1.逆向的作用
1.可以免費試用收費軟件
2.編程和逆向相輔相成,比如寫代碼莫名報錯、又找不到原因
3.可以分析軟件是否有惡意代碼或者程序是否有安全漏洞
4.提高自己在企業的競爭力,比如:可以負責公司的軟件安全防破解
5.爲惡意代碼分析做鋪墊
2.可以逆向出源碼的語言
java和C#、python可以逆出源碼
3.中文字符串搜索方法
1.ida添加搜索中文功能:選中ida圖標,右鍵屬性,在目標後面加上 -dCULTURE=all
2.OD內存搜索法,點擊M,選中第一行,右鍵搜索,在ascill文本框輸入中文字符串,搜索的字符串旁邊可能是註冊碼,選中搜索的字符串,右鍵可以設置內存訪問斷點和硬件訪問斷點
4.斷點問題
有時下了硬件斷點,會斷不下來,主要是因爲插件的反調試作用或者漢化版的作用,這時可以換個OD使用。
5.讓exe文件基址不改變的方法
1.用CFF打開->任意頭->DLLCharacter->click here->去掉dll can move旁邊的勾
2.在VS端:項目屬性頁-》鏈接器-》所有選項-》隨機基址,設置成否
6.找程序入口點方法:
1.ida法,在ida中找到main函數,即爲程序入口點
2.自動步過法(按ctrl+f8),找到出現控制端的第一個函數。
7.刪除增量鏈接
VS程序的上部有很多jmp+函數名,這些是增量鏈接,增加VS的快速編譯,
增量鏈接刪除方法:項目屬性頁-》鏈接器-》所有選項-》啓用增量鏈接設置成否
8.爆破方式
1.NOP掉關鍵call和跳轉指令
2.修改跳轉指令法,例如je改成jne等
3.寄存器值修改法,例如把zf位的值從0改爲1
9.下斷點地方
1.搜索GetWindowTextA,在函數的頭部下斷
2.搜索MessageBoxA(),在頭部下斷,下斷之後,不斷單步回到上個調用函數
3.字符串搜索法:搜索關鍵信息字符串,找到下斷地方
10.兩種殼:
VM:代碼級保護
加殼:PE級保護