同样是学习逆向,怎么我都学不会呢?!我的悟性太差了。看来还得用功点。谢谢楼主,我要好好学一下。
hhbb979 发表于 2016-11-11 16:43
同样是学习逆向,怎么我都学不会呢?!我的悟性太差了。看来还得用功点。谢谢楼主,我要好好学一下。
这不是悟性的问题,有句话叫熟能生巧,要多练习,多想,我在视频区发了几个暂停法逆向软件的视屏教程,你有兴趣的话可以去看看
hhbb979 发表于 2016-11-11 16:43
同样是学习逆向,怎么我都学不会呢?!我的悟性太差了。看来还得用功点。谢谢楼主,我要好好学一下。
只要是用下消息断点和对话框函数能PJ的软件(比如函数名称中有message的),暂停法理论可以通杀,所以,我觉得逆向找软件切入点可以从简单到复杂,从通用到专用的顺序以字符串,暂停法,事件按钮断点,函数断点的顺序来,其中字符串最简单而且通用,暂停法虽然比较通用但比起字符串来说相对复杂些,事件按钮断点专用但简单,比如易语言的你不能用VC++的按钮断点,至于函数断点我觉得最复杂,我现在软件逆向后经常尝试函数断点,结果只有百分之几的几率才可以找到关键点{:6_209:},所以,字符串和暂停法一定要熟练哦
怎么追出来码?
小笙 发表于 2016-11-11 17:23
怎么追出来码?
你可以去看看视频区,我发布的视频,暂停法逆向,另外,我逆向软件录制的一般都是暂停法逆向,从最上面的堆栈一步一步往前追,最后找到程序的关键跳(就是要么给你出限制功能的消息框,要么正常使用),然后往上找关键CALL,一步一步慢慢追,刚开始学的时候我认为你们可以这样,先用字符串找关键,然后再用暂停法去摸索,当你熟练后就先用暂停法,然后用字符串验证,进一步熟练后使用暂停法的话就不看CPU的注释框来完全凭感觉
haier8917 发表于 2016-11-11 17:42
你可以去看看视频区,我发布的视频,暂停法逆向,另外,我逆向软件录制的一般都是暂停法逆向,从最上面的 ...
谢谢,我会好好看的
haier8917 发表于 2016-11-1 21:46
呵呵,大家好,本人觉得函数方面自古以来就是新手的难题,而且字符串比较简单,所以我以后讲解分析方法一般 ...
评分=感恩!简单却充满爱!感谢您的作品!
haier8917 发表于 2016-11-11 17:21
只要是用下消息断点和对话框函数能PJ的软件(比如函数名称中有message的),暂停法理论可以通杀,所以 ...
谢谢老大的悉心指导!
但是我在点【试用】点【确定】后,就直接打开程序了,OD里显示是运行的,无法在OD里暂停的,这时候我再暂停,再显示【调用】,能找到三个跳。这样操作与老大的教程一个道理不?为什么总是拿最后一个来显示调用啊?
hhbb979 发表于 2016-11-12 12:47
谢谢老大的悉心指导!
但是我在点【试用】点【确定】后,就直接打开程序了,OD里显示是运行的,无法在OD ...
那个应该是一样的,最后一个其实是最先进的CALL程序,你的注册或者没注册总得先比较了再决定后面程序怎么调用对吧,其实你以后习惯后就可以从最上面的那个调用显示,然后往前分析,其实也一样的,我现在录制的就是从最上面开始分析的(其实有些时候最下面的不好用,关闭窗口后程序可能直接结束而跟踪不到),我再给你普及下堆栈的特点,先进后出(先进堆栈的程序或者子程序最后出来),后进的先出(后进堆栈的程序或者子程序最先出来)
hhbb979 发表于 2016-11-12 12:47
谢谢老大的悉心指导!
但是我在点【试用】点【确定】后,就直接打开程序了,OD里显示是运行的,无法在OD ...
对了,最好是见着限制提示框就使用暂停法,不要进了主界面才想起用暂停法,因为很多的软件你把那个提示框关掉后,他就返到了加载程序主窗口的CALL,那样的话,你跟不出来的,你也可以试试里诺软件的启动验证和其他的软件有什么不同(给你提示一下,未注册的从一个CALL进去,先加载使用提示窗口,关闭它后,紧接着加载登录窗,验证成功加载主窗体,关闭程序后jmp到结束,注册的从另一个CALL进去,直接加载登录窗,验证成功加载主窗体,关闭程序后jmp到结束)看下面两张图
https://www.52hb.com/forum.php?mod=image&aid=79333&size=300x300&key=7d40e3fc585b628f&nocache=yes&type=fixnone