qq_33526144的博客

本人在github上上传一款反游戏外挂工具及其源码(有需要的朋友，请自取)，工具链接为：https://github.com/chenpan01/Anti_GameAssist接下来简单介绍一下，这款工具的使用及实现前言现如今，游戏辅助工具横行霸道，严重损害了游戏的公平性，那么就非常有必要开发一款反游戏外挂工具。该工具是使用MFC开发而成，操作界面简洁易懂，在使用的过程中，需要选中PE文件和运行进程才能对其进行操作。主要分为5个功能模块：保护call及数据、注入代码检测、HOOK检测、调式工具检测和多

文章目录为什么OD找不到的字符串，IDA能找到？找不到是由于算法的缺陷让OD和IDA都搜索不到字符串的方法注释与标签按F8卡住，解决方法多线程代码(易语言线程特征)找到调用地方局部变量保存ida修改后的exe文件XH补丁制作工具使用为什么OD找不到的字符串，IDA能找到？OD字符串搜索插件实现原理：1.搜索进程模块的每一行汇编代码，寻找push、mov、lea指令2.找到后，判断指令后面接...

1.逆向的作用1.可以免费试用收费软件2.编程和逆向相辅相成，比如写代码莫名报错、又找不到原因3.可以分析软件是否有恶意代码或者程序是否有安全漏洞4.提高自己在企业的竞争力，比如：可以负责公司的软件安全防破解5.为恶意代码分析做铺垫2.可以逆向出源码的语言java和C#、python可以逆出源码3.中文字符串搜索方法1.ida添加搜索中文功能：选中ida图标，右键属性，在目标后面...

CrackMe001下载链接：https://pan.baidu.com/s/1vye6KTSDYoFPSA37oPXtuA提取码：iiy7第一种方法：1.运行程序，输入123456，弹出报错消息框，再字符串窗口可以看到“所有图片文件”等信息，推出该程序为易语言编写。2.按Ctrl+g，输入MessageBoxA，出现该函数的首地址，下断，输入信息，按注册，断在MessageBoxA。...

寻找内存基址1.我相信植物大战僵尸，很多人都玩过，接下来我来给大家展示怎样定位基址，先运行游戏软件，可以看到阳光值会发生变化，打开CE，在CE中打开游戏。2.在CE中搜索阳光值100，可以看到很多结果，继续修改阳光值，点击next scan搜索，只出现了一个值，选中该值点击向下的红色箭头移到下面的列表中。3.选中该值，点击enter键，可修改阳光值，在右键->发现写入该地址，...

1.查壳，无壳，运行微信，显示二维码，百度搜索发现微信二维码为png图片，png图片文件格式中有关键数据块，该数据块中有四个标准数据块，文件头数据块中的符号为IHDR，那么IHDR可做为CE中的搜索内容。2.使用cheat engine附加进程，在数值框中输入IHDR搜索，出现了4个地址，其中有一个地址显绿色，这个地址应该是基址，不允考虑，把其它三个移到下面窗口中。3.接着对3个地址内容进...

1.拖入到模拟器中运行，输入信息提示密码错误，使用PKID查壳，发现无壳2.将apk的后缀名该成rar，随后进行解压缩，使用d2j-dex2jar.bat对classes-dex进行反编译，生成classes-dex2jar.jar3.接着使用apktool工具，反编译apk文件，可以看到so文件4.把生成的classes-dex2jar.jar拖入到jadx-gui中，看到FlagAc...

解压缩过程1.OD载入失败，点击确定时，OD停留在ntdll.dll中，用stud_pe工具打开，发现EP为000010182.在OD中，跳转到EP，选中ep，右键-》new origin here，调式3.接下来看解压缩的过程，压缩的时候把数据都压缩到第二个节区中，解压缩的过程会把这些数据放到第一个节区中4.单步，初始化eax，值为notepad的Oep，运行到0101fd18...

1.先运行程序，发现要输入内容2.先用OD载入，搜索字符串“please input”并下断3.进入函数64A9A6,发现这是一个计算输入字符串长度的函数并且随后判断输入字符串的长度。4....

1.下载发现是ELF文件，查壳为upx壳2.接下来把simple-unpack防到kail中，运行，然后使用upx工具进行解压缩4.用ida打开，看到flag

1.用ida载入，看出是MIPS程序2.按f5键，不能进行反汇编3.找关键代码，进入main函数，发现一个字符串，往下可以exit_funct和congratulations字符串，因此可以推出关键代码在exit_funct上面。4.经过观察发现，有一个异或运算符，其它的没看到明显的,那么可能对字符串cbtcqLUBChERV[[Nh@_X^D]X_YPV[CJ进行异或操作。5....

1.运行，运行不了，查壳，发现是nspack壳。2.在xp系统环境，用od载入，发现失败，用脱壳机脱壳。3.拖入到ida中，在main函数中看到关键代码if ( strlen(&Buf) == 42 ) { v4 = 0; while ( (*(&Buf + v4) ^ byte_402130[v4 % 16]) == dword_402150[...

1.把它拖入到ida中，在main函数，以下代码：v9 = *(unsigned __int8 *)sub_400D9A((__int64)&i); if ( (_BYTE)v9 != s[dw_a[v15]] ) sub_400B56((__int64)&i, (__int64)&v14, v9); ++v15;2.点击进入s数组和dw_...

1.下载之后发现不是一个exe文件，用ida载入，进入main函数，发现一堆有意思的十进制数对照表格http://ascii.911cha.com/，译出字符串SECCON{Welcome to the SECCON 2014 CTF!}，即为flag。...

搭建python环境1.百度搜索python3.7下载，找到官网下载安装包，运行安装包并配置环境变量。2.这里一定要安装python3.7版本的，我之前安装python3.5，不能正常使用pyinstalller库。3.能显示一下界面说明安装成功安装pyintaller1.进入scripts脚本目录，执行pip install pyinstaller，不过我这里已经下好了。...

操作过程1.运行程序，首先看到PE头的开始地址(00 01倒过来为01 00)，PE头大小(E0)2.

IsDebuggerPresent函数的代码如下：64:A1 18000000 mov eax, dword ptr fs:[18] //fs寄存器指向了TEB8B40 30 mov eax, dword ptr [eax+30]0FB640 02 movzx eax, byte ptr [eax+2]C3 ret...

本文的Easy_CrackMe.exe的下载链接为http://reversing.kr/challenge.php，本文使用的工具为OD#分析过程1.运行该程序，并输入一行字符串点击check，出现对话框提示Incorrect Password2.在OD中搜索所有的引用字符串，并在窗口搜索"Incorrect Password"，找到之后点击进入反汇编窗口，往上翻看我们还能发现显示提示...