加密算法

  1. 拖ida
  2. findcrypt
  3. 常量
  4. 动调 传参
  5. 动调 返回结果

base64

分组 移位 查表

RC4

  1. 0-255 s盒初始化
  2. 0-255 t盒初始化
  3. 密钥流明文一次异或

DES

  1. s盒
  2. p盒
  3. 16轮
  4. cbc引入iv向量先与明文异或
  5. 填充方式:0/pkcs7

AES

  1. s盒
  2. 逆s盒
  3. 9轮

RSA

ECC

ida动调

F2下断点

设置debugger

F7 步入

F8 步过

F9 运行

脱壳

出口标志法

大跳转 跨段 例如upx

popad 61

jmp E9/E8

SFX定位法

od专用

异常全部打勾

选项 调试设置 sfx 块方式跟踪真正入口处