ollydbg

1 GS内存保护机制 1.1 GS工作原理 栈中的守护天使--GS，亦称作Stack Canary / Cookie，从VS2003起开始启用（也就说，GS机制是由编译器决定的，跟操作系统无关）。 GS机制分三个步骤：计算随机种子 --> canary写入栈帧 --> GS校验。 [1]程序启动时，读取 .data 的第一个 DWORD 作为基数，然后和各种元素（时间戳，进程ID，线程ID，计数器等等）进行XOR加密 [2]然后将加密后的种子再次写入 .data 的第一个 DWORD [3]函数在执行前，把加密后的种子取出，与当前 esp 进行异或计算，结果存入EBP的前面 [4]函数主体正常执行。 [5]函数返回前（retn前一点），把cookie取出与esp异或计算后，调用security_check_cookie函数进行检查，与.data节里的种子进行比较，如果校验通过，则返回原函数继续执行；如果校验失败，则程序终止。 图解： 1.2 变量重排技术 如图1.1所示，在缓冲区域cookie之间还有一些空隙，这是因为在旧版本（VS2005之前）的编译器里，局部变量是随机摆放的（指针，int，字符串位置随机） 所以这里就还存在一丝安全隐患->_->那就是Buff可能在不压过Cookie的情况下覆盖一些局部变量，所以，后期的编译器就推出了-- 变量重排技术。 如图1-2所示 图 1

这里的练习题目是 reversing.kr 的 Easy Crack 我自己用upx加壳工具给它加了个壳，由于原文件逻辑简单，所以用它来练练手 之后用到的工具是IDA和Ollydbg <br> 0x00 在正式调试之前需要知道的一些操作 1.单步追踪法 向下调试 一般用的是 F8 （单步步过） 2.遇到 红色 的向上箭头说明运行到此处之后会 向上跳转 ，对于单步跟踪法来说是 不能 让它发生的，所以点击下一行， F4 运行到该处。 3.遇到 灰色箭头 ：灰色说明它没有起作用，直接 F8 就行，并 不会向上跳转 。 4.如果看到 popad 指令，说明在下面不远处会有一个 大跳转 （跳到另一个区段） ，即程序即将运行到 OEP （真正的程序入口点）。 5.在快到popad的时候可能程序会跑飞，如下图的第一个箭头所指 0040BAC0 FF96 A8B00000 call dword ptr ds:[esi+0xB0A8] 那么我们可以直接F4到 0x400AC6 。 0x01 脱壳 *有了上述的了解之后，经过耐心的调试，程序来到了OEP。 注意看，jump的 目标地址 是 0x401188 ， 而当前程序所处的地址是 0x40BB03 ， 跨度如此之大，说明我们离成功不远。 *F8单步运行，到了最后一步。 *在0x401188处右键 -> 用Ollydump脱壳调试进程，点脱壳。

您可能之前看到过我写的类似文章，为什么还要重复撰写呢？只是想更好地帮助初学者了解病毒逆向分析和系统安全，更加成体系且不破坏之前的系列。因此，我重新开设了这个专栏，准备系统整理和深入学习系统安全、逆向分析和恶意代码检测，“系统安全”系列文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。换专业确实挺难的，逆向分析也是块硬骨头，但我也试试，看看自己未来四年究竟能将它学到什么程度，漫漫长征路，偏向虎山行。享受过程，一起加油~ 如果你想成为一名逆向分析或恶意代码检测工程师，或者对系统安全非常感兴趣，就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒，当年造成了非常大的影响，并且也有一定技术手段。本文主要学习姜晔老师视频，结合作者逆向经验进行总结，详细讲解了熊猫烧香的行为机理，并通过软件对其功能行为进行分析，这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试，以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章，希望您喜欢！ IDA和OD作为逆向分析的“倚天剑和“屠龙刀”，学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功能函数，大家掌握这些技巧后才能更好地分析更多的代码。同时，本文部分实验参考姜晔老师的视频分析，真的非常佩服和值得去学习的一位老师。技术路上哪有享乐，为了提升安全能力，别抱怨，干就对了~ 上一篇文章讲解了

您可能之前看到过我写的类似文章，为什么还要重复撰写呢？只是想更好地帮助初学者了解病毒逆向分析和系统安全，更加成体系且不破坏之前的系列。因此，我重新开设了这个专栏，准备系统整理和深入学习系统安全、逆向分析和恶意代码检测，“系统安全”系列文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。换专业确实挺难的，逆向分析也是块硬骨头，但我也试试，看看自己未来四年究竟能将它学到什么程度，漫漫长征路，偏向虎山行。享受过程，一起加油~ 如果你想成为一名逆向分析或恶意代码检测工程师，或者对系统安全非常感兴趣，就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒，当年造成了非常大的影响，并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理，并通过软件对其功能行为进行分析，这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试，以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章，希望您喜欢！ IDA和OD作为逆向分析的“倚天剑和“屠龙刀”，学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功能函数，大家掌握这些技巧后才能更好地分析更多的代码。同时，本文部分实验参考姜晔老师的视频分析，真的非常佩服和值得去学习的一位老师。技术路上哪有享乐，为了提升安全能力，别抱怨，干就对了~ 上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析

您可能之前看到过我写的类似文章，为什么还要重复撰写呢？只是想更好地帮助初学者了解病毒逆向分析和系统安全，更加成体系且不破坏之前的系列。因此，我重新开设了这个专栏，准备系统整理和深入学习系统安全、逆向分析和恶意代码检测，“系统安全”系列文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。换专业确实挺难的，逆向分析也是块硬骨头，但我也试试，看看自己未来四年究竟能将它学到什么程度，漫漫长征路，偏向虎山行。享受过程，一起加油~ 如果你想成为一名逆向分析或恶意代码检测工程师，或者对系统安全非常感兴趣，就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒，当年造成了非常大的影响，并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理，并通过软件对其功能行为进行分析，这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试，以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章，希望您喜欢！ IDA和OD作为逆向分析的“倚天剑和“屠龙刀”，学好它们的基本用法至关重要。本文重点分析熊猫烧香病毒的功能函数，大家掌握这些技巧后才能更好地分析更多的代码。同时，本文部分实验参考姜晔老师的视频分析，真的非常佩服和值得去学习的一位老师。技术路上哪有享乐，为了提升安全能力，别抱怨，干就对了~ 上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析

您可能之前看到过我写的类似文章，为什么还要重复撰写呢？只是想更好地帮助初学者了解病毒逆向分析和系统安全，更加成体系且不破坏之前的系列。因此，我重新开设了这个专栏，准备系统整理和深入学习系统安全、逆向分析和恶意代码检测，“系统安全”系列文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。换专业确实挺难的，逆向分析也是块硬骨头，但我也试试，看看自己未来四年究竟能将它学到什么程度，漫漫长征路，偏向虎山行。享受过程，一起加油~ 系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等，通过在线笔记和实践操作的形式分享与博友们学习，希望能与您一起进步。前文普及了OllyDbg的基础用法和CrakeMe案例；这篇文章将详细讲解OllyDbg和Cheat Engine工具逆向分析用法，完成植物大战僵尸的游戏辅助器，包括修改阳光值和自动拾取阳光两个功能，希望对入门的同学有帮助。 话不多说，让我们开始新的征程吧！您的点赞、评论、收藏将是对我最大的支持，感恩安全路上一路前行，如果有写得不好的地方，可以联系我修改。基础性文章，希望对您有所帮助，作者的目的是与安全人共同进步，加油~ 文章目录 一.VS内存地址查看 二.Cheat Engine逆向修改阳光值 三.OllyDbg逆向自动拾取阳光 四.总结及学习推荐 作者的github资源： 系统安全： https:/

网络安全自学篇（一）| 入门笔记之看雪Web安全学习及异或解密示例 网络安全自学篇（二）| Chrome浏览器保留密码功能渗透解析及登录加密入门笔记 网络安全自学篇（三）| Burp Suite工具安装配置、Proxy基础用法及暴库示例 网络安全自学篇（四）| 实验吧CTF实战之WEB渗透和隐写术解密 网络安全自学篇（五）| IDA Pro反汇编工具初识及逆向工程解密实战 网络安全自学篇（六）| OllyDbg动态分析工具基础用法及Crakeme逆向破解 网络安全自学篇（七）| 快手视频下载之Chrome浏览器Network分析及Python爬虫探讨 网络安全自学篇（八）| Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具 社会工程学之基础概念、IP获取、IP物理定位、文件属性社会工程学之基础概念、IP获取、IP物理定位、文件属性 网络安全自学篇（十）| 论文之基于机器学习算法的主机恶意代码 网络安全自学篇（十一）| 虚拟机VMware+Kali安装入门及Sqlmap基本用法 网络安全自学篇（十二）| Wireshark安装入门及抓取网站用户名密码（一） 网络安全自学篇（十三）| Wireshark抓包原理（ARP劫持、MAC泛洪）及数据流追踪和图像抓取（二） 还在更新中，收藏导航观看更佳 原作者博客；https: //blog.csdn.net

您可能之前看到过我写的类似文章，为什么还要重复撰写呢？只是想更好地帮助初学者了解病毒逆向分析和系统安全，更加成体系且不破坏之前的系列。因此，我重新开设了这个专栏，准备系统整理和深入学习系统安全、逆向分析和恶意代码检测，“系统安全”系列文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。换专业确实挺难的，逆向分析也是块硬骨头，但我也试试，看看自己未来四年究竟能将它学到什么程度，漫漫长征路，偏向虎山行。享受过程，一起加油~ 系统安全系列主要包括恶意样本分析、病毒逆向分析、系统安全攻防实战和Windows漏洞利用等，通过在线笔记和实践操作的形式分享与博友们学习，希望能与您一起进步。第一篇文章先带领大家学习什么是逆向分析，然后详细讲解逆向分析的典型应用，接着通过OllyDbg工具逆向分析经典的游戏扫雷，再通过Cheat Engine工具复制内存地址获取，实现一个自动扫雷程序。 该篇文章也是作者学习科锐钱林松老师在华中科技大学的分享视频，这里非常推荐大家去看看。话不多说，让我们开始新的征程吧！您的点赞、评论、收藏将是对我最大的支持，感恩安全路上一路前行，如果有写得不好的地方，可以联系我修改。基础性文章，希望对您有所帮助，作者的目的是与安全人共同进步，加油~ 文章目录 一.什么是逆向分析 1.逆向工程 2.逆向分析的典型应用 二.扫雷游戏逆向分析 1.游戏介绍 2.OllyDbg动态分析

​转载自CSDN-初识逆向大神 本文链接： https://blog.csdn.net/w_g3366/article/details/100590112 文章目录 勒索病毒分析报告 1．样本概况 1.1 样本信息 1.2 测试环境及工具 1.3 分析目标 1.4 样本行为概述 2．具体行为分析 2.1 主要行为 2.2 提取恶意代码 2.3 恶意代码分析 3．解决方案 3.1 提取病毒的特征，利用杀毒软件查杀 3.2 手工查杀步骤或是查杀思路 勒索病毒分析报告 1．样本概况 1.1 样本信息 病毒名称：DBD5BEDE15DE51F6E5718B2CA470FC3F 所属家族：勒索病毒 大小: 327680 bytes 修改时间: 2017年4月13日, 15:30:22 MD5值： DBD5BEDE15DE51F6E5718B2CA470FC3F SHA1值： 863F5956863D793298D92610377B705F85FA42B5 CRC32：1386DD7A 1.2 测试环境及工具 测试环境:虚拟机Windows 7 32位 测试工具:火绒剑、PCHunter、PEiD、OllyDbg、IDA、LoadPE 1.3 分析目标 分析病毒具体行为，找到病毒行为的具体实现代码，了解病毒实现原理，评估病毒的威胁程度。 1.4 样本行为概述 是一个勒索软件，样本运行后的行为：

oCam为Delphi开发，未注册版的主界面下方会有广告，关闭主界面后会出现一个弹窗，这个弹窗要等待3秒才能关闭，关闭弹窗后又会在默认浏览器中打开他们的网站。如果直接用OllyDbg或者x32dbg打开oCam.exe，然后用F8单步执行，若不加任何断点，要不了几步就会提示“已停止，调试结束”，这是oCam刻意加入的反调试技术，可能和812C75处的CreateMutexW有关，我没有深入研究，采取另外一种方法绕过：直接启动oCam，然后用OllyDbg或x32dbg去附加，(使用x32dbg时要注意勾选 调试>高级>隐藏调试器(PEB)，否则容易出现异常)。附加后，点击菜单>注册，电子邮箱和序列号随便填，比如都填1，点击“确定”会报“无效的邮件地址”，把邮箱地址改为1@x.com，再点“确定”就会报“无效用户名或注册码”，在报错的同时也会有系统提示音。这个提示音就是PoJie的起点。使用bp MessageBeep命令下断点，点击“确定”后观察栈的内容，可以找到来自79F8A3的调用。79F8A3下方不远处(79F8B2)又有对CreateMessageDialog的调用，说明79F8A3和79F8B2所在的函数79F838就是用来带提示音报错的，在IDA或x32dbg中查找对79F838的引用，发现只有两处引用，其中一处引用是_TfrmRegister_btnOKClick