2-150728061037-lva1-app6892/85/-85-320.jpg)
![Microsoft Visual Basic 5.0 / 6.0
00401166 - FF25 6C104000 JMP DWORD PTR DS:[<&MSVBVM60.#100>] ;
MSVBVM60.ThunRTMain
0040116C > 68 147C4000 PUSH PACKME.00407C14
00401171 E8 F0FFFFFF CALL <JMP.&MSVBVM60.#100>
00401176 0000 ADD BYTE PTR DS:[EAX],AL
00401178 0000 ADD BYTE PTR DS:[EAX],AL
0040117A 0000 ADD BYTE PTR DS:[EAX],AL
0040117C 3000 XOR BYTE PTR DS:[EAX],AL](https://image.slidesharecdn.com/2-150728061037-lva1-app6892/85/-86-320.jpg)
![BC++
0040163C > $ /EB 10 JMP SHORT BCLOCK.0040164E
0040163E |66 DB 66 ; CHAR 'f'
0040163F |62 DB 62 ; CHAR 'b'
00401640 |3A DB 3A ; CHAR ':'
00401641 |43 DB 43 ; CHAR 'C'
00401642 |2B DB 2B ; CHAR '+'
00401643 |2B DB 2B ; CHAR '+'
00401644 |48 DB 48 ; CHAR 'H'
00401645 |4F DB 4F ; CHAR 'O'
00401646 |4F DB 4F ; CHAR 'O'
00401647 |4B DB 4B ; CHAR 'K'
00401648 |90 NOP
00401649 |E9 DB E9
0040164A . |98E04E00 DD OFFSET BCLOCK.___CPPdebugHook
0040164E > A1 8BE04E00 MOV EAX,DWORD PTR DS:[4EE08B]
00401653 . C1E0 02 SHL EAX,2
00401656 . A3 8FE04E00 MOV DWORD PTR DS:[4EE08F],EAX
0040165B . 52 PUSH EDX
0040165C . 6A 00 PUSH 0 ; /pModule = NULL
0040165E . E8 DFBC0E00 CALL <JMP.&KERNEL32.GetModuleHandleA> ; GetModuleH
00401663 . 8BD0 MOV EDX,EAX
-----------------------------------------------------------------------------------------------](https://image.slidesharecdn.com/2-150728061037-lva1-app6892/85/-87-320.jpg)
![Borland Delphi 6.0 - 7.0
00509CB0 > $ 55 PUSH EBP
00509CB1 . 8BEC MOV EBP,ESP
00509CB3 . 83C4 EC ADD ESP,-14
00509CB6 . 53 PUSH EBX
00509CB7 . 56 PUSH ESI
00509CB8 . 57 PUSH EDI
00509CB9 . 33C0 XOR EAX,EAX
00509CBB . 8945 EC MOV DWORD PTR
SS:[EBP-14],EAX
00509CBE . B8 20975000 MOV
EAX,unpack.00509720
00509CC3 . E8 84CCEFFF CALL unpack.
0040694C](https://image.slidesharecdn.com/2-150728061037-lva1-app6892/85/-88-320.jpg)
![易语⾔言⼊入⼝口
00401000 > E8 06000000 call dump_.0040100B
00401005 50 push eax
00401006 E8 BB010000 call <jmp.&KERNEL32.ExitProcess>
0040100B 55 push ebp
0040100C 8BEC mov ebp,esp
0040100E 81C4 F0FEFFFF add esp,-110
00401014 E9 83000000 jmp dump_.0040109C
00401019 6B72 6E 6C imul esi,dword ptr ds:[edx+6E],6C
0040101D 6E outs dx,byte ptr es:[edi]](https://image.slidesharecdn.com/2-150728061037-lva1-app6892/85/-89-320.jpg)
逆向工程入門
- 2. ⾸首先……
- 6. 把該記的好好記住
- 9. 貼⼼心提醒
- 10. 在聊天的過程中.....
- 11. 有什麼問題隨時舉⼿手提問
- 12. 可以睡覺 但是打呼不要吵到⼈人
- 13. 聊天不要⽐比我⼤大聲
- 14. 請不要拿垃圾丟 我 !!!! <(_ _)> m(_ _)m <(_ _)>
- 15. P.S 這次會有很多很多很多的Live demo 所以如果不幸凸槌請不要揍我QQ <(_ _)> m(_ _)m <(_ _)>
- 16. ⼤大家好~ 我是腿⾻骨
- 17. About Me 撰寫BY PASS Hackshield TDOHacker 南區召集⼈人 SITCON 2014/2015 short talk 講者
- 19. 然後我的實際⾝身分……..
- 20. 是個廚師
- 29. 本⽇日課程
- 30. 逆向基礎詳解 1.OLLYDBG實作演練 Crack me破解 商業軟體010Editor破解 2.IDA實作演練 Crack me破解 商業軟體010Editor破解 3.Cheat engine實作演練 植物⼤大戰殭屍分析修改
- 31. ASM惡補!!!!!
- 32. 暫存器⽤用途 暫存器名稱 位元暫存器 EAX,EBX,ECX,EDX 索引暫存器 ESI,EDI 堆疊、基底暫存器 ESP,EBP 指位/指標暫存器 EIP 旗標暫存器 AF:輔助進位旗標 CF:進位旗標 OF:溢位旗標
- 33. 指令 ⽤用途 jmp 地址 無條件跳轉到某地址 je 地址 如果暫存器ZF=1就跳轉 jne 地址 如果暫存器ZF=0就跳轉 add 數值A,數值B 把數值B加到數值A 數值A可為地址 call 地址 把返回地址壓進堆疊 之後跳轉到地址 mov 內容A,內容B 把內容B複製到內容A cmp 內容A,內容B ⽐比較地址A跟地址B的內容,並將結果反映在 旗標上 nop 不做任何動作
- 34. jmp
- 35. je
- 36. je
- 37. Jne/jnz
- 38. Jne/jnz
- 43. 1.OLLYDBG實作演練
- 44. OLLYDBG介紹 OllyDbg 是⼀一種具有可視化介⾯面 的 32 位彙編-分析偵錯器。它的 特別之處在於可以在沒有來源碼 時解決問題,並且可以處理其它 編譯器無法解決的難題。
- 45. OLLYDBG介⾯面介紹
- 58. MessageBoxA(NULL,”標題”,”內容”,NULL); push 0 push 內容 push 標題 push 0 CALL MessageBoxA
- 60. 實際破解DEMO
- 61. 實作時間……….
- 63. 2.IDA PRO實作演練
- 66. 實際破解DEMO
- 67. 實作時間……….
- 74. 再來,開始⽰示範上⾯面那些功能
- 75. 今天就拿它來開⼑刀……..
- 76. 植物⼤大戰殭屍
- 77. 實際破解DEMO
- 78. 實作時間……….
- 80. 為什麼我要講這麼多⼯工具呢?
- 81. 怎麼⼤大幅度加快分析效率?
- 82. 組合技!!!!
- 83. 逆向冷知識
- 84. 每種語⾔言的⼊入⼝口點都不⼀一樣
- 85. Microsoft Visual C++ 6.0 00496EB8 >/$ 55 PUSH EBP ; (初始 cpu 选择) 00496EB9 |. 8BEC MOV EBP,ESP 00496EBB |. 6A FF PUSH -1 00496EBD |. 68 40375600 PUSH Screensh.00563740 00496EC2 |. 68 8CC74900 PUSH Screensh.0049C78C ; SE 处理程序安 00496EC7 |. 64:A1 0000000>MOV EAX,DWORD PTR FS:[0] 00496ECD |. 50 PUSH EAX 00496ECE |. 64:8925 00000>MOV DWORD PTR FS:[0],ESP 00496ED5 |. 83EC 58 SUB ESP,58
- 86. Microsoft Visual Basic 5.0 / 6.0 00401166 - FF25 6C104000 JMP DWORD PTR DS:[<&MSVBVM60.#100>] ; MSVBVM60.ThunRTMain 0040116C > 68 147C4000 PUSH PACKME.00407C14 00401171 E8 F0FFFFFF CALL <JMP.&MSVBVM60.#100> 00401176 0000 ADD BYTE PTR DS:[EAX],AL 00401178 0000 ADD BYTE PTR DS:[EAX],AL 0040117A 0000 ADD BYTE PTR DS:[EAX],AL 0040117C 3000 XOR BYTE PTR DS:[EAX],AL
- 87. BC++ 0040163C > $ /EB 10 JMP SHORT BCLOCK.0040164E 0040163E |66 DB 66 ; CHAR 'f' 0040163F |62 DB 62 ; CHAR 'b' 00401640 |3A DB 3A ; CHAR ':' 00401641 |43 DB 43 ; CHAR 'C' 00401642 |2B DB 2B ; CHAR '+' 00401643 |2B DB 2B ; CHAR '+' 00401644 |48 DB 48 ; CHAR 'H' 00401645 |4F DB 4F ; CHAR 'O' 00401646 |4F DB 4F ; CHAR 'O' 00401647 |4B DB 4B ; CHAR 'K' 00401648 |90 NOP 00401649 |E9 DB E9 0040164A . |98E04E00 DD OFFSET BCLOCK.___CPPdebugHook 0040164E > A1 8BE04E00 MOV EAX,DWORD PTR DS:[4EE08B] 00401653 . C1E0 02 SHL EAX,2 00401656 . A3 8FE04E00 MOV DWORD PTR DS:[4EE08F],EAX 0040165B . 52 PUSH EDX 0040165C . 6A 00 PUSH 0 ; /pModule = NULL 0040165E . E8 DFBC0E00 CALL <JMP.&KERNEL32.GetModuleHandleA> ; GetModuleH 00401663 . 8BD0 MOV EDX,EAX -----------------------------------------------------------------------------------------------
- 88. Borland Delphi 6.0 - 7.0 00509CB0 > $ 55 PUSH EBP 00509CB1 . 8BEC MOV EBP,ESP 00509CB3 . 83C4 EC ADD ESP,-14 00509CB6 . 53 PUSH EBX 00509CB7 . 56 PUSH ESI 00509CB8 . 57 PUSH EDI 00509CB9 . 33C0 XOR EAX,EAX 00509CBB . 8945 EC MOV DWORD PTR SS:[EBP-14],EAX 00509CBE . B8 20975000 MOV EAX,unpack.00509720 00509CC3 . E8 84CCEFFF CALL unpack. 0040694C
- 89. 易语⾔言⼊入⼝口 00401000 > E8 06000000 call dump_.0040100B 00401005 50 push eax 00401006 E8 BB010000 call <jmp.&KERNEL32.ExitProcess> 0040100B 55 push ebp 0040100C 8BEC mov ebp,esp 0040100E 81C4 F0FEFFFF add esp,-110 00401014 E9 83000000 jmp dump_.0040109C 00401019 6B72 6E 6C imul esi,dword ptr ds:[edx+6E],6C 0040101D 6E outs dx,byte ptr es:[edi]
- 93. Q&A