程序逆向

Ntdll Unhook 上集

一、介绍NTDLL 解除挂钩是将加载进程中的钩子 DLL 替换为未更改的未钩子版本,用未挂钩的版本替换挂钩的 DLL 需要手动设置 IAT、修复重新分配和其他繁琐的任务。为了避免这种情况, .text...
admin 03月24日9 views评论ntdll section
阅读全文
程序逆向

IDA技巧(114)分割偏移量

我们已经讨论过 偏移量表达式,这些表达式可以适应单个指令操作数或数据值。但情况并不总是如此,所以让我们看看IDA如何处理可能由多个部分构成的偏移量。8位处理器尽管逐渐被淘汰,8位处理器——尤其是经典的...
admin 02月20日48 views评论ida 处理器
阅读全文
程序逆向

IDA技巧(104)立即数搜索

立即数搜索是IDA中三种主要搜索类型之一。虽然不太为人所知,但在某些情况下非常有用。以下是一些例子。独特(魔法)常量如果你知道程序中使用的一些独特常量,寻找它们可以让你缩小需要分析的代码范围。例如,如...
admin 01月26日26 views评论ida 处理器
阅读全文
程序逆向

IDA 技巧(75) IDA 中使用联合体

在C语言中,联合体是一种类似于结构体的类型,但其所有成员(可能是不同类型)共享同一块内存,彼此重叠。它们被用于需要以不同方式解释相同数据的场合,或者在存储不同类型的数据时节省内存(这在脚本引擎等中很常...
admin 11月21日28 views评论ida 快捷键
阅读全文