reverse-engineering

4熱度

3回答

我想揭開或unobfuscate包含一些字符的一段base64編碼字符串。例如，我知道匹配00000000。有沒有辦法，知道更多的數據（輸入和輸出）來找出混淆字符串的算法？我找不到任何東西。一些示例：的f(A)結果將在長度上變化，如果A較長F（A）會比較長，如果A是較短f(A)將會縮短。如果我們有A和B有相似的結尾（例如[email protected]和[email protected]

0熱度

1回答

從解碼方法編寫編碼方法

我一直在努力對一些代碼進行反向工程，並持續了幾天，而且我已經陷入困境。這基本上只是一個邏輯問題，我不能包攬我的分鐘，我和我的合作伙伴都陷在這個問題上。的設置： function decrypt(s) { var r = ""; var tmp = s.split("9812265"); s = unescape(tmp[0]); k = "4849604567466"; var t

0熱度

1回答

從直接圖像找到instagram頁面

有誰知道如何從instagram中找到圖像？例如，這裏是我知道來自cnn instagram的鏈接，但如果我不知道這一點，我想知道如何找到它。 link

1熱度

1回答

爲什麼字符串存儲在以下方式中的PE文件

我開了一個.exe文件，我發現了一個字符串「高級」被存儲在以下方式 50 00 72 00 65 00 00 6D 69 00 75 00 6D 00 我只是不知道爲什麼「00」被附加到每個字符以及它的用法是什麼。謝謝，

0熱度

1回答

是否有可能在IDA

這裏找到一個write/printf調用總的noob，希望這是好的我正在使用IDA試圖逆向工程我有一個小程序。目前我唯一知道的就是它在啓動時打印一個字符串。我試着在字符串部分查找該字符串，但找不到它（猜測該字符串是在中間生成的）。所以，我想如果我能找到一個打印數據的函數調用，我就可以鎖定程序中的那部分。那可能嗎？如果是這樣，怎麼樣？如果不是，我應該怎麼做才能找到該字符串打印後會發生什麼？（

1熱度

1回答

爲什麼BuiltWith.com返回關於我的網站的錯誤信息？

我很困惑。我擁有從GoDaddy購買的域名，並使用EmberJS構建並通過Firebase託管。但是，如果我在Builtwith.com上查找該網站並查看它的內容，我得到而我不明白，因爲我沒有使用任何這些Microsoft服務。有誰知道爲什麼BuiltWith提供有關我的網站的虛假信息？

2熱度

1回答

爲什麼要將相同的值複製到他已有的rax中？

可有人向我解釋爲什麼我們在主函數@0x6f5移動在rax價值rdi，然後在rdi值複製到get_v的堆棧，然後轉移回rax @0x6c8？也許這是x86-64的慣例，但我不明白它的邏輯。 main: 0x00000000000006da <+0>: push rbp 0x00000000000006db <+1>: mov rbp,rsp 0x0000000000

-8熱度

1回答

中毒內核堆棧的彙編代碼

我想知道圖片中的代碼如何實現中毒堆棧。請給出每個代碼的解釋。

2熱度

1回答

IDAPYTHON從內存中獲取了錯誤的數據

我寫了一個腳本來顯示第二個參數NtQueryInformationProcess。但是，我總是收到錯誤的數據，好像內存不新鮮，我得到的是舊數據。這裏是我的代碼： from idaapi import * NtQueryInformationProcess=0x7798E740 class HookNQIP(DBG_Hooks): def dbg_bpt(self,tid,ea):

1熱度

1回答

我有一個加載的DLL的起始地址，我怎麼能發現並調用它的出口？

我正在寫在進程中運行的加載項。我可靠地能夠發現已經在該進程中加載的DLL的內存地址。在明確的偏移存儲器示出了一個「MZ」 DOS頭和「PE」報頭。後來，似乎是導出函數的名稱等，這走路和說話像一個加載的DLL。所以，現在我想了解更多關於什麼是DLL，更有趣的是，我可能能夠使用來做。我用PE事業中來，但他們一直與基於文件的工作的DLL。如何列出一個內存中的DLL導出的函數，除了通過檢查過程中十六