以下的案例主要介绍反汇编的使用价值,即在软件加解密方面的应用。能够非常好地体会到主要的汇编指令在实践中的应用,也能够认识到Ollydbg在软件调试过程中的威力。
选用的演示样例程序CRACKME.exe程序来自看雪论坛的“从零開始用ollydbg cracking”系列。本文仅仅做学习交流用途,不作其它不论什么用途。
以下开工:
1. 採用ollydbg打开CRACKME.exe,命令:f3。
2. 注冊的正确与否,程序会弹出窗体,窗体上会带有字符串,那我们这里就以正确与否的字符串作为线索;命令:右键->search for-> all referred strings。
3. 找到例如以下的string:Great work,mate! now try the next CrackMe!",而且双击进入,跳转到调用该字符串的地方;
4. 从下图可见,以下两个弹出窗体就是最后看到注冊信息对错的提醒窗体。那么以这两个为线索。查看是从哪里跳转到这两个函数调用起始处的;
5. 鼠标停在push 30处,能够看到以下的观察窗体显示:local call from 0040124C;
也即意味着push 30处是由0040124C处跳转过来的。那么查看该处的指令;
6. 此处关键的指令就在401241处。通过该处指令的比較,来确定后面序列号的正确与否,再来选择后面的跳转。
7. 通过在CMP EAX, 0指令处打断点,我们F9执行程序,程序弹出注冊窗体,我们输入:
然后按ok后。整个程序就停在我们下断点的地方。例如以下图所看到的,
8. 依据右边的凝视。上述的流程就非常清晰。401228处的指令将usernameabc字符串地址压入。然后进行处理后。将结果保存在EAX中。后面的将序列号123也做相同的处理。能够推測对于序列号操作的结果应该输出在EBX中,这样后面的CMP EAX, EBX这条语句才说得通。
9. 我们F7单步跟入40122D的函数调用,看到例如以下的处理过程:
简单跟踪下的话。能够发现上述的代码等同于以下的C语言代码:
int nameCrack(char* str)
{
char t;
int sum = 0;
while(*str)
{
int t = (int)(*str);
if(t > 0x5A)
sum += (int)(t-0x20);
str++;
}
sum = sum ^ 0x5678;
return sum;
}
对于我们的输入abc,上述函数的输出为:0x56BE;
10. 相同地。我们对于401238处的指令也进行跟踪调试:
上述的代码等同于以下的C代码:
int numCrack(char* str)
{
int sum = 0;
while(*str)
{
int c = (int)*str - 0x30;
sum = 10*sum + c;
str++;
}
return (sum ^ 0x1234);
}
11.依据调试。EAX和EBX的值分别为:56BE和124F。两者不同,因此解密失败。为了让两者同样,我们保持abc不变。改变序列号来实现。
12. 56BE与0x1234亦或操作后的值的十进制表示为:17546。因此我们仅仅要输入的字符串操作的值sum等于17546就可以。又由于数字的ASSIC码是从”0x31”開始的。
而代码中有减去0x30的操作。因此我们输入的数字仅仅要是17546就可以。
注意事项:
1. 调试时请关闭杀毒软件的实时保护,否则,CRACKME.exe会被删除;
2. “从零開始用ollydbgcracking”系列教材中对该问题的分析是从API GetWindowTextA入手;详细分析上也是大同小异。
解密过程中的经常使用命令小结:
1. 定位使用的模块,ctrl + N。
2. 通过查看堆栈,找到GetWindowTextA使用的buffer的地址;
3. 採用Follow in dump找到buffer地址后,能够设定memoryon access类型的break point,这样一旦訪问到buffer中的信息,就能够暂停,加速定位;