某exe逆向

admin 2024年11月26日23:01:57评论3 views字数 556阅读1分51秒阅读模式

    这下 web、app、exe 逆向都全了

1、抓包

通过 wireshark 对程序进行抓包

某exe逆向

    可以看到数据里面存在我们的账号密码、ip地址、mac地址等信息,最后的乱码就是签名信息。确定了逆向目标

2、定位参数加密

通过cheat engine 扫描电脑内存,

某exe逆向

这里有个小技巧,将wireshark抓包内转转成hex,然后赋值hex在内存里搜索,用乱码直接搜文本搜不到

找到目标exe所在的内存段,然后搜索查看内存疑似地址,右键可以监控谁改写了这段内存。

某exe逆向

发现是一个windows系统的c运行库改写,然后通过hook dll的所有内存操作赋值相关的函数,打印堆栈,大海捞针,挨个看

3、静态分析+动态分析

IDA+ binary ninja 反编译 exe 程序,查看目标方法的代码

一顿分析代码发现是真的看不懂,还调了一堆外部引入的方法。。。

中间尝试了 ida trace function等各种方法尝试直接定位到目标加解密方法,全是sub匿名函数而且这个treace还进不去其他的dll,实在分析不下去了。

啥都看不懂之后开始尝试动态分析。动态分析过程中发现有反调试

某exe逆向

通过 patch 或者 hook 过掉反调试后,单步运行一直调就完了

最后,因为不会用ida查看变量的值,错过了好几次加密点,感谢 AI 救我狗命

某exe逆向

原文始发于微信公众号(逆向成长日记):某exe逆向

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月26日23:01:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某exe逆向https://cn-sec.com/archives/3441759.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息