部门将网站建设的需求,网站建设与管理教学设计,wordpress电商优秀,自己做黑彩网站本来是不打算写文章了#xff0c;因为懒#xff0c;想以后通过录屏的形式保存一下自己学的路程。但奈何开学后一直没找到机会#xff0c;在宿舍也不愿意大吼大叫的讲东西#xff0c;只好再写写文章了 最近学了一些汇编语言和逆向工程#xff0c;所以就想通过这40给题目来看… 本来是不打算写文章了因为懒想以后通过录屏的形式保存一下自己学的路程。但奈何开学后一直没找到机会在宿舍也不愿意大吼大叫的讲东西只好再写写文章了 最近学了一些汇编语言和逆向工程所以就想通过这40给题目来看一看成效这篇文章是第一题。博主很菜半个月速学了一遍汇编语言逆向工程刚开始学只学到了IAT。
--------------------------------------------------------------------------------------------------------------------------------- 本题都是再Ollydbg下进行的 并且
博主会通过汇编语言来进行讲解 第一题只有一个exe文件打开这个文件 会弹出一个窗口 提示我们要获得正确的许可证。
因为是以弹窗的形式并且有相关的字符串提示所以我们可以猜测那是不是就有对应的正确的字符串。
通过Ollydbg打开文件 右键查看所有参考字符串 可以看到有刚才错误的
字符串也有正确的字符串。我们双击转到显示正确字符串的内存地址 观察可知
MessageBox函数为弹出一个windows对话框该函数可能为c语言也可能为VB语言
因为这几串指令的前后都是DB0即0数据所有这几条语句可能是转移过来的我们向上翻滚。 可以看到有这么一串指令这也就是我们要调试的主要 内容
观察红字部分的Createfile和Readfile函数可以确定为c语言编写的程序。 这一步部分为检测是否有Keyfile.dat文件如果没有的话就会打印出刚才出现的那一段字符串 这一段是读取Keyfile.dat文件 的内容
以上内容的汇编语言没什么可以说的无非就是入栈出栈创建栈内空间。
后面的汇编语言比较重要会详细说说 TEST EAX,EAX检测两个值是否相等
JNZ指令入对上面的TEST检测如果TEST指令相等则跳转到内存地址为004010B4
即XOR EBX,EBX指令这个指令为异或指令在这条命令下即为将EBX寄存器的值清零
然后下一条指令将ESI寄存器中的值清零
CMP DS:[402173],10指令其中10为十六进制转换为十进制为16。 内存地址4022173即将读取文件的内容存放到内存中的地址
所以上面的指令的意思即为比较文件中的数据的长度
JL指令为如果小于则进行指定位置的跳转在这个题目中跳转的位置为004010F7我们看一下这个跳转位置的内容 会给我们一个错误的弹窗所以我们不因该进行这个跳转
所以我们创建文件里面的内容的字节数必须大于16 这样就会 跳转执行下一个命令
下一个命令为mov转移指令将EBX40211A的值传给AL值
这时候观察右边EBX寄存器中的值会发现为0
然后将AL中的值与0作比较因为我们之前给40211A内存地址也就是文件的内容添加了至少16个字符所以JE为等于则跳转肯定不会跳转到对应内存地址而是继续执行下一条指令 这些指令是一串循环指令其中47是16进制转换为十进制再转换为ASCII值为G
INC是加一指令综合下来来说就是让 文件中的内容中有8个或8个以上的G字符因为当AL和G做比较相等才会执行ESP加一而程序调试到这里时ESP的初始值为0所以要满足ESP大于或等于8。
所以我们创建文件名为Keyfile.dat文件里面填充内容为 然后我们调试文件或者直接运行exe文件 可以看到和我们第一次的弹窗不一样了。并且弹窗的内容为提示我们输入的正确
至此程序调试结束
--------------------------------------------------------------------------------------------------------------------------------
后记方法2 同样的程序可以有不同的调试方法这里只在另外介绍一种实际情况可能还有很多种。
我们将Keyfile.dat的内容修改为 这样程序就会报错 这里是对ESP的内容做检测还记得要想成功必须让ESP或者8吗
那我们还记得前面 将ESP清零的指令吗如果我们没有执行这条指令是不是就成功了 将XOR ESP,ESP
修改为NOP空指令填充
然后调试程序 可以看到返回给了我们和刚才一样的正确信息
