首页
论坛
课程
招聘
[原创] 逆向分析一头雾水,是谷歌拯救了我。
2020-2-11 11:01 3182

[原创] 逆向分析一头雾水,是谷歌拯救了我。

2020-2-11 11:01
3182
十年没来看雪了,最近又重新抓逆向,特来提供逆向中一些简单的思路。

目标是64位程序 od不能用了。主要是所有插件全都不能用了,如果有人告知更好的方法,感激不尽。

只能用x64dbg上手,结果一附加就ExitProcess.看来是被Anti了。

直接patch也不行 好像有check.
打开文件跟踪到现在花了几个小时 仍然一头雾水。
主要是自从转web和移动端之后几乎没碰逆向了。

直到 我看到


看到 1000193h.
 
然后我的思路很简单。

大家写程序 一般不会写 无意义的数字。

于是我搜索了 

1000193h



然后我就知道了 这段代码是 Hash

知道是Hash 就好办了,干掉就行了。

但是代码还有 RDTSC 
32位的 fake rdtsc sys失效。
源代码倒是有,但是自己还得搭建wdk.
一想到自己曾经写驱动蓝屏的次数就蛋疼。
如果有人能提供x64的 bypass RDTSC就好了。

以上就是我十年来第一次逆向遇到的问题和思路。
就算忘了很多东西,但技巧和好习惯仍然在。
可能是我错觉把,听说windows10是最后一个版本了。
好多搞过的,学过的东西就这样没多大用了。
windows系统都几乎不用了。

最近有点业余时间,搞一搞逆向,顺便和大家打个招呼 ^_^

话说论坛卡的一坨屎动不动出现504..论坛也是老了,能理解。
我也老了。

[公告]请完善个人简历信息,招聘企业等你来!

最后于 2020-2-11 11:25 被eGirlAsm编辑 ,原因:
收藏
点赞0
打赏
分享
最新回复 (8)
雪    币: 2112
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_xghoecki 活跃值 2020-2-11 11:50
2
1
感谢分享
雪    币: 7595
活跃值: 活跃值 (399)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
VCKFC 活跃值 2020-2-11 13:44
3
0
32位的驱动要拦截rdtsc 指令是如何做到的?
雪    币: 1
活跃值: 活跃值 (64)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lookzo 活跃值 2020-2-14 09:23
4
0
windows曾经是一个时代符号,很多和楼主一样的人同样的经历啊,哈哈哈
雪    币: 416
活跃值: 活跃值 (61)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
养乐多A 活跃值 2020-2-15 15:55
5
0
rdtsc 这是什么 太专业了看不懂
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_zwfgrbec 活跃值 2020-2-16 23:38
6
0
支持
雪    币: 370
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
horux 活跃值 2020-2-18 23:48
7
0
目前有什么好的途径上google吗?谢谢!
雪    币: 3529
活跃值: 活跃值 (97)
能力值: ( LV6,RANK:93 )
在线值:
发帖
回帖
粉丝
Adventure 活跃值 2020-2-19 00:30
8
0
养乐多A rdtsc 这是什么 太专业了看不懂
汇编指令rdtsc用来读取cpu时钟, 读取后保存到一个变量里, 过一段时间再执行一次这个指令,将结果与之前保存的对比,如果差值很大。 说明正在当前程序可能正被单步。。  反调试的小技巧
雪    币: 186
活跃值: 活跃值 (81)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
方向感 活跃值 2020-2-19 10:33
9
1
horux 目前有什么好的途径上google吗?谢谢!
找个梯子,翻,v2rayN
游客
登录 | 注册 方可回帖
返回