加密与解密--动态分析技术篇

看了加密与解密第四版,决定写一下读书笔记,看下能坚持到啥时吧,如果你看到了我所写的,欢迎留言一起讨论一下,对于我的笔记有啥建议或意见,非常欢迎留言举出~
书本讲到了Ollydbg,x64dbg,MDebug,WinDbg,先写一下olydbg,以后有机会再补充剩下三个

字节存储顺序:
Big-ending高位字节方低地址 little-ending低位字节放低位地址

快速操作:
F4运行到光标处
F7单步步入
F8单步步过
F2下断
F9运行
Ctrl+F9遇到ret停止
alt+F9若在系统领空,返回程序领空
双击EIP,来到程序的领空

API :
调用约定{__stdcall调用,c调用约定(调用者宵夜自己清理栈中参数,如add esp,0000000C)}
读取文本框内容函数ANSI(70H)  Unicode(0070H)
4个参数:对话框句柄,控件标识,文本指针,文本长度
32位GetDlgItemTextA(ANSI)  GetDlgItemTextW(Unicode)
64位GetWindowTextA(ANSI) GetWindowTextW(Unicode)

断点:
INT3断点,硬件断点,内存断点,消息断点
INT3 0xCC指令,可会被检测(检测API首地址是否为0xCC)解决方法:设在函数内部或者末尾或者函数入口的下一行
硬件断点 DR0~DR3地址寄存器 DR6状态寄存器 命令(HE ********)
内存断点 读写
一次性断点 Alt+M显示内存,在段上直接下断,一次性
消息断点 W键,列出窗口相关窗口,如在ClassProc上设置消息断点,程序的任何窗口在收到该消息(如WM_LBUTTONUP)是中断,tips:会发现在系统代码上,通过alt+M中对.text下断,放回程序领空(程序消息循环处?)
条件断点

你可能感兴趣的:(学习日记)