ollydbg

从2019年7月开始，我来到了一个陌生的专业——网络空间安全。初入安全领域，是非常痛苦和难受的，要学的东西太多、涉及面太广，但好在自己通过分享100篇“网络安全自学”系列文章，艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们，如果写得不好或不足之处，还请大家海涵！ 接下来我将开启新的安全系列，叫“安全攻防进阶篇”，也是免费的100篇文章，作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等，也将通过在线笔记和实践操作的形式分享与博友们学习，希望能与您一起进步，加油~ 推荐前文： 网络安全自学篇系列-100篇 前文作者带领大家学习了科锐钱林松老师在华中科技大学的分享视频，讲解了什么是逆向分析、逆向分析的典型应用，接着通过OllyDbg工具逆向分析经典的游戏扫雷，再通过Cheat Engine工具复制内存地址获取，实现一个自动扫雷程序。这篇文章将继续普及逆向分析知识，告诉大家如何学好逆向分析，并结合作者经验给出逆向分析的路线推荐，最后给出吕布传游戏逆向案例。话不多说，让我们开始新的征程吧！您的点赞、评论、收藏将是对我最大的支持，感恩安全路上一路前行，如果有写得不好或侵权的地方，可以联系我删除。基础性文章，希望对您有所帮助，作者的目的是与安全人共同进步，也强烈推荐大家去看看钱老师的视频，加油~ 文章目录 一.如何学好软件逆向技能 1.软件逆向前沿 2

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了XSS跨站脚本攻击案例，主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒， 包括PE病毒原理、分类及感染方式详解，并通过案例进行介绍。基础性文章，希望对您有所帮助~ 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~ 文章目录 一.PE病毒概念 二.PE病毒的分类 三.传统文件感染型 1.感染思路 2.PE病毒典型案例 3.关键技术 (1) 重定位 (2) API函数自获取 (3) 目标程序遍历搜索 (4) 文件感染 四.捆绑释放型 五.系统感染型 1.控制权再次获取 2.病毒的传播方式 六.总结 PS：本文参考了《软件安全》视频、安全网站和参考文献中的文章（详见参考文献），并结合自己的经验和实践进行撰写，也推荐大家阅读参考文献。 作者的github资源： 软件安全： https://github.com

前文作者讲解了OllyDbg和在线沙箱的逆向分析过程，分享了恶意软件如何通过宏脚本发送勒索信息或密码至用户邮箱。这篇文件将带领大家逆向分析两个CrackMe程序，包括逆向分析和源码还原，基础性文章，希望对您有所帮助。技术路上哪有享乐，为了提升安全能力，别抱怨，干就对了， 从2019年7月开始，我来到了一个陌生的专业——网络空间安全。初入安全领域，是非常痛苦和难受的，要学的东西太多、涉及面太广，但好在自己通过分享100篇“网络安全自学”系列文章，艰难前行着。感恩这一年相识、相知、相趣的安全大佬和朋友们，如果写得不好或不足之处，还请大家海涵！ 接下来我将开启新的安全系列，叫“安全攻防进阶篇”，也是免费的100篇文章，作者将更加深入的去研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等，也将通过在线笔记和实践操作的形式分享与博友们学习，希望能与您一起进步，加油~ 推荐前文： 网络安全自学篇系列-100篇 话不多说，让我们开始新的征程吧！您的点赞、评论、收藏将是对我最大的支持，感恩安全路上一路前行，如果有写得不好或侵权的地方，可以联系我删除。基础性文章，希望对您有所帮助，作者目的是与安全人共同进步，也强烈推荐大家去看看钱老师的视频，加油~ 文章目录 一.OllyDbg基础用法 二.CrackMe01 1.题目描述 2.逆向分析 3.原理分享及序列号提取 三.CrackMe02 1

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了逆向分析之OllyDbg动态调试工具，包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师（Seak）的分享，介绍恶意代码与APT攻击中的武器，包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样，但这篇文章真的值得学习，也希望对您有所帮助。 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~ 文章目录 一.从恶意代码的发展看APT攻击 二.高级恶意代码工程体系——A2PT的攻击武器 三.普通APT组织的自研恶意代码 四.商用恶意代码 五.无恶意代码作业、开源和免费工具 六.总结与思考 PS：本文参考了github、安全网站和参考文献中的文章（详见参考文献），并结合自己的经验和实践进行撰写，也推荐大家阅读参考文献。 作者的github资源： 软件安全

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法，包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制，带领大家详细阅读源代码，分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月，一方面觉得自己技术菜，另一方面深知系统安全需要坚持，继续加油。希望文章对您有所帮助~ 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~ 文章目录 一.WannaCry背景 二.WannaCry传播机制源码详解 1.WannaCry蠕虫传播流程 2.程序入口Start 3.域名开关WinMain 4.参数判断sub_408090 5.蠕虫安装流程sub_407F20 6.蠕虫服务传播流程sub_4080000 7.蠕虫初始化操作sub_407B90 8.局域网传播sub_407720 9.公网传播sub_407840 10

1.乱码问题 当OD追踪程序时候，发现OD将代码解析成数据，从而没有反汇编识别，这是通过Ctrl+A来让OD重新分析代码，如果还是无法识别可以通过右键快捷菜单中的 或者删除UDD目录中删除对应的UDD文件 2.已经删除了断点，OD重新加载时候断点又重新出现 在配置文件ollydbg.ini中的相应内容改成“Backup UDD files=1” 3.在OD反汇编窗口中输入"push E000" 会提示未知标识符 出现这样的原因是因为OD的反汇编引擎不能正确识别字符“E000”中的E是字母还是数字， 解决办法：在字母前加"0"表示这是数字 ——"push 0E000" 4.OD出现假死现象 用OD调试一些加壳程序，程序运行到断点，OD会出现假死，这时需打开配置文件ollybdg.ini,如果“Restore windows”是一个很大的值，就设置"Restore windows 0" 5.微调窗口显示 可以通过“Ctrl + ↑”或 Ctrl + ↓”快捷键对反汇编窗口或数据窗口翻动1字节 6.执行复制到可执行文件，提示错误“Unable to locate data in executable file” "无法定位可执行文件中的数据" 这种情况下需要修改PE文件 使“RawSize=VirtualSize”具体后面的帖子学习PE结构会说到 来源： oschina 链接：

一、工具及游戏介绍 使用工具：Ollydbg，PEID，Cheat Engine 实现功能：玩家无敌 目标：找到全局数据，或关键代码块。 游戏版本：合金弹头1-5代珍藏版 二、逆向逻辑 1、初始判断【CE数据】 通过游戏试玩，发现玩家是一次性死亡，但在复活开始阶段，有闪光的无敌状态。 可利用这点，实现无敌。 刚开始先通过CE找到类似秒数的 复活状态信息数据，并找到修改数据的代码段。 2、OD调试【OD追踪关键代码块】 在秒数数据下硬件写入断点，得到修改数据的代码。 回溯跟踪分析，分析DL的来源，追踪关键代码块。 在函数入口处下条件断点。 往上分析，发现削减数据，DL来源于 【EBX*4+0x5FE0A8】 , 经多次验证，EBX == 0x0，所以数据来源 0x5FE0A8 此地址数据一直在变化，下硬件写入断点，得到相关计算的功能代码。 跟踪分析，发现此函数返回未削减的数值，并准备调用削减功能代码。 进入分析。 发现函数从固定地址0x711470 + EAX偏移（模块内），取出中间堆数据地址（堆内）。 再通过 中间堆数据地址 + ECX偏移，得到放在 堆中的无敌状态数值。 通过得到无敌状态数值，调用削减功能代码，进行削减后， 再发往0x5FE0A8处，再赋回堆0x39C60CB处。 3、分析和实现 所以，此处可对 EAX偏移，ECX偏移，进行判断。 准确锁定状态数据

一、工具介绍 使用工具：Ollydbg，PEID，ImpREC，Cheat Engine，火绒剑 实现功能：除去广告，游戏秒杀。 二、除去广告 1、初始判断 点击开始游戏，弹出窗口，点击继续，弹出游戏界面。 查看火绒剑进程信息，发现了创建了两个进程，为以下创建关系。 qqllk.exe -> qqllk.ocx -> kyodai.exe 直接运行kyodai.exe，程序奔溃。 直接运行qqllk.ocx（需修改后缀名），可运行。判断qqllk.ocx 对了kyodai.exe进行某些操作。 2、脱壳 对qqllk.ocx（需修改后缀名）进行信息查看 通过PEID 可以看出，程序加了ASPack壳 通过ESP定律，OD插件OllyDump，ImpREC， 脱除 脱除效果： 3、去广告 在脱壳后程序下API断点：CreateProcessA 查看堆栈信息，发现kyodai.exe进程在创建时被挂起 ctrl+F8自动步过，发现进行了一系列的循环操作，猜测在修改kyodai.exe的进程数据 下API断点：ResumeThread 发现进程恢复后游戏启动 可推断qqllk.ocx进程 创建 kyodai.exe进程并挂起 再对 kyodai.exe进程 进行了数据解密恢复 接着恢复进程运行游戏 恢复进程时，OD附加kyodai.exe进程，在OEP下断，并dump进程，完成去广告。

【 声明：版权所有，欢迎转载，请勿用于商业用途。 联系信箱：feixiaoxing @163.com】 在软件处理中，OllyDbg和IDA Pro一般是配合使用的。前者主要用于动态的程序调试，后者主要用于静态的代码分析。那么，如果遇到实际程序，该怎么处理呢？逻辑一般是这样的， 1、首先用OllyDbg验证此程序是否能够运行 分析程序的前提一般是判断程序是否可以运行起来。如果程序本身就是错的，那么就没有分析的必要了。当然为了防止木马、病毒，运行一般是在虚拟机里面进行的，这样不会对OS代码什么风险。 2、利用IDA Pro寻找可能的关键路径 对于比较简单的程序，关键路径是比较好找的，往往是从头执行到尾。就算是复杂的程序，关键路径往往就那么几个，依次处理就可以了。这个时候通过字符串变量查找就是不错的一个方法。 3、利用OllyDbg + F12暂停键获取关键路径 代码执行路径很多，但是往往关键的就1条，这个时候用OD暂停来分析，是最好的一个方法。 4、查看堆栈，获取函数调用路径和变量信息 回溯整个堆栈内容，根据ip地址依次查看函数的调用关系，并且将堆栈内容和软件功能参数进行联系。 5、获取关键函数反汇编代码 此时，如果已经获取关键函数，那么就可以利用IDA Pro的F5反汇编功能，获取对应的C函数。 6、将C函数和具体的物理意义联系起来 IDA Pro逆向生成的函数只是逻辑层面的东西

目录 LoardPe与Import REC X64dbg脚本 脱壳 Upx 一丶X64dbg调试器与脚本 1.1 起因 1.2 脚本的调试 1.3 Upx脱壳脚本 二丶LoardPe 内存Dump与Import Rec导入表修复工具 2.1 脚本执行到OEP 2.2 LoardPe Dump内存 2.3 Import Rec 进行修复 LoardPe与Import REC X64dbg脚本 脱壳 Upx 将要学习到的内容 x64脱壳脚本的编写 LoarPe 与Import 工具的使用 一丶X64dbg调试器与脚本 1.1 起因 在逛论坛的时候,发现别人发的CrackMe带有UPX压缩,直接进行脱壳. 使用EPS定律即可. 但是 x64Dbg下没有脱壳脚本,为什么使用脱壳脚本.原因是脚本方便.不用做重复动作. 正因为没有脱壳脚本呢.所以进行脱壳脚本的编写. 其实x64Dbg脚本特别简单.直接去官网去看就行. https://help.x64dbg.com/en/latest/commands/index.html 脚本就是模拟人的手工操作. 例如你在调试程序的时候, 单步步过(F8) 那么脚本的命令就是sti 你如果是步进(F7) 那么脚本的命令就是 sto, 例如你通过x64Dbg界面下硬件断点. 那么脚本命令就是(bph) 具体参数可以查一下命令手册. 1.2 脚本的调试