OllyDbg 使用笔记 (二)

參考

书:《加密与解密》

视频:小甲鱼 解密系列 视频

TraceMe.exe下载地址:http://pan.baidu.com/s/1c0s2twO

TraceMe.exe 程序破解

程序见下图。破解目标:使我们可以验证成功。

图片1

因为输入肯定会用到获取对话框文本的API。所以在反汇编面板 按Ctrl+G搜索GetDlgItemTextA,试试看。

图片2

也能够按Ctrl+N 打开程序的导入表。

查看程序导入了那些函数,选中GetDlgItemTextA,右键 选择在反汇编窗体中尾随输入函数。

图片3

能够看到搜索到了对应的API函数。

按F2下断点。再按Ctrl+F2 又一次加载。再按F9,会先弹出窗体。任意写入username和序列号,按Check。之后就会执行到断点处。

接着一边按F8,一边观察以下的信息面板的提示信息,直到发现前面填的username和序列号。

图片4

004011D7             .  8D5424 4C     lea     edx, dword ptr [esp+4C]

004011DB             .  53            push    ebx

004011DC             .  8D8424 A00000>lea     eax, dword ptr [esp+A0]

004011E3             .  52            push    edx

004011E4             .  50            push    eax

004011E5             .  E8 56010000   call    00401340

004011EA             .  8B3D BC404000 mov     edi, dword ptr [<&USER32.GetDlg>;  USER32.GetDlgItem

004011F0             .  83C4 0C       add     esp, 0C

004011F3             .  85C0          test    eax, eax

004011F5             .  74 37         je      short 0040122E

观察此时的代码,call 00401340 前面有3个PUSH,是00401340这个函数的參数,各自是username,序列号和序列号长度。

还有以下的test eax,eax 值得注意,函数的返回值都是储存在eax中的。

能够从上面得出call 00401340 就是推断输入的username和序列号是否正确的函数。

暴力破解

接着按F8接着执行。执行到  je    short 0040122E  处停下。

但我们输入的是错误的时候,我们能够发现这个地方 je 是跳转的,我们能够通过在右边改动标志寄存器(点击Z 后面的1)让je不跳转
或者直接把 je    short 0040122E改成 nop(选中,按下空格键输入nop),进行暴力破解。

图片5

图片6

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYmlsbHZzbWU=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="">

然后执行就能够看到“恭喜你成功”

获取正确序列号

执行到

004011E5
        .  E8 56010000   call    00401340

后按F7进入函数,能够看到以下的代码

00401340        /$  55            push    ebp

00401341        |.  8B6C24 0C     mov     ebp, dword ptr [esp+C]

00401345        |.  56            push    esi

00401346        |.  57            push    edi

00401347        |.  8B7C24 18     mov     edi, dword ptr [esp+18]

0040134B        |.  B9 03000000   mov     ecx, 3

00401350        |.  33F6          xor     esi, esi

00401352        |.  33C0          xor     eax, eax

00401354        |.  3BF9          cmp     edi, ecx

00401356        |.  7E 21         jle     short 00401379

00401358        |.  53            push    ebx

00401359        |>  83F8 07       /cmp     eax, 7

0040135C        |.  7E 02         |jle     short 00401360

0040135E        |.  33C0          |xor     eax, eax

00401360        |>  33D2          |xor     edx, edx

00401362        |.  33DB          |xor     ebx, ebx

00401364        |.  8A1429        |mov     dl, byte ptr [ecx+ebp]

00401367        |.  8A98 30504000 |mov     bl, byte ptr [eax+405030]

0040136D        |.  0FAFD3        |imul    edx, ebx

00401370        |.  03F2          |add     esi, edx

00401372        |.  41            |inc     ecx

00401373        |.  40            |inc     eax

00401374        |.  3BCF          |cmp     ecx, edi

00401376        |.^ 7C E1         \jl      short 00401359

00401378        |.  5B            pop     ebx

00401379        |>  56            push    esi                           ; /<%ld>

0040137A        |.  68 78504000   push    00405078                      ; |Format = "%ld"

0040137F        |.  55            push    ebp                           ; |s

00401380        |.  FF15 9C404000 call    dword ptr [<&USER32.wsprintfA>; \wsprintfA

00401386        |.  8B4424 1C     mov     eax, dword ptr [esp+1C]

0040138A        |.  83C4 0C       add     esp, 0C

0040138D        |.  55            push    ebp                           ; /String2

0040138E        |.  50            push    eax                           ; |String1

0040138F        |.  FF15 04404000 call    dword ptr [<&KERNEL32.lstrcmp>; \lstrcmpA

00401395        |.  F7D8          neg     eax

00401397        |.  1BC0          sbb     eax, eax

00401399        |.  5F            pop     edi

0040139A        |.  5E            pop     esi

0040139B        |.  40            inc     eax

0040139C        |.  5D            pop     ebp

0040139D        \.  C3            retn

我们能够发现call    dword ptr [<&KERNEL32.lstrcmp>; lstrcmp指令。说明前面的两參数一定是用来比較的,一个是自己写的错误序列号,一个是这个函数计算出来的正确的序列号。

按F8执行到call    dword ptr [<&KERNEL32.lstrcmp>; 处。我们能够发现ebp存放的是“6854”字符串的地址。eax就是我们写的字符串“12345678”的地址(输入的username为billvsme,序列号为12345678)。

从而我们就能够仅仅到username“billvsme”的序列号为6854。

OllyDbg 使用笔记 (二)的更多相关文章

  1. OllyDbg 使用笔记 (十二)

    OllyDbg 使用笔记 (十二) 參考 书:<加密与解密> 视频:小甲鱼 解密系列 视频 演示样例程序下载地址:http://pan.baidu.com/s/1eQiV6aI 安装好程序 ...

  2. OllyDbg 使用笔记 (一)

    OllyDbg 使用笔记 (一) 參考 书:<加密与解密> 视频:小甲鱼 解密系列 视频 ollydbg下载地址:http://tools.pediy.com/debuggers.htm ...

  3. 《CMake实践》笔记二:INSTALL/CMAKE_INSTALL_PREFIX

    <CMake实践>笔记一:PROJECT/MESSAGE/ADD_EXECUTABLE <CMake实践>笔记二:INSTALL/CMAKE_INSTALL_PREFIX &l ...

  4. jQuery源码笔记(二):定义了一些变量和函数 jQuery = function(){}

    笔记(二)也分为三部分: 一. 介绍: 注释说明:v2.0.3版本.Sizzle选择器.MIT软件许可注释中的#的信息索引.查询地址(英文版)匿名函数自执行:window参数及undefined参数意 ...

  5. Mastering Web Application Development with AngularJS 读书笔记(二)

    第一章笔记 (二) 一.scopes的层级和事件系统(the eventing system) 在层级中管理的scopes可以被用做事件总线.AngularJS 允许我们去传播已经命名的事件用一种有效 ...

  6. Python 学习笔记二

    笔记二 :print 以及基本文件操作 笔记一已取消置顶链接地址 http://www.cnblogs.com/dzzy/p/5140899.html 暑假只是快速过了一遍python ,现在起开始仔 ...

  7. WPF的Binding学习笔记(二)

    原文: http://www.cnblogs.com/pasoraku/archive/2012/10/25/2738428.htmlWPF的Binding学习笔记(二) 上次学了点点Binding的 ...

  8. webpy使用笔记(二) session/sessionid的使用

    webpy使用笔记(二) session的使用 webpy使用系列之session的使用,虽然工作中使用的是django,但是自己并不喜欢那种大而全的东西~什么都给你准备好了,自己好像一个机器人一样赶 ...

  9. AJax 学习笔记二(onreadystatechange的作用)

    AJax 学习笔记二(onreadystatechange的作用) 当发送一个请求后,客户端无法确定什么时候会完成这个请求,所以需要用事件机制来捕获请求的状态XMLHttpRequest对象提供了on ...

随机推荐

  1. 乱想-What&Why

    今天去海淀书城看书,目的很明确,本来是想买<WCF技术剖析>的下册(2010年3月份买了上册,当时下册没出来),谁知这本书不单卖,要和上册一起卖,扫兴. 兴致减半,索性找了旁边的基本Jav ...

  2. leetcode面试准备:Add and Search Word - Data structure design

    leetcode面试准备:Add and Search Word - Data structure design 1 题目 Design a data structure that supports ...

  3. gdb查看虚函数表、函数地址

    1. 查看函数地址     看函数在代码的哪一行,使用info line就可以看到类似下面这中输出 点击(此处)折叠或打开 (gdb) info line a.cpp:10 Line 10 of &q ...

  4. 多设备官方教程(6)控制多版本API

    Supporting Different Platform Versions While the latest versions of Android often provide great APIs ...

  5. wzplayer for android V1.5.3 (新增YUV文件播放)

    wzplayer for android V1.5.3 新增功能 1.使用gl es2 播放 yuv 文件. 联系方式:weinyzhou86@gmail.com QQ:514540005 版权所有, ...

  6. EF双向一对一中的坑

    EF版本 6.0 在项目中双向一对一关系是普遍存在的,如果不仔细检查,并不容易发现这个坑 下面新建两个类(假设这两个类是一对一的关系)对应实体都设置为可延迟加载 映射关系为: 再建一个数据访问类: 运 ...

  7. 软件介绍(apache lighttpd nginx)

    一.软件介绍(apache  lighttpd  nginx) 1. lighttpd Lighttpd是一个具有非常低的内存开销,cpu占用率低,效能好,以及丰富的模块等特点.lighttpd是众多 ...

  8. LightOJ 1074 Extended Traffic SPFA 消负环

    分析:一看就是求最短路,然后用dij,果断错了一发,发现是3次方,有可能会出现负环 然后用spfa判负环,然后标记负环所有可达的点,被标记的点答案都是“?” #include<cstdio> ...

  9. SAE网站搭建(2)

    通过djangao admin界面无法添加汉字(unicode)的解决办法. 根源:mysql服务器的默认设置不支持unicode(utf8) 解决办法: 将/etc/mysql/my.cnf中utf ...

  10. Centos 6.5升级安装Git

    安装需求 # yum install curl-devel expat-devel gettext-devel openssl-devel zlib-devel# yum install gcc pe ...