reverse-tutorial
shark-恒:
爆破、找注册码、去nag、窗口暂停、修改标题、ESP脱壳、IMPrec修复、BP ExitProcess、外挂、灰色按钮、查找字符串、程序领口暂停K查看调用、ESP断点
codecave :添加对话框、添加菜单栏、让一个窗口无法关闭(registerclass,destroywindow)、trap window message(WndProc、DlgProc)、通过dll注入添加消息框、利用call stack和resource hack定位nag、True Bruteforcing、注册表时间限制、patchers
VB程序:
不能使用call-stack,不能使用strings,no helpful strings, no recognizable API calls,VB Decompiler、vbaStrCmp、main callback。110(WM_INITDIALOG)
反调试:UDD file、代码混淆、控制流混淆、自编码、Windows api(IsDebuggerPresent、GetTickCount、checkBreakpoint、ZwQuerySystemInformation)、模糊预测、垃圾代码,change "jmp" to "push xxx;ret"会让IDA分析困难。Manually Loading Imports.
步骤:search strings -> search internal calls -> looking for suspicious call
添加区段:CCF add section -> make it executable
TLS: 64个DWORD,tls代码在主程序之前运行,当程序一加载进od就终止了说明有tls
调试:消息断点、条件断点
实战:
1:全能上网计时器(注册破解),unicode搜索(UNREG,LINCENSE)
