Winasm_0.exe 分析
常用程序的特征
分析 BC++程序特征
分析 Delphi 程序特征
分析 VS 程序
分析 vc6.0 和易
- IDA 的快捷键有哪些?
空格 切换选项卡
R 转换为 ASCii 码字符
N 重命名
G 打开跳转窗口
INS 打开创建结构体窗口(结构体窗口)
Q 将局部变量转为本身数值
Shift+F4 打开名称窗口
M 转换常量数据为宏定义
回车 选中地址按回车进入到地址内部
D 定义数据类型
Alt+Q 转换结构体类型(局部堆栈窗口)
F5 将反汇编反编译为 C 代码
Alt+M 添加标签
A 转换为 Ascii 码字符串
Tab 将反汇编反编译为 C 代码
ESC 返回上一步
: 添加注释
Alt+G 切换指令集(ARM 指令与 thumb 指令转换)
C 将数据转为代码
Ctrl+P 打开函数窗口
Alt+T 搜索文本
Ctrl+X 交叉引用
F7 单步步入(调试器)
F8 单步步过(调试器)
? 打开计算器
Ctrl+M 打开标签窗口
Ctrl+Alt+B 断点列表
F1 查看帮助文档
Ctrl+F7 运行到函数返回地址
Shift+F9 打开结构体窗口
U 将当前选中的数据会代码转为未定义
Ctrl+K 打开局部堆栈窗口
Shift+F3 打开函数窗口
Shift+F12 字符串窗口
Alt+K 打开设置堆栈窗口
P 将代码转为函数
Winasm_0.exe 分析
image.png
常用程序的特征
- BC++
- Delphi
- 易语言
- VB
- VC++
分析 BC++程序特征 - OEP 特征
- 区段名称
- 链接器版本
- Oep 特征
image.png
image.png
二进制特征:EB 10 66 62 3A 43 2B 2B 48 4F 4F 4B 90
第一个 API 调用,GetModuleHandlA、
API 调用 IAT 时,采用模式是 FF25
image.png
-
区段名称
分的比较细
image.png
-
链接器版本
5.0
分析 Delphi 程序特征
-
OEP 特征
image.png
5 个 CALL,第一个 CALL 内有 API 调用,GetModuleHandlA
- 区段名称
image.png
- 链接器版本
2.25
分析 VS 程序
以链接器版本为例,分析 VC 程序
VC6.0 6.0
VC2003 7.0, 7.1
VC2005 8.0
VS2008 9.0
VS2010 10.0
VS2012 11.0
VS2013 12.0
VS2015 14.0
VS2017 14.1
分析 vc6.0 和易语言
OEP
image.png
申请局部空间是:sub esp,0x58
第一个 API 调用是 GetVersion
网友评论