IDA逆向训练-1
1.打开IDA-》打开程序notepad.upx
如下图显示:
@@@@@@@@@@@@@@@@@
2.1)程序开头部分:
public start
start proc near
pusha
@@@@@@@@@@@@@@@@@
2)滚动左下脚的视图
找到与pusha 对应的 语句
@@@@@@@@@@@@@@@@@
3)右击TextView
@@@@@@@@@@@@@@@@@
复制地址:0040EA0E
@@@@@@@@@@@@@@@@@
3.打开OD
加载程序-->Ctrl+G输入地址-->下断点
@@@@@@@@@@@@@@@@@
@@@@@@@@@@@@@@@@@
F4运行到此处,单步执行
执行到程序入口点:004010CC 55 push ebp
@@@@@@@@@@@@@@@@@
右键:用OllyDump脱壳高度进程
@@@@@@@@@@@@@@@@@
脱壳:
@@@@@@@@@@@@@@@@@
打开:加载进程,修复OEP,修复输入表
@@@@@@@@@@@@@@@@@
转储到文件:
@@@@@@@@@@@@@@@@@
示例文件: