OD入门系列图文详细教程破解做辅助起步.docx

上传人:b****9 文档编号:25792843 上传时间:2023-06-14 格式:DOCX 页数:22 大小:26.84KB
下载 相关 举报
OD入门系列图文详细教程破解做辅助起步.docx_第1页
第1页 / 共22页
OD入门系列图文详细教程破解做辅助起步.docx_第2页
第2页 / 共22页
OD入门系列图文详细教程破解做辅助起步.docx_第3页
第3页 / 共22页
OD入门系列图文详细教程破解做辅助起步.docx_第4页
第4页 / 共22页
OD入门系列图文详细教程破解做辅助起步.docx_第5页
第5页 / 共22页
点击查看更多>>
下载资源
资源描述

OD入门系列图文详细教程破解做辅助起步.docx

《OD入门系列图文详细教程破解做辅助起步.docx》由会员分享,可在线阅读,更多相关《OD入门系列图文详细教程破解做辅助起步.docx(22页珍藏版)》请在冰豆网上搜索。

OD入门系列图文详细教程破解做辅助起步.docx

OD入门系列图文详细教程破解做辅助起步

二)-字串参考

上一篇是使用入门,现在我们开始正式进入破解。

今天的目标程序是看雪兄《加密与解密》第一版附带光盘中的镜像打包中的CFFCrackme#3,采用用户名/序列号保护方式。

原版加了个UPX的壳。

刚开始学破解先不涉及壳的问题,我们主要是熟悉用OllyDBG来破解的一般方法。

我这里把壳脱掉来分析,附件是脱壳后的文件,直接就可以拿来用。

先说一下一般软件破解的流程:

拿到一个软件先别接着马上用OllyDBG调试,先运行一下,有帮助文档的最好先看一下帮助,熟悉一下软件的使用方法,再看看注册的方式。

如果是序列号方式可以先输个假的来试一下,看看有什么反应,也给我们破解留下一些有用的线索。

如果没有输入注册码的地方,要考虑一下是不是读取注册表或Key文件(一般称keyfile,就是程序读取一个文件中的内容来判断是否注册),这些可以用其它工具来辅助分析。

如果这些都不是,原程序只是一个功能不全的试用版,那要注册为正式版本就要自己来写代码完善了。

有点跑题了,呵呵。

获得程序的一些基本信息后,还要用查壳的工具来查一下程序是否加了壳,若没壳的话看看程序是什么编译器编的,如VC、Delphi、VB等。

这样的查壳工具有PEiD和FI。

有壳的话我们要尽量脱了壳后再来用OllyDBG调试,特殊情况下也可带壳调试。

下面进入正题:

我们先来运行一下这个crackme(用PEiD检测显示是Delphi编的),界面如图:

这个crackme已经把用户名和注册码都输好了,省得我们动手^_^。

我们在那个“Registernow!

”按钮上点击一下,将会跳出一个对话框:

好了,今天我们就从这个错误对话框中显示的“WrongSerial,tryagain!

”来入手。

启动OllyDBG,选择菜单文件->打开载入文件,我们会停在这里:

我们在反汇编窗口中右击,出来一个菜单,我们在查找->所有参考文本字串上左键点击:

当然如果用上面那个超级字串参考+插件会更方便。

但我们的目标是熟悉OllyDBG的一些操作,我就尽量使用OllyDBG自带的功能,少用插件。

好了,现在出来另一个对话框,我们在这个对话框里右击,选择“查找文本”菜单项,输入“WrongSerial,tryagain!

”的开头单词“Wrong”(注意这里查找内容要区分大小写)来查找,找到一处:

在我们找到的字串上右击,再在出来的菜单上点击“反汇编窗口中跟随”,我们来到这里:

见上图,为了看看是否还有其他的参考,可以通过选择右键菜单查找参考->立即数,会出来一个对话框:

分别双击上面标出的两个地址,我们会来到对应的位置:

00440F79|.BA8C104400  MOVEDX,      ;ASCII"WrongSerial,tryagain!

"

00440F7E|.A1442C4400  MOVEAX,DWORDPTRDS:

[442C44]

00440F83|.8B00      MOVEAX,DWORDPTRDS:

[EAX]

00440F85|.E8DEC0FFFF  CALL

00440F8A|.EB18     JMPSHORT

00440F8C|>6A00     PUSH0

00440F8E|.B9  MOVECX,      ;ASCII"Beggaroff!

"

00440F93|.BA8C104400  MOVEDX,      ;ASCII"WrongSerial,tryagain!

"

00440F98|.A1442C4400  MOVEAX,DWORDPTRDS:

[442C44]

00440F9D|.8B00      MOVEAX,DWORDPTRDS:

[EAX]

00440F9F|.E8C4C0FFFF  CALL

我们在反汇编窗口中向上滚动一下再看看:

00440F2C|.8B45FC    MOVEAX,DWORDPTRSS:

[EBP-4]

00440F2F|.BA  MOVEDX,      ;ASCII"RegisteredUser"

00440F34|.E8F32BFCFF  CALL        ;关键,要用F7跟进去

00440F39|.7551     JNZSHORT     ;这里跳走就完蛋

00440F3B|.8D55FC    LEAEDX,DWORDPTRSS:

[EBP-4]

00440F3E|.8B83C8020000 MOVEAX,DWORDPTRDS:

[EBX+2C8]

00440F44|.E8D7FEFDFF  CALL

00440F49|.8B45FC    MOVEAX,DWORDPTRSS:

[EBP-4]

00440F4C|.BA2C104400  MOVEDX,      ;ASCII"GFX-754-IER-954"

00440F51|.E8D62BFCFF  CALL        ;关键,要用F7跟进去

00440F56|.751A     JNZSHORT     ;这里跳走就完蛋

00440F58|.6A00PUSH0

00440F5A|.B93C104400  MOVECX,      ;ASCII"CrackMecrackedsuccessfully"

00440F5F|.BA5C104400  MOVEDX,      ;ASCII"Congrats!

YoucrackedthisCrackMe!

"

00440F64|.A1442C4400  MOVEAX,DWORDPTRDS:

[442C44]

00440F69|.8B00      MOVEAX,DWORDPTRDS:

[EAX]

00440F6B|.E8F8C0FFFF  CALL

00440F70|.EB32     JMPSHORT

00440F72|>6A00     PUSH0

00440F74|.B9  MOVECX,      ;ASCII"Beggaroff!

"

00440F79|.BA8C104400  MOVEDX,      ;ASCII"WrongSerial,tryagain!

"

00440F7E|.A1442C4400  MOVEAX,DWORDPTRDS:

[442C44]

00440F83|.8B00      MOVEAX,DWORDPTRDS:

[EAX]

00440F85|.E8DEC0FFFF  CALL

00440F8A|.EB18     JMPSHORT

00440F8C|>6A00     PUSH0

00440F8E|.B9  MOVECX,      ;ASCII"Beggaroff!

"

00440F93|.BA8C104400  MOVEDX,      ;ASCII"WrongSerial,tryagain!

"

00440F98|.A1442C4400  MOVEAX,DWORDPTRDS:

[442C44]

00440F9D|.8B00      MOVEAX,DWORDPTRDS:

[EAX]

00440F9F|.E8C4C0FFFF  CALL

大家注意看一下上面的注释,我在上面标了两个关键点。

有人可能要问,你怎么知道那两个地方是关键点?

其实很简单,我是根据查看是哪条指令跳到“wrongserial,tryagain”这条字串对应的指令来决定的。

如果你在调试选项->CPU标签中把“显示跳转路径”及其下面的两个“如跳转未实现则显示灰色路径”、“显示跳转到选定命令的路径”都选上的话,就会看到是从什么地方跳到出错字串处的:

 

(未完待续/入门系列

(二)-字串参考

(2))

我们在上图中地址00440F2C处按F2键设个断点,现在我们按F9键,程序已运行起来了。

我在上面那个编辑框中随便输入一下,如CCDebuger,下面那个编辑框我还保留为原来的“754-GFX-IER-954”,我们点一下那个“Registernow!

”按钮,呵,OllyDBG跳了出来,暂停在我们下的断点处。

我们看一下信息窗口,你应该发现了你刚才输入的内容了吧?

我这里显示是这样:

堆栈SS:

[0012F9AC]=00D44DB4,(ASCII"CCDebuger")

EAX=00000009

上面的内存地址00D44DB4中就是我们刚才输入的内容,我这里是CCDebuger。

你可以在堆栈SS:

[0012F9AC]=00D44DB4,(ASCII"CCDebuger")这条内容上左击选择一下,再点右键,在弹出菜单中选择“数据窗口中跟随数值”,你就会在下面的数据窗口中看到你刚才输入的内容。

而EAX=00000009指的是你输入内容的长度。

如我输入的CCDebuger是9个字符。

如下图所示:

现在我们来按F8键一步步分析一下:

00440F2C|.8B45FC    MOVEAX,DWORDPTRSS:

[EBP-4]     ;把我们输入的内容送到EAX,我这里是“CCDebuger”

00440F2F|.BA  MOVEDX,      ;ASCII"RegisteredUser"

00440F34|.E8F32BFCFF  CALL        ;关键,要用F7跟进去

00440F39|.7551     JNZSHORT     ;这里跳走就完蛋

当我们按F8键走到00440F34|.E8F32BFCFF  CALL这一句时,我们按一下F7键,进入这个CALL,进去后光标停在这一句:

我们所看到的那些PUSHEBX、PUSHESI等都是调用子程序保存堆栈时用的指令,不用管它,按F8键一步步过来,我们只关心关键部分:

00403B2C/$53       PUSHEBX

00403B2D|.56       PUSHESI

00403B2E|.57       PUSHEDI

00403B2F|.89C6      MOVESI,EAX            ;把EAX内我们输入的用户名送到ESI

00403B31|.89D7      MOVEDI,EDX            ;把EDX内的数据“RegisteredUser”送到EDI

00403B33|.39D0      CMPEAX,EDX            ;用“RegisteredUser”和我们输入的用户名作比较

00403B35|.0F848F000000 JE        ;相同则跳

00403B3B|.85F6      TESTESI,ESI            ;看看ESI中是否有数据,主要是看看我们有没有输入用户名

00403B3D|.7468     JESHORT     ;用户名为空则跳

00403B3F|.85FF      TESTEDI,EDI

00403B41|.746B     JESHORT

00403B43|.8B46FC    MOVEAX,DWORDPTRDS:

[ESI-4]    ;用户名长度送EAX

00403B46|.8B57FC    MOVEDX,DWORDPTRDS:

[EDI-4]    ;“RegisteredUser”字串的长度送EDX

00403B49|.29D0      SUBEAX,EDX            ;把用户名长度和“RegisteredUser”字串长度相减

00403B4B|.7702     JASHORT     ;用户名长度大于“RegisteredUser”长度则跳

00403B4D|.01C2      ADDEDX,EAX            ;把减后值与“RegisteredUser”长度相加,即用户名长度

00403B4F|>52       PUSHEDX

00403B50|.C1EA02    SHREDX,2             ;用户名长度值右移2位,这里相当于长度除以4

00403B53|.7426     JESHORT     ;上面的指令及这条指令就是判断用户名长度最少不能低于4

00403B55|>8B0E      MOVECX,DWORDPTRDS:

[ESI]     ;把我们输入的用户名送到ECX

00403B57|.8B1F      MOVEBX,DWORDPTRDS:

[EDI]     ;把“RegisteredUser”送到EBX

00403B59|.39D9      CMPECX,EBX            ;比较

00403B5B|.7558     JNZSHORT    ;不等则完蛋

根据上面的分析,我们知道用户名必须是“RegisteredUser”。

我们按F9键让程序运行,出现错误对话框,点确定,重新在第一个编辑框中输入“RegisteredUser”,再次点击那个“Registernow!

”按钮,被OllyDBG拦下。

因为地址00440F34处的那个CALL我们已经分析清楚了,这次就不用再按F7键跟进去了,直接按F8键通过。

我们一路按F8键,来到第二个关键代码处:

00440F49|.8B45FC    MOVEAX,DWORDPTRSS:

[EBP-4]    ;取输入的注册码

00440F4C|.BA2C104400  MOVEDX,      ;ASCII"GFX-754-IER-954"

00440F51|.E8D62BFCFF  CALL       ;关键,要用F7跟进去

00440F56|.751A     JNZSHORT     ;这里跳走就完蛋

大家注意看一下,地址00440F51处的CALL和上面我们分析的地址00440F34处的CALL是不是汇编指令都一样啊?

这说明检测用户名和注册码是用的同一个子程序。

而这个子程序CALL我们在上面已经分析过了。

我们执行到现在可以很容易得出结论,这个CALL也就是把我们输入的注册码与00440F4C地址处指令后的“GFX-754-IER-954”作比较,相等则OK。

好了,我们已经得到足够的信息了。

现在我们在菜单查看->断点上点击一下,打开断点窗口(也可以通过组合键ALT+B或点击工具栏上那个“B”图标打开断点窗口):

为什么要做这一步,而不是把这个断点删除呢?

这里主要是为了保险一点,万一分析错误,我们还要接着分析,要是把断点删除了就要做一些重复工作了。

还是先禁用一下,如果经过实际验证证明我们的分析是正确的,再删不迟。

现在我们把断点禁用,在OllyDBG中按F9键让程序运行。

输入我们经分析得出的内容:

用户名:

RegisteredUser

注册码:

GFX-754-IER-954

点击“Registernow!

”按钮,呵呵,终于成功了:

 

(三)-函数参考

现在进入第三篇,这一篇我们重点讲解怎样使用OllyDBG中的函数参考(即名称参考)功能。

仍然选择镜像打包中的一个名称为CrackHead的crackme。

老规矩,先运行一下这个程序看看:

呵,竟然没找到输入注册码的地方!

别急,我们点一下程序上的那个菜单“Shit”(真是Shit啊,呵呵),在下拉菜单中选“TryIt”,会来到如下界面:

我们点一下那个“CheckIt”按钮试一下,哦,竟然没反应!

我再输个“”试试,还是没反应。

再试试输入字母或其它字符,输不进去。

由此判断注册码应该都是数字,只有输入正确的注册码才有动静。

用PEiD检测一下,结果为MASM32/TASM32,怪不得程序比较小。

信息收集的差不多了,现在关掉这个程序,我们用OllyDBG载入,按F9键直接让它运行起来,依次点击上面图中所说的菜单,使被调试程序显示如上面的第二个图。

先不要点那个“CheckIt”按钮,保留上图的状态。

现在我们没有什么字串好参考了,我们就在API函数上下断点,来让被调试程序中断在我们希望的地方。

我们在OllyDBG的反汇编窗口中右击鼠标,在弹出菜单中选择查找->当前模块中的名称(标签),或者我们通过按CTR+N组合键也可以达到同样的效果(注意在进行此操作时要在OllyDBG中保证是在当前被调试程序的领空,我在第一篇中已经介绍了领空的概念,如我这里调试这个程序时OllyDBG的标题栏显示的就是“[CPU-主线程,模块-CrackHea]”,这表明我们当前在被调试程序的领空)。

通过上面的操作后会弹出一个对话框,如图:

对于这样的编辑框中输注册码的程序我们要设断点首选的API函数就是GetDlgItemText及GetWindowText。

每个函数都有两个版本,一个是ASCII版,在函数后添加一个A表示,如GetDlgItemTextA,另一个是UNICODE版,在函数后添加一个W表示。

如GetDlgItemTextW。

对于编译为UNCODE版的程序可能在Win98下不能运行,因为Win98并非是完全支持UNICODE的系统。

而NT系统则从底层支持UNICODE,它可以在操作系统内对字串进行转换,同时支持ASCII和UNICODE版本函数的调用。

一般我们打开的程序看到的调用都是ASCII类型的函数,以“A”结尾。

又跑题了,呵呵。

现在回到我们调试的程序上来,我们现在就是要找一下我们调试的程序有没有调用GetDlgItemTextA或GetWindowTextA函数。

还好,找到一个GetWindowTextA。

在这个函数上右击,在弹出菜单上选择“在每个参考上设置断点”,我们会在OllyDBG窗口最下面的那个状态栏里看到“已设置2个断点”。

另一种方法就是那个GetWindowTextA函数上右击,在弹出菜单上选择“查找输入函数参考”(或者按回车键),将会出现下面的对话框:

看上图,我们可以把两条都设上断点。

这个程序只需在第一条指令设断点就可以了。

好,我们现在按前面提到的第一条方法,就是“在每个参考上设置断点”,这样上图中的两条指令都会设上断点。

断点设好后我们转到我们调试的程序上来,现在我们在被我们调试的程序上点击那个“CheckIt”按钮,被OllyDBG断下:

00401323|.E84C010000    CALL     ;GetWindowTextA

00401328|.E8A5000000    CALL           ;关键,要按F7键跟进去

0040132D|.3BC6        CMPEAX,ESI                ;比较

0040132F|.7542       JNZSHORT        ;不等则完蛋

00401331|.EB2C       JMPSHORT

00401333|.4E6F77207>   ASCII"Nowwriteakeyg"

00401343|.656E20616>   ASCII"enandtutandy"

00401353|.6F7527726>   ASCII"ou'redone.",0

0040135F|>6A00       PUSH0                   ;Style=MB_OK|MB_APPLMODAL

00401361|.680F304000    PUSH           ;Title="Crudd'sCrackHead"

00401366|.68    PUSH           ;Text="Nowwriteakeygenandtutandyou'redone."

0040136B|.FF7508      PUSHDWORDPTRSS:

[EBP+8]         ;hOwner

0040136E|.E8    CALL       ;MessageBoxA

从上面的代码,我们很容易看出00401328地址处的CALL是关键,必须仔细跟踪。

而注册成功则会显示一个对话框,标题是“Crudd'sCrackHead”,对话框显示的内容是“Nowwriteakeygenandtutandyou'redone

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 外语学习 > 英语学习

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1