C++博客-huyutian-文章分类-汇编逆向

C++博客-huyutian-文章分类-汇编逆向http://www.cppblog.com/huyutian/category/17546.html他强由他强，清风拂山岗；他横由他横，明月照大江。他自狠来他自恶，我自一口真气足 zh-cnThu, 17 Jul 2014 13:00:18 GMTThu, 17 Jul 2014 13:00:18 GMT60为IDA Pro 6.1重新编译插件CrowdDetoxhttp://www.cppblog.com/huyutian/articles/207657.html胡雨田胡雨田Tue, 15 Jul 2014 13:34:00 GMThttp://www.cppblog.com/huyutian/articles/207657.htmlhttp://www.cppblog.com/huyutian/comments/207657.htmlhttp://www.cppblog.com/huyutian/articles/207657.html#Feedback0http://www.cppblog.com/huyutian/comments/commentRss/207657.htmlhttp://www.cppblog.com/huyutian/services/trackbacks/207657.html CrowdDetox是2013年hex-rays获奖插件：CrowdStrike 开源的IDA插件，可以自动移除Hex-Rays decompiler 反编译代码中的垃圾代码和变量，快捷键'Shift-F5'。

该插件的源代码可以从https://github.com/CrowdStrike/CrowdDetox下载。

但是我在网上google了好久没有找到能在IDA Pro6.1版本下正常使用的文件。http://techbliss.org/threads/crowddetox-for-1-5-and-ida-6-1.481/以及
看雪网站都有人重新编译国该插件，但我下载后发现仍然无法在我的IDA Pro6.1版本下正常使用，不得已只好自己尝试重新编译。
好在github上有详细的编译方法，先安装visual c++ 2010 Express，再安装CMake，在visual c++命令行环境运行CMake，生成project文件。打开visual c++IDE进行编译，结果出现编译错误。检查错误信息，发现是ida 6.1 自带的hexrays.hpp中 struct citem_t不包含 index成员变量。解决办法，注释掉CrowdDetox.cpp中第

1010行。编译通过，运行IDA测试完全正常。可以从这里下载。

运行截图如下：

胡雨田 2014-07-15 21:34 发表评论

]]>逆向工程的技巧——持续增加中http://www.cppblog.com/huyutian/articles/153304.html胡雨田胡雨田Sat, 13 Aug 2011 14:29:00 GMThttp://www.cppblog.com/huyutian/articles/153304.htmlhttp://www.cppblog.com/huyutian/comments/153304.htmlhttp://www.cppblog.com/huyutian/articles/153304.html#Feedback0http://www.cppblog.com/huyutian/comments/commentRss/153304.htmlhttp://www.cppblog.com/huyutian/services/trackbacks/153304.html1.一般来说，逆向工程都是从数据开始的，你必须找到代码管理的关键数据结构
2.在WINDOWS系统中，除了FS寄存器外，你都可以放心的将段寄存器忽略掉。FS寄存器允许我们访问线程局部内存(thread-local memory)中的一个小的空间。
3.搞清楚函数的调用约定cdecl，fastcall，stdcall，this
4.注意区分JA与JG的区别，使用JA表示操作数被当作无符号数处理，JG则相反
5.汇编语言代码中条件跳转语句的测试条件一定与c源代码中if语句中的判断条件相反。这是因为处理器要知道在什么情况下要跳过那些代码

胡雨田 2011-08-13 22:29 发表评论

]]>