1.课程怎么看?
课程是由①在线观看②本地机器绑定算码共同组成的,在线观看结束后,你就可以在逆向班级总群群文件的“第x阶段文件夹”中下载视频了,具体操作方式可以观看在线第五课
2.你去考研了,问题谁来解答?
我觉得这是非常重要的问题,因此,我设立了两位助教老师,是逆向班级总群的管理员,所以找谁?就找班级总群的管理员,就可以了!他们拿了薪水,不给你解答问题的话,打完电话,我办他!当然了,问问题,必定是课程中的问题,我们的宗旨就是课程内的问题有问必答!就比如你问高中物理老师原子弹怎么造?你这不是胡扯,虽然是物理,但是跟高中物理不扯啊~这个你得问“科学家”~
3.课程机器码找谁算?
找我QQ算就可以了,我的QQ是我的女助理登陆,可以撩小姐姐哦~
4.课程考试怎么办?
考试还是要考的,每阶段都是要考的,不考是不行滴,答卷传送文件给助教,如果没有回复,可以多发几次消息,有可能老师看不到,或者假装没看到,你多发几次消息就好咯,助教老师觉得你的考试及格了,马上去找助理小姐姐,也就是我的账号,要播放密码,就可以通过考试看下面的教程啦~
5.群里课程文件下载超级慢怎么办?
我没有传百度网盘,因为实在没有时间了,所以有个快速下载的方法告诉大家,就是让群内的同学从群文件转发给你个人,这样要比你直接从群内下载快很多~
2020/2/20第一次问题总结
课程问题总结:
1.如何干掉EAC?
这个大家直接氪金比较好~如果有兴趣分析,可以学习内核驱动开发,直奔《windows内核驱动安全编程与驱动开发》一书,然后看雪安全论坛搜索EAC以及驱动内核等关键字,学会编写驱动的同时了解如何对驱动程序进行逆向。
与R3下调试不同的是,你需要用winbg去调试驱动,但是慢慢就会适应了~
2.如何干掉BE不封号?
我觉得可以从内存检测以及封包检测来探寻,内存过检测我们讲了,你先把功能检测过掉,另外过掉内存的时候,这些完全过掉后可能会有封包与服务器的校验,所以,尝试在包中寻找检测标志位,这是一个复杂的过程,要有耐心。
另外,你的程序需要隐藏或者进行其他对于运行态程序检测的对抗,运行中的一切程序都有可能被BE分析。
3.分析骨骼?
这个在你们大师兄的课程:《游戏安全逆向工程师 : FPS逆向》中就有,链接 https://study.163.com/course/courseMain.htm?courseId=1209593961&share=2&shareId=1020678503
4.能不能按照一个游戏讲?
我还是希望大家能够多方面发展,所以我们通过不同的程序进行分析,拓展思路的灵活性,在一个程序中讲讲讲,最终你的思维会固化~
5.有些附加不了CE或者OD?
这个就是加了保护了,如果你自己要分析的话,我推荐你看下总群里发的“课程配套源码+书籍”文件夹里面的“XX的艺术”,了解需要哪些知识,简单的说几个,比如简单的进行R3下异常处理,检测断点等来反调试,再就是驱动级别的了,驱动保护程序。也就是说,两种级别吧,用户层和驱动层,怎么解决呢?
我想对于*P来说大家都很方便的能找到“破图标工具”等类似的工具的,至于EAC,可以选择氪金buy调试器,或者找研究过的人。
6.为啥单机游戏一改就变回来?
因为游戏修改了它啊,你修改它,游戏就会还原它。游戏操作数据时是在寄存器中的:mov 血量,[地址],这个时候你可以查找改写,然后直接nop掉,就可以啦~
一看你这个基础就有点差劲,加油哦
7.从头到尾写出来一个完整的?
可以,不过要等明年啦,而且不收费,考上研究生免费给大家录制一个这个。
8.针对x64程序的简单分析?
我想这个其实是很容易从x86过渡的,需要改变的地方是两点:调试器、汇编,调试器换x64dbg,汇编发生比较重要的变化,多翻翻书吧,另外大家比较头疼的是hook,64下HOOK应该注意什么?首先X64和X86本质区别就是地址总线上的差别,一个是2^64次,一次传输64位数据,一个是2^32次,一次传输32位数据。由此造成的差异就是内存地址大小问题,在32位机器上主要是4个字节,64位机器上就变成了8个字节。这样的话对于指针的使用就需要考虑到两个架构上的兼容性和差异性。例如在32下可以使用ULONG,但是在64位下使用ULONG_PTR。这样就可以有效避免由于编码问题产生的异常(或者统一使用ULONG_PTR)。第二就是PE格式上,由于x86和x64PE结构上存在微小差异,所以在进行AddressHook的时候需要注意。第三可能涉及到跳转的问题。
由于地址长度导致跳转指令长度变化。想mov-jmp就需要利用2+8+2的长度进行跳转,又像push-ret的方法,在32位系统下直接push就是32位数据,但是64位下只能push32位数据,这样的话,只能先push低位数据,然后修改高位数据,例如这样:push 55667788h;mov [esp+4],11223344。再如使用jmp[addr]方法。FF25类型jmp在X86平台下是一种绝对偏移的跳转,但是在x64下也是一种相对偏移的跳转。计算公式为当前EIP+0x6(指令长度)。
可以参考:https://bbs.pediy.com/thread-183367.htm
如果我亲自录制,要等考完研究生了~
未完待更~