黑客技术软件下载-盗取微信的软件下载-Hack.lu之mealtime中的反调试技术小结

窃取手机微信的软件下载-Hack.lu之mealtime中的反调试技术性总结

[0x01情况]

前几日玩儿了Hack.lu，由于工作中很忙，也没作出哪些题来，但是觉得里边的题目還是挺有趣的，一些题目尽管不会太难，可是包含的知识要点许多 ，本文要剖析mealtime就这样一个事例。

下边是mealtime的题目叙述：

Heading up the steeple gave you and your companion a nice view over the outbreak situation in your city. But it also attracted a lot of unwanted attention. Zombies are surrounding your spot and are 黑客技术软件下载 looking for an entrance to the building. You obviously need some bait to lure them away so you can flee safely. Solve this challenge to find out which human bodypart zombies like the most.

http://dl.ctftime.org/38/142/mealtime.exe

它是一道逆向分析类的题目，用了TEA做为其算法，有很多团队都完成了，下边是几篇来源于其他团队的writeup：

http://leetmore.ctf.su/wp/hack-lu-2012-ctf-challenge-25-200/?utm_campaign=ctftime 黑客技术软件下载 （好像必须科学上网）

http://blog.lse.epita.fr/articles/35-hacklu-ctf-2012-mealtime-200-points.html

这几篇文章内容对算法的剖析早已十分清楚了，因此 我不会准备再转述了。可是遗憾的是，这道题里边应用了十分多的反调试技术性，在这里几篇文章内容都只开展了一笑了之的叙述。算法虽然是处理这道题目地关键，可是针对在其中较为經典的反调试技术性，我认为也必须和大伙儿共享一下，因此 才拥有本文。

[0x02 IsDebuggerPresent]

这一API的登场率极高，从姓名就能看得出它的功效，其內部完成比较简单：

7C813123    64:A1 18000000    mov eax,dword ptr 黑客技术软件下载 fs:[18]

7C813129    8B40 30          mov eax,dword ptr ds:[eax 30]

7C81312C    0FB640 02       movzx eax,byte ptr ds:[eax 2]

7C813130    C3                retn

假如一个调试器根据Debug 黑客技术软件下载 API调试一个过程得话，它会把表明过程运作情况的一个建筑结构中的一个标示部位位，因而只必须检验这一标志位，就了解程序流程是不是在被调试了。那麼怎样获得这标志位呢？

这儿就迫不得已提到一个独特的存储器——FS存储器。系统软件会将当今进程的基本信息储存在一个称为进程自然环境块（TEB）的算法设计中，而FS存储器便是用于储存该算法设计的表针的。TEB的之一个组员是一个称为进程信息内容块的构造（TIB），而进程信息内容块中偏位0×18的部位，恰好是进程自然环境块（TEB）的反方向表针，因此 我们可以从FS:[18]这一部位得到 TEB这一构造，获得了TEB以后，大家就可以在其偏位0×30的地区，寻找储存当今过程信息内容的一个建筑结构——过程自然环境块（PEB），而过程自然环境块中偏位0×02的地区，便是大家不久提及的标黑客技术软件下载志过程是不是被调试的标志位了。不难看出，上边列举的IsDebuggerPresent的编码，便是在找寻这一标志位。

[0x03毁坏程序运行]

检验到程序流程被调试，或是程序验证不通过，大家通常会将程序流程的实行流迁移到一个处理错误中，比如弹出来一个提示框说程序运行不正确或是规定客户再次开展认证。可是这道题目却用了一种非常暴力的 *** 来解决这种状况，那便是让程序流程造成出现异常，从而撤出。

让程序流程出现异常的方式许多 ，一些非常容易鉴别，比如该程序流程中采用了下边的编码：

实例一：

.text:00401507                  黑客技术软件下载 pop     esp

实例二：

.text:0040197C                 mov     esp, eax

实例三：

.text:004011B7                 push    黑客技术软件下载 0BADBADh

.text:004011BC                 retn

实例一和实例二全是立即毁坏了偏向局部变量的表针，促使程序流程在开展局部变量有关的实际操作时便会造成出现异常，实例三是立即改动了涵数的回到详细地址，进而造成 涵数出现异常实行。

另外，这一程序流程里边还用了一种较为隐秘的造成 程序流程出现异常实行的 *** ，那便是std命令。看下面这一段编码：

.text:004015C3                 cmp     al, 黑客技术软件下载[ecx]

.text:004015C5                 jz      short loc_4015C8

.text:004014C7                 std

这一段编码非常简单，先用cmp干了一个较为，如果不相同，就实行std命令。std命令的功效十分小，他总是将标志寄存器中一个和详细地址提高方位相关的标示——DF标示置位。但是细微的更改黑客技术软件下载有时也很有可能造成极大的转变，因此 是不可以忽视的。一旦DF标示被置位了，在我们开展字符串数组复制的情况下，本应当依照详细地址增长的方位开展复制，可是因为DF的危害，却变成了依照详细地址下降的方位开展复制，这可能造成哪些的不良影响是难以预测的。在这个程序流程中，这一小小更改立即造成 了后边GetModuleHandle这一API启用不成功，进而使程序流程没法一切正常实行。

也许在你的眼里 *** 黑客是一个,神密而探险的人物角色。对你来说黑他人的网址酷呆了,可是这是一个艰辛的全过程,我的愿望是做一名杰出 *** 黑客,维护全国信用。可是‘’。窃取手机微信的软件下载

qq上的 *** 黑客精英团队可靠吗下载文件: *** 黑客数字雨FLASH.rar|稍等片刻有二种款式装包让你我手机屏保的,不知道你是不是必须!专用工具截屏,数字雨可设定速率,照片能够设定3D或三维!

窃取手机微信的软件下载听说是被器重,变成腾讯企业的关键职工,如今过黑客技术软件下载得非常好。终究是个优秀人才。

1、警报。必须表明的是,全国各地的救援 *** 全是110,不容易是别的的号。警报后,虽然追回亏损的期待并不大,但也有万一的机遇。2、长点心。之后别再上这类当。

要运作u盘里的数据信息。做到能够长距离的电脑操作的目地。u盘方便使用。罢了。没什么可以说的。数据加密这一方式和密码设置是处理好 *** 。别的的便是应用习惯。窃取手机微信的软件下载

1、开启IE电脑浏览器【专用工具】【大管家载入项】2、查询【SSOForPTLogin2Class】是不是开启,未开启的点一下【开启】:3、Chrome浏览器在弹出来的软件提醒对话框,挑选。

窃取手机微信的软件下载实际上这一手机软件一点含意都没有,他务必要联接的手机输入匹配码,随后就可以操纵另一方的手机上,删,看,一切材料,换句话说你要想在另一方不知道的状况下是无法。

标签：