0x01 函数的识别 实验环境 推荐使用的环境 备注 操作系统 Windows 10 编译器 编译选项 build版本 调试器 OD 实验过程 如图所示，call指令将call指令的下一条指令地址压入栈中并且jmp到了00401010 随后retn会将执行结果同pop eip 0x02 函数的参数 实验环境 推荐使用的环境 备注 操作系统 Windows 10 编译器 编译选项 build版本 调试器 IDA 实验过程 如图所示，call指令将call指令的下一条指令地址压入栈中并且jmp到了00401010 随后…

逆向分析技术 0x01 32位软件分析技术 1.启动函数 Win32应用程序都需要实现WinMain函数 Windows程序的执行并非从WinMain开始，而是从编译器生成的一段代码开始 所有C/C++程序启动函数作用为： 检索指向新进程的命令行指针 检索指向新进程的环境变量指针 全局变量初始化 内存栈初始化 调用应用程序入口点函数main或WinMain 入口点函数返回时，调用C运行库的exit函数，进行一些清理 处理，最后调用ExitProcess退出 用户编写的入口点函数地址为：0x00401000 2.函数…

0x01 IDA 实验环境 推荐使用的环境 备注 操作系统 Windows 10 编译器 编译选项 build版本 调试器 IDA 实验前准备 去下载书籍配套资料。 用IDA打开。 实验过程 结构体 shift + f9打开Structures窗口，随后按ins键添加一个结构体，D键添加输入(db,dw,dd)，A键添加ASCII字符为结构体成员。 到数据处Alt+Q进行应用。 汇编代码区选中结构体数据按T 枚举类型 打开Enums窗口，随后按ins键添加一个枚举类型，N键枚举成员。 M键转换为枚举成员。 IDC解…

0x01 OD 实验环境 推荐使用的环境 备注 操作系统 Windows 10 编译器 编译选项 build版本 调试器 OD 1.10 实验前准备 去下载书籍配套资料。 用OD打开。 实验过程 由于要取文本框内的字符串，需要调用API函数GetDlgItemTextA，可以在左下方bp GetDlgItemTextA下断点，或者ctrl+g跳转到这个函数处下断点。 UINT GetDlgItemText( HWND hDlg, //对话框的句柄，即对话框的窗口句柄 int nIDDlgItem, //要获取文本的…

加密与解密 0x01 基础知识 1.1 什么是加密与解密 软件的加密与解密技术是矛与盾的关系。开发者为了维护自身的商业利益，不断寻求各种方式保护软件的版权，推迟软件被解密的时间；而解密者则受盗版所带来的高额利润的驱使或存粹出于个人兴趣，不断开发新的解密工具。 逆向工程（Reverse Engineering）是根据已有的产物结果，通过分析来推导出具体的实现方法。 逆向分析技术分为静态分析技术和动态分析技术。所谓静态分析是指根据反汇编得到的程序清单进行分析，通过包含提示信息的程序片段，分析得出其上下文实现的功能，从而…

二维码 QR码 QR码的信息和版本 QR码设有1到40的不同版本（种类)，每个版本都具备固有的码元结构(码元数)。（码元是指构成QR码的方形黑白点。) “码元结构”是指二维码中的码元数。从版本1(21码元×21码元)开始，在纵向和横向各自以4码元为单位递增，一直到版本40(177码元×177码元)。 版本计算为V = (码元数 - 21) / 4 + 1 总比特数计算方式: QR码的纠错 QR码具有“纠错功能”。即使编码变脏或破损，也可自动恢复数据。这一“纠错能力”具备4个级别，用户可根据使用环境选择相应的级别。调…

钓鱼手法 0x01 浏览器 1.1 URL 1.1.1 依靠U+2044 (⁄) 和 U+2215 (∕)和@ 原理： https://与@之间的所有内容都会被视为用户信息。 如果访问 https://google.com/search@bing.com 会是google。 将其中的U+002F (/)换成U+2044 (⁄) 和 U+2215 (∕) https://google.com∕gmail∕inbox@bing.com 会是bing.com。可以使用.zip TLD（顶级域名）钓鱼。 实践： 笔者没做到…

汇编语言 基础知识 机器语言 cpu是一种微处理器，cpu及其控制的芯片，器件，设备组成了我们所说的pc机。 由于每一种微处理器的硬件设计不同，内部结构不同。所以需要不同的点评脉冲来控制。所以每一种微处理器都有自己的机器指令集，也就是机器语言。（这也就是我们自研发cpu的一个难点，这些硬件架构是有版权的） 汇编语言 汇编语言的主体是汇编指令，汇编指令和机器指令的 差别在于表示方法上，汇编指令是机器指令便于记忆的书写格式。 汇编语言的组成 汇编指令 伪指令（没对应的机器码，编译器执行 其他符号（编译器识别，没对应的机…

深入理解计算机操作系统 上 0x00 前言 本书只是初读以及会添加一些自己的理解，自己的理解我会用括号进行表述，后续理解更深后可能会进行文章的修改。 0x01 计算机系统漫游 1.信息是 位+上下文 系统中的所有信息，都是由一串比特（位）表示的，区分不同数据对象的唯一方法是我们读到这些数据对象的时候的上下文。 2.程序被其他程序翻译成不同的格式 预处理阶段。宏展开，头文件展开，删除注释。 编译阶段。输出汇编程序。（大概过程有，词法分析，语法分析，语义分析，源代码优化，目标代码生成，目标代码优化） 汇编阶段。汇编生成…

ZIP zip文件格式 一个 ZIP 文件由三个部分组成： 压缩源文件数据区+压缩源文件目录区+压缩源文件目录结束标志 查看详情 压缩文件数据区 50 4B 03 04：头文件标记 14 00：需要pkware版本 09 00：全局方式位标记 4B 77：最后修改时间 94 4A：最后修改日期 94 4A：最后修改日期 F0 0C 59 FB：CRC-32循环校验 88 00 00 00：压缩后尺寸 B4 00 00 00：未压缩尺寸 单位字节 08 00：文件名长度 00 00：扩展记录名长度 50 4B 07 …