前言 逆向这个属于是费神，费力…主要函数功能还是要靠调试和猜测来进行得出…写此篇文章也希望能对后续的复现者能够有所帮助 子程序程序主函数 直接拖到IDA中，程序会分析出来对应的主函数，在主函数我们可以观察到一个VirtuaalProtect函数，通过程序名称我们也可以知道程序是一个加载一个新的PE来完成对应的功能。为了到新的子程序中，我们采用调试将对应的数据段按P进行构建函数，通过不断的测试哪些

前言 整个比赛下来十分坐牢，就只有取证能稍微动一下下，真 —— 取证大赛，比赛结束了，也就只有取证是有解，其他的题目一个没动… 以下仅有的也是取证的 wp 题解… 电子取证 手机取证_1 Q：现对一个苹果手机进行取证，请您对以下问题进行分析解答。627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是？ A： 直接在目录下找到这个图片查看对应分辨率即可 只后

IDAPython 背景 IDAPython 创建于 2004 年。这是Gergely Erdelyi和Ero Carrera的共同努力。他们的目标 是结合强大的python与自动化分析的IDA的类C脚本语言IDC。IDAPython 由三个独立模块 组成。第一个是idc，它是封装IDA的IDC函数的兼容性模块。第二个模块是idautils，这是IDA里的一个高级实用函数。第三个模块是idaapi

前言 VM逆向对于Re老手肯定是不陌生的，但是对于我一个Re废物来说，之前一直有听说过VM的逆向题目，但是因为时间原因一直没有去实践过一个题目，基本上是遇到就溜，感觉到十分棘手，因此在此次学习中将其进行记录，也希望对后来学习的同学有所帮助 基本介绍 VMP：也就是虚拟机保护技术，它是将基于x86汇编系统的可执行代码转换为字节码指令系统的代码，以达到保护原有指令不被轻易逆向和篡改的目的。这种指令执行

拿到程序拖入PE中可以发现是一个UPX壳的 64 位程序，我们如果直接upx -d进行脱壳可以发现程序无法运行，因此我们运行x64dbg开始尝试手动脱壳。 脱壳完后的程序在修复一下IAT，之后拖入IDA中,依次进入 可以看出来程序创建了一个线程，在运行些什么东西，我们运行原来的程序，打开任务管理器进行查看 可以看到多出来一个进程，而且在跑一个可执行的程序，我们对此需要想办法将其dump出

简单举例 以7546除23为例。 先减去23的100倍，就是2300，可以减3次，余下646。 此时商就是300； 然后646减去23的10倍，就是230，可以减2次，余下186。此时商就是320； 然后186减去23，可以减8次，此时商就是328. 原因说明 对于大数除法来说其本质上也是大数减法的一种延续，我们除以一个数字可以采用多次减去该数，而能减去的次数便是我们所需要的商，但是一个很大的数

前言 最近遇到好多UPX类型的题目，大多都是直接使用upx -d进行脱壳的，没有真正去理解如何完成脱壳的一个过程。同时也存在一些题目直接使用upx -d进行脱壳后会出现无法运行的情况，特此写下此文章以供后者学习。 准备部分 我们先准备好upx.exe文件，同时编写一个简单的程序，利用upx.exe对其进行加壳，此处采用一个简单的Hello world来进行练习，代码如下： 123456#inclu

题目：毕业后找工作 or 创业 第一段 With the rapid development/ globalization of（——填：society, culture, medical service, education, economy） 引出问题，背景：Nowadays（youngsters/students）have different options upon （——例子：gradu

有如下指令： 123地址 HEX数据 反汇编00413930 E8 00000000 call 00413935 ; call $+500413935 58 pop eax 在进行汇编语言分析时，经常看到标题中的指令流（E800000000 58，第二条肯定是pop指令，但是目的寄存器不一定是eax），这是干什么的呢？ 看起来貌似很神秘，其实结合前后代码的

基本概念 一般概念 汇编语言能够直接访问计算机硬件 地址总线是单向的，其他的是双向的。 其中地址总线的数量决定了可寻址的存储单元大小，N根地址总线，对应寻址> 空间为2的N次方。 数据总线的宽度决定了CPU和未接数据传送的速度。 控制总线决定了CPU对外部器件的控制能力。 汇编器：将程序转换为机器语言 连接器：将汇编器生成的单个文件进行组合为一个可执行程序 调试器：使程序员单步执行程序，