逆向学习笔记01

1.逆向的作用

1.可以免费试用收费软件
2.编程和逆向相辅相成，比如写代码莫名报错、又找不到原因
3.可以分析软件是否有恶意代码或者程序是否有安全漏洞
4.提高自己在企业的竞争力，比如：可以负责公司的软件安全防破解
5.为恶意代码分析做铺垫

2.可以逆向出源码的语言

java和C#、python可以逆出源码

3.中文字符串搜索方法

1.ida添加搜索中文功能：选中ida图标，右键属性，在目标后面加上 -dCULTURE=all
2.OD内存搜索法，点击M，选中第一行，右键搜索，在ascill文本框输入中文字符串，搜索的字符串旁边可能是注册码，选中搜索的字符串，右键可以设置内存访问断点和硬件访问断点

4.断点问题

有时下了硬件断点，会断不下来，主要是因为插件的反调试作用或者汉化版的作用，这时可以换个OD使用。

5.让exe文件基址不改变的方法

1.用CFF打开->任意头->DLLCharacter->click here->去掉dll can move旁边的勾
2.在VS端：项目属性页-》链接器-》所有选项-》随机基址，设置成否

6.找程序入口点方法：

1.ida法，在ida中找到main函数，即为程序入口点
2.自动步过法(按ctrl+f8)，找到出现控制端的第一个函数。

7.删除增量链接

VS程序的上部有很多jmp+函数名，这些是增量链接，增加VS的快速编译，
增量链接删除方法：项目属性页-》链接器-》所有选项-》启用增量链接设置成否

8.爆破方式

1.NOP掉关键call和跳转指令
2.修改跳转指令法，例如je改成jne等
3.寄存器值修改法，例如把zf位的值从0改为1

9.下断点地方

1.搜索GetWindowTextA，在函数的头部下断
2.搜索MessageBoxA()，在头部下断，下断之后，不断单步回到上个调用函数
3.字符串搜索法：搜索关键信息字符串，找到下断地方

10.两种壳：

VM：代码级保护
加壳：PE级保护