国产一区久久精品福利_色秀欧美精品综合视频_亚洲综合色区中文字幕_亚洲 熟女 久久 国产

五通學院

軟件研究學習教程-OllyDBG完美教程(超強入門級)

admin 2016-07-20 12:07:56 人評論 次瀏覽分類:營銷學

一、OllyDBG 的安裝與配置
OllyDBG 1.10 
版的發布版本是個 ZIP 壓縮包,只要解壓到一個目錄下,運行 OllyDBG.exe 就可以了。漢化版的發布版本是個 RAR 壓縮包,同樣只需解壓到一個目錄下運行 OllyDBG.exe 即可:

OllyDBG 
中各個窗口的功能如上圖。簡單解釋一下各個窗口的功能,更詳細的內容可以參考 TT 小組翻譯的中文幫助:
反匯編窗口:顯示被調試程序的反匯編代碼,標題欄上的地址、HEX 數據、反匯編、注釋可以通過在窗口中右擊出現的菜單 界面選項->隱藏標題  顯示標題 來進行切換是否顯示。用鼠標左鍵點擊注釋標簽可以切換注釋顯示的方式。
寄存器窗口:顯示當前所選線程的 CPU 寄存器內容。同樣點擊標簽 寄存器 (FPU) 可以切換顯示寄存器的方式。
信息窗口:顯示反匯編窗口中選中的第一個命令的參數及一些跳轉目標地址、字串等。
數據窗口:顯示內存或文件的內容。右鍵菜單可用于切換顯示方式。
堆棧窗口:顯示當前線程的堆棧。
要調整上面各個窗口的大小的話,只需左鍵按住邊框拖動,等調整好了,重新啟動一下 OllyDBG 就可以生效了。
啟動后我們要把插件及 UDD 的目錄配置為絕對路徑,點擊菜單上的 選項->界面,將會出來一個界面選項的對話框,我們點擊其中的目錄標簽:
 
因為我這里是把 OllyDBG 解壓在 F:\OllyDBG 目錄下,所以相應的 UDD 目錄及插件目錄按圖上配置。還有一個常用到的標簽就是上圖后面那個字體,在這里你可以更改 OllyDBG 中顯示的字體。上圖中其它的選項可以保留為默認,若有需要也可以自己修改。修改完以后點擊確定,彈出一個對話框,說我們更改了插件路徑,要重新啟動 OllyDBG。在這個對話框上點確定,重新啟動一下 OllyDBG,我們再到界面選項中看一下,會發現我們原先設置好的路徑都已保存了。有人可能知道插件的作用,但對那個 UDD 目錄不清楚。我這簡單解釋一下:這個 UDD 目錄的作用是保存你調試的工作。比如你調試一個軟件,設置了斷點,添加了注釋,一次沒做完,這時 OllyDBG 就會把你所做的工作保存到這個 UDD 目錄,以便你下次調試時可以繼續以前的工作。如果不設置這個 UDD 目錄,OllyDBG 默認是在其安裝目錄下保存這些后綴名為 udd 的文件,時間長了就會顯的很亂,所以還是建議專門設置一個目錄來保存這些文件。
另外一個重要的選項就是調試選項,可通過菜單 選項->調試設置 來配置:
 
新手一般不需更改這里的選項,默認已配置好,可以直接使用。建議在對 OllyDBG 已比較熟的情況下再來進行配置。上面那個異常標簽中的選項經常會在脫殼中用到,建議在有一定調試基礎后學脫殼時再配置這里。
除了直接啟動 OllyDBG 來調試外,我們還可以把 OllyDBG 添加到資源管理器右鍵菜單,這樣我們就可以直接在 .exe  .dll 文件上點右鍵選擇"Ollydbg打開"菜單來進行調試。要把 OllyDBG 添加到資源管理器右鍵菜單,只需點菜單 選項->添加到瀏覽器,將會出現一個對話框,先點擊"添加 Ollydbg 到系統資源管理器菜單",再點擊"完成"按鈕即可。要從右鍵菜單中刪除也很簡單,還是這個對話框,點擊"從系統資源管理器菜單刪除 Ollydbg",再點擊"完成"就行了。
OllyDBG 
支持插件功能,插件的安裝也很簡單,只要把下載的插件(一般是個 DLL 文件)復制到 OllyDBG 安裝目錄下的 PLUGIN 目錄中就可以了,OllyDBG 啟動時會自動識別。要注意的是 OllyDBG 1.10 對插件的個數有限制,最多不能超過 32 個,否則會出錯。建議插件不要添加的太多。
到這里基本配置就完成了,OllyDBG 把所有配置都放在安裝目錄下的 ollydbg.ini 文件中。
二、基本調試方法
OllyDBG 
有三種方式來載入程序進行調試,一種是點擊菜單 文件->打開 (快捷鍵是 F3)來打開一個可執行文件進行調試,另一種是點擊菜單 文件->附加 來附加到一個已運行的進程上進行調試。注意這里要附加的程序必須已運行。第三種就是用右鍵菜單來載入程序(不知這種算不算)。一般情況下我們選第一種方式。比如我們選擇一個 test.exe 來調試,通過菜單 文件->打開 來載入這個程序,OllyDBG 中顯示的內容將會是這樣:
 
調試中我們經常要用到的快捷鍵有這些:
F2
:設置斷點,只要在光標定位的位置(上圖中灰色條)按F2鍵即可,再按一次F2鍵則會刪除斷點。(相當于 SoftICE 中的 F9
F8
:單步步過。每按一次這個鍵執行一條反匯編窗口中的一條指令,遇到 CALL 等子程序不進入其代碼。(相當于 SoftICE 中的 F10
F7
:單步步入。功能同單步步過(F8)類似,區別是遇到 CALL 等子程序時會進入其中,進入后首先會停留在子程序的第一條指令上。(相當于 SoftICE 中的 F8
F4
:運行到選定位置。作用就是直接運行到光標所在位置處暫停。(相當于 SoftICE 中的 F7
F9
:運行。按下這個鍵如果沒有設置相應斷點的話,被調試的程序將直接開始運行。(相當于 SoftICE 中的 F5
CTR+F9
:執行到返回。此命令在執行到一個 ret (返回指令)指令時暫停,常用于從系統領空返回到我們調試的程序領空。(相當于 SoftICE 中的 F12
ALT+F9
:執行到用戶代碼。可用于從系統領空快速返回到我們調試的程序領空。(相當于 SoftICE 中的 F11
上面提到的幾個快捷鍵對于一般的調試基本上已夠用了。要開始調試只需設置好斷點,找到你感興趣的代碼段再按 F8  F7 鍵來一條條分析指令功能就可以了。

 

字串參考
上一篇是使用入門,現在我們開始正式進入破解。今天的目標程序是看雪兄《加密與解密》第一版附帶光盤中的 crackmes.cjb.net 鏡像打包中的 CFF Crackme #3,采用用戶名/序列號保護方式。原版加了個 UPX 的殼。剛開始學破解先不涉及殼的問題,我們主要是熟悉用 OllyDBG 來破解的一般方法。我這里把殼脫掉來分析,附件是脫殼后的文件,直接就可以拿來用。先說一下一般軟件破解的流程:拿到一個軟件先別接著馬上用 OllyDBG 調試,先運行一下,有幫助文檔的最好先看一下幫助,熟悉一下軟件的使用方法,再看看注冊的方式。如果是序列號方式可以先輸個假的來試一下,看看有什么反應,也給我們破解留下一些有用的線索。如果沒有輸入注冊碼的地方,要考慮一下是不是讀取注冊表或 Key 文件(一般稱 keyfile,就是程序讀取一個文件中的內容來判斷是否注冊),這些可以用其它工具來輔助分析。如果這些都不是,原程序只是一個功能不全的試用版,那要注冊為正式版本就要自己來寫代碼完善了。有點跑題了,呵呵。獲得程序的一些基本信息后,還要用查殼的工具來查一下程序是否加了殼,若沒殼的話看看程序是什么編譯器編的,如 VCDelphiVB 等。這樣的查殼工具有 PEiD  FI。有殼的話我們要盡量脫了殼后再來用 OllyDBG 調試,特殊情況下也可帶殼調試。下面進入正題:
我們先來運行一下這個 crackme(用 PEiD 檢測顯示是 Delphi 編的),界面如圖:

這個 crackme 已經把用戶名和注冊碼都輸好了,省得我們動手^_^。我們在那個"Register now !"按鈕上點擊一下,將會跳出一個對話框:
 
好了,今天我們就從這個錯誤對話框中顯示的"Wrong Serial, try again!"來入手。啟動 OllyDBG,選擇菜單 文件->打開 載入 CrackMe3.exe 文件,我們會停在這里:
 

我們在反匯編窗口中右擊,出來一個菜單,我們在 查找->所有參考文本字串 上左鍵點擊:

當然如果用上面那個 超級字串參考+ 插件會更方便。但我們的目標是熟悉 OllyDBG 的一些操作,我就盡量使用 OllyDBG 自帶的功能,少用插件。好了,現在出來另一個對話框,我們在這個對話框里右擊,選擇"查找文本"菜單項,輸入"Wrong Serial, try again!"的開頭單詞"Wrong"(注意這里查找內容要區分大小寫)來查找,找到一處:
 
在我們找到的字串上右擊,再在出來的菜單上點擊"反匯編窗口中跟隨",我們來到這里:

見上圖,為了看看是否還有其他的參考,可以通過選擇右鍵菜單查找參考->立即數,會出來一個對話框:

分別雙擊上面標出的兩個地址,我們會來到對應的位置:
00440F79 |. BA 8C104400     MOV EDX,CrackMe3.0044108C             ; ASCII "Wrong Serial,try again!"
00440F7E |. A1 442C4400     MOV EAX,DWORD PTR DS:[442C44]
00440F83 |. 8B00            MOV EAX,DWORD PTR DS:[EAX]
00440F85 |. E8 DEC0FFFF     CALL CrackMe3.0043D068
00440F8A |. EB 18           JMP SHORT CrackMe3.00440FA4
00440F8C |> 6A 00           PUSH 0
00440F8E |. B9 80104400     MOV ECX,CrackMe3.00441080             ; ASCII "Beggar off!"
00440F93 |. BA 8C104400     MOV EDX,CrackMe3.0044108C             ; ASCII "Wrong Serial,try again!"
00440F98 |. A1 442C4400     MOV EAX,DWORD PTR DS:[442C44]
00440F9D |. 8B00            MOV EAX,DWORD PTR DS:[EAX]
00440F9F |. E8 C4C0FFFF     CALL CrackMe3.0043D068
我們在反匯編窗口中向上滾動一下再看看:
00440F2C |. 8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
00440F2F |. BA 14104400     MOV EDX,CrackMe3.00441014             ; ASCII "Registered User"
00440F34 |. E8 F32BFCFF     CALL CrackMe3.00403B2C                ; 
關鍵,要用F7跟進去
00440F39 |. 75 51           JNZ SHORT CrackMe3.00440F8C           ; 
這里跳走就完蛋
00440F3B |. 8D55 FC         LEA EDX,DWORD PTR SS:[EBP-4]
00440F3E |. 8B83 C8020000   MOV EAX,DWORD PTR DS:[EBX+2C8]
00440F44 |. E8 D7FEFDFF     CALL CrackMe3.00420E20
00440F49 |. 8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
00440F4C |. BA 2C104400     MOV EDX,CrackMe3.0044102C             ; ASCII "GFX-754-IER-954"
00440F51 |. E8 D62BFCFF     CALL CrackMe3.00403B2C                ; 
關鍵,要用F7跟進去
00440F56 |. 75 1A           JNZ SHORT CrackMe3.00440F72           ; 
這里跳走就完蛋
00440F58 |. 6A 00 PUSH 0
00440F5A |. B9 3C104400     MOV ECX,CrackMe3.0044103C             ; ASCII "CrackMe cracked successfully"
00440F5F |. BA 5C104400     MOV EDX,CrackMe3.0044105C             ; ASCII "Congrats! You cracked this CrackMe!"
00440F64 |. A1 442C4400     MOV EAX,DWORD PTR DS:[442C44]
00440F69 |. 8B00            MOV EAX,DWORD PTR DS:[EAX]
00440F6B |. E8 F8C0FFFF     CALL CrackMe3.0043D068
00440F70 |. EB 32           JMP SHORT CrackMe3.00440FA4
00440F72 |> 6A 00           PUSH 0
00440F74 |. B9 80104400     MOV ECX,CrackMe3.00441080             ; ASCII "Beggar off!"
00440F79 |. BA 8C104400     MOV EDX,CrackMe3.0044108C             ; ASCII "Wrong Serial,try again!"
00440F7E |. A1 442C4400     MOV EAX,DWORD PTR DS:[442C44]
00440F83 |. 8B00            MOV EAX,DWORD PTR DS:[EAX]
00440F85 |. E8 DEC0FFFF     CALL CrackMe3.0043D068
00440F8A |. EB 18           JMP SHORT CrackMe3.00440FA4
00440F8C |> 6A 00           PUSH 0
00440F8E |. B9 80104400     MOV ECX,CrackMe3.00441080             ; ASCII "Beggar off!"
00440F93 |. BA 8C104400     MOV EDX,CrackMe3.0044108C             ; ASCII "Wrong Serial,try again!"
00440F98 |. A1 442C4400     MOV EAX,DWORD PTR DS:[442C44]
00440F9D |. 8B00            MOV EAX,DWORD PTR DS:[EAX]
00440F9F |. E8 C4C0FFFF     CALL CrackMe3.0043D068

大家注意看一下上面的注釋,我在上面標了兩個關鍵點。有人可能要問,你怎么知道那兩個地方是關鍵點?其實很簡單,我是根據查看是哪條指令跳到"wrong serial,try again"這條字串對應的指令來決定的。如果你在 調試選項->CPU 標簽中把"顯示跳轉路徑"及其下面的兩個"如跳轉未實現則顯示灰色路徑""顯示跳轉到選定命令的路徑"都選上的話,就會看到是從什么地方跳到出錯字串處的:

我們在上圖中地址 00440F2C 處按 F2 鍵設個斷點,現在我們按 F9 鍵,程序已運行起來了。我在上面那個編輯框中隨便輸入一下,如 CCDebuger,下面那個編輯框我還保留為原來的"754-GFX-IER-954",我們點一下那個"Register now !"按鈕,呵,OllyDBG 跳了出來,暫停在我們下的斷點處。我們看一下信息窗口,你應該發現了你剛才輸入的內容了吧?我這里顯示是這樣:
堆棧 SS:[0012F9AC]=00D44DB4, (ASCII "CCDebuger")
EAX=00000009
上面的內存地址 00D44DB4 中就是我們剛才輸入的內容,我這里是 CCDebuger。你可以在 堆棧 SS:[0012F9AC]=00D44DB4, (ASCII "CCDebuger") 這條內容上左擊選擇一下,再點右鍵,在彈出菜單中選擇"數據窗口中跟隨數值",你就會在下面的數據窗口中看到你剛才輸入的內容。而 EAX=00000009 指的是你輸入內容的長度。如我輸入的 CCDebuger 9個字符。如下圖所示:

 
現在我們來按 F8 鍵一步步分析一下:
00440F2C |. 8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]          ; 
把我們輸入的內容送到EAX,我這里是"CCDebuger"
00440F2F |. BA 14104400     MOV EDX,CrackMe3.00441014             ; ASCII "Registered User"
00440F34 |. E8 F32BFCFF     CALL CrackMe3.00403B2C                ; 
關鍵,要用F7跟進去
00440F39 |. 75 51           JNZ SHORT CrackMe3.00440F8C           ; 
這里跳走就完蛋
當我們按 F8 鍵走到 00440F34 |. E8 F32BFCFF     CALL CrackMe3.00403B2C 這一句時,我們按一下 F7 鍵,進入這個 CALL,進去后光標停在這一句:

 
我們所看到的那些 PUSH EBX PUSH ESI 等都是調用子程序保存堆棧時用的指令,不用管它,按 F8 鍵一步步過來,我們只關心關鍵部分:
00403B2C /$ 53              PUSH EBX
00403B2D |. 56              PUSH ESI
00403B2E |. 57              PUSH EDI
00403B2F |. 89C6            MOV ESI,EAX                         ; 
EAX內我們輸入的用戶名送到 ESI
00403B31 |. 89D7            MOV EDI,EDX                         ; 
EDX內的數據"Registered User"送到EDI
00403B33 |. 39D0            CMP EAX,EDX                         ; 
"Registered User"和我們輸入的用戶名作比較
00403B35 |. 0F84 8F000000   JE CrackMe3.00403BCA                ; 
相同則跳
00403B3B |. 85F6            TEST ESI,ESI                        ; 
看看ESI中是否有數據,主要是看看我們有沒有輸入用戶名
00403B3D |. 74 68           JE SHORT CrackMe3.00403BA7          ; 
用戶名為空則跳
00403B3F |. 85FF            TEST EDI,EDI
00403B41 |. 74 6B           JE SHORT CrackMe3.00403BAE
00403B43 |. 8B46 FC         MOV EAX,DWORD PTR DS:[ESI-4]        ; 
用戶名長度送EAX
00403B46 |. 8B57 FC         MOV EDX,DWORD PTR DS:[EDI-4]        ; "Registered User"
字串的長度送EDX
00403B49 |. 29D0            SUB EAX,EDX                         ; 
把用戶名長度和"Registered User"字串長度相減
00403B4B |. 77 02           JA SHORT CrackMe3.00403B4F          ; 
用戶名長度大于"Registered User"長度則跳
00403B4D |. 01C2            ADD EDX,EAX                         ; 
把減后值與"Registered User"長度相加,即用戶名長度
00403B4F |> 52              PUSH EDX
00403B50 |. C1EA 02         SHR EDX,2                           ; 
用戶名長度值右移2位,這里相當于長度除以4
00403B53 |. 74 26           JE SHORT CrackMe3.00403B7B          ; 
上面的指令及這條指令就是判斷用戶名長度最少不能低于4
00403B55 |> 8B0E            MOV ECX,DWORD PTR DS:[ESI]          ; 
把我們輸入的用戶名送到ECX
00403B57 |. 8B1F            MOV EBX,DWORD PTR DS:[EDI]          ; 
"Registered User"送到EBX
00403B59 |. 39D9            CMP ECX,EBX                         ; 
比較
00403B5B |. 75 58           JNZ SHORT CrackMe3.00403BB5         ; 
不等則完蛋
根據上面的分析,我們知道用戶名必須是"Registered User"。我們按 F9 鍵讓程序運行,出現錯誤對話框,點確定,重新在第一個編輯框中輸入"Registered User",再次點擊那個"Register now !"按鈕,被 OllyDBG 攔下。因為地址 00440F34 處的那個 CALL 我們已經分析清楚了,這次就不用再按 F7 鍵跟進去了,直接按 F8 鍵通過。我們一路按 F8 鍵,來到第二個關鍵代碼處:
00440F49 |. 8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]         ; 
取輸入的注冊碼
00440F4C |. BA 2C104400     MOV EDX,CrackMe3.0044102C            ; ASCII "GFX-754-IER-954"
00440F51 |. E8 D62BFCFF     CALL CrackMe3.00403B2C               ; 
關鍵,要用F7跟進去
00440F56 |. 75 1A           JNZ SHORT CrackMe3.00440F72          ; 
這里跳走就完蛋
大家注意看一下,地址 00440F51 處的 CALL CrackMe3.00403B2C 和上面我們分析的地址 00440F34 處的 CALL CrackMe3.00403B2C 是不是匯編指令都一樣啊?這說明檢測用戶名和注冊碼是用的同一個子程序。而這個子程序 CALL 我們在上面已經分析過了。我們執行到現在可以很容易得出結論,這個 CALL 也就是把我們輸入的注冊碼與 00440F4C 地址處指令后的"GFX-754-IER-954"作比較,相等則 OK。好了,我們已經得到足夠的信息了。現在我們在菜單 查看->斷點 上點擊一下,打開斷點窗口(也可以通過組合鍵 ALT+B 或點擊工具欄上那個"B"圖標打開斷點窗口):

為什么要做這一步,而不是把這個斷點刪除呢?這里主要是為了保險一點,萬一分析錯誤,我們還要接著分析,要是把斷點刪除了就要做一些重復工作了。還是先禁用一下,如果經過實際驗證證明我們的分析是正確的,再刪不遲。現在我們把斷點禁用,在 OllyDBG 中按 F9 鍵讓程序運行。輸入我們經分析得出的內容:
用戶名:Registered User
注冊碼:GFX-754-IER-954
點擊"Register now !"按鈕,呵呵,終于成功了:

   

函數參考

現在進入第三篇,這一篇我們重點講解怎樣使用 OllyDBG 中的函數參考(即名稱參考)功能。仍然選擇 crackmes.cjb.net 鏡像打包中的一個名稱為 CrackHead crackme。老規矩,先運行一下這個程序看看:

呵,竟然沒找到輸入注冊碼的地方!別急,我們點一下程序上的那個菜單"Shit"(真是 Shit 啊,呵呵),在下拉菜單中選"Try It",會來到如下界面:
 
我們點一下那個"Check It"按鈕試一下,哦,竟然沒反應!我再輸個"78787878"試試,還是沒反應。再試試輸入字母或其它字符,輸不進去。由此判斷注冊碼應該都是數字,只有輸入正確的注冊碼才有動靜。用 PEiD 檢測一下,結果為 MASM32 / TASM32,怪不得程序比較小。信息收集的差不多了,現在關掉這個程序,我們用 OllyDBG 載入,按 F9 鍵直接讓它運行起來,依次點擊上面圖中所說的菜單,使被調試程序顯示如上面的第二個圖。先不要點那個"Check It"按鈕,保留上圖的狀態。現在我們沒有什么字串好參考了,我們就在 API 函數上下斷點,來讓被調試程序中斷在我們希望的地方。我們在 OllyDBG 的反匯編窗口中右擊鼠標,在彈出菜單中選擇 查找->當前模塊中的名稱 (標簽),或者我們通過按 CTR+N 組合鍵也可以達到同樣的效果(注意在進行此操作時要在 OllyDBG 中保證是在當前被調試程序的領空,我在第一篇中已經介紹了領空的概念,如我這里調試這個程序時 OllyDBG 的標題欄顯示的就是"[CPU - 主線程模塊 - CrackHea]",這表明我們當前在被調試程序的領空)。通過上面的操作后會彈出一個對話框,如圖:

對于這樣的編輯框中輸注冊碼的程序我們要設斷點首選的 API 函數就是 GetDlgItemText  GetWindowText。每個函數都有兩個版本,一個是 ASCII 版,在函數后添加一個 A 表示,如 GetDlgItemTextA,另一個是 UNICODE 版,在函數后添加一個 W 表示。如 GetDlgItemTextW。對于編譯為 UNCODE 版的程序可能在 Win98 下不能運行,因為 Win98 并非是完全支持 UNICODE 的系統。而 NT 系統則從底層支持 UNICODE,它可以在操作系統內對字串進行轉換,同時支持 ASCII  UNICODE 版本函數的調用。一般我們打開的程序看到的調用都是 ASCII 類型的函數,以"A"結尾。又跑題了,呵呵。現在回到我們調試的程序上來,我們現在就是要找一下我們調試的程序有沒有調用 GetDlgItemTextA  GetWindowTextA 函數。還好,找到一個 GetWindowTextA。在這個函數上右擊,在彈出菜單上選擇"在每個參考上設置斷點",我們會在 OllyDBG 窗口最下面的那個狀態欄里看到"已設置 2 個斷點"。另一種方法就是那個 GetWindowTextA 函數上右擊,在彈出菜單上選擇"查找輸入函數參考"(或者按回車鍵),將會出現下面的對話框:
 
看上圖,我們可以把兩條都設上斷點。這個程序只需在第一條指令設斷點就可以了。好,我們現在按前面提到的第一條方法,就是"在每個參考上設置斷點",這樣上圖中的兩條指令都會設上斷點。斷點設好后我們轉到我們調試的程序上來,現在我們在被我們調試的程序上點擊那個"Check It"按鈕,被 OllyDBG 斷下:
00401323 |. E8 4C010000         CALL <JMP.&USER32.GetWindowTextA>           ; GetWindowTextA
00401328 |. E8 A5000000         CALL CrackHea.004013D2                      ; 
關鍵,要按F7鍵跟進去
0040132D |. 3BC6                CMP EAX,ESI                                 ; 
比較
0040132F |. 75 42               JNZ SHORT CrackHea.00401373                 ; 
不等則完蛋
00401331 |. EB 2C               JMP SHORT CrackHea.0040135F
00401333 |. 4E 6F 77 20 7>      ASCII "Now write a keyg"
00401343 |. 65 6E 20 61 6>      ASCII "en and tut and y"
00401353 |. 6F 75 27 72 6>      ASCII "ou&apos;re done.",0
0040135F |> 6A 00               PUSH 0                                      ; Style = MB_OK|MB_APPLMODAL
00401361 |. 68 0F304000         PUSH CrackHea.0040300F                      ; Title = "Crudd&apos;s Crack Head"
00401366 |. 68 33134000         PUSH CrackHea.00401333                      ; Text = "Now write a keygen and tut and you&apos;re done."
0040136B |. FF75 08             PUSH DWORD PTR SS:[EBP+8]                   ; hOwner
0040136E |. E8 19010000         CALL <JMP.&USER32.MessageBoxA>              ; MessageBoxA
從上面的代碼,我們很容易看出 00401328 地址處的 CALL CrackHea.004013D2 是關鍵,必須仔細跟蹤。而注冊成功則會顯示一個對話框,標題是"Crudd&apos;s Crack Head",對話框顯示的內容是"Now write a keygen and tut and you&apos;re done."現在我按一下 F8,準備步進到 00401328 地址處的那條 CALL CrackHea.004013D2 指令后再按 F7 鍵跟進去。等等,怎么回事?怎么按一下 F8 鍵跑到這來了:
00401474 $- FF25 2C204000      JMP DWORD PTR DS:[<&USER32.GetWindowText>    ; USER32.GetWindowTextA
0040147A $- FF25 30204000      JMP DWORD PTR DS:[<&USER32.LoadCursorA>]     ; USER32.LoadCursorA
00401480 $- FF25 1C204000      JMP DWORD PTR DS:[<&USER32.LoadIconA>]       ; USER32.LoadIconA
00401486 $- FF25 20204000      JMP DWORD PTR DS:[<&USER32.LoadMenuA>]       ; USER32.LoadMenuA
0040148C $- FF25 24204000      JMP DWORD PTR DS:[<&USER32.MessageBoxA>]     ; USER32.MessageBoxA
原來是跳到另一個斷點了。這個斷點我們不需要,按一下 F2 鍵刪掉它吧。刪掉 00401474 地址處的斷點后,我再按 F8 鍵,呵,完了,跑到 User32.dll 的領空了。看一下 OllyDBG 的標題欄:"[CPU - 主線程模塊 - USER32],跑到系統領空了,OllyDBG 反匯編窗口中顯示代碼是這樣:
77D3213C 6A 0C                 PUSH 0C
77D3213E 68 A021D377           PUSH USER32.77D321A0
77D32143 E8 7864FEFF           CALL USER32.77D185C0
怎么辦?別急,我們按一下 ALT+F9 組合鍵,呵,回來了:
00401328 |. E8 A5000000        CALL CrackHea.004013D2                     ; 
關鍵,要按F7鍵跟進去
0040132D |. 3BC6               CMP EAX,ESI                                ; 
比較
0040132F |. 75 42              JNZ SHORT CrackHea.00401373                ; 
不等則完蛋
光標停在 00401328 地址處的那條指令上。現在我們按 F7 鍵跟進:
004013D2 /$ 56                PUSH ESI                                    ; ESI
入棧
004013D3 |. 33C0              XOR EAX,EAX                                 ; EAX
清零
004013D5 |. 8D35 C4334000     LEA ESI,DWORD PTR DS:[4033C4]               ; 
把注冊碼框中的數值送到ESI
004013DB |. 33C9              XOR ECX,ECX                                 ; ECX
清零
004013DD |. 33D2              XOR EDX,EDX                                 ; EDX
清零
004013DF |. 8A06              MOV AL,BYTE PTR DS:[ESI]                    ; 
把注冊碼中的每個字符送到AL
004013E1 |. 46                INC ESI                                     ; 
指針加1,指向下一個字符
004013E2 |. 3C 2D             CMP AL,2D                                   ; 
把取得的字符與16進制值為2D的字符("-")比較,這里主要用于判斷輸入的是不是負數
004013E4 |. 75 08             JNZ SHORT CrackHea.004013EE                 ; 
不等則跳
004013E6 |. BA FFFFFFFF       MOV EDX,-1                                  ; 
如果輸入的是負數,則把-1送到EDX,即16進制FFFFFFFF
004013EB |. 8A06              MOV AL,BYTE PTR DS:[ESI]                    ; 
"-"號后的第一個字符
004013ED |. 46                INC ESI                                     ; 
指針加1,指向再下一個字符
004013EE |> EB 0B             JMP SHORT CrackHea.004013FB
004013F0 |> 2C 30             SUB AL,30                                   ; 
每位字符減16進制的30,因為這里都是數字,如1ASCII碼是"31H",減30H后為1,即我們平時看到的數值
004013F2 |. 8D0C89            LEA ECX,DWORD PTR DS:[ECX+ECX*4]            ; 
把前面運算后保存在ECX中的結果乘5再送到ECX
004013F5 |. 8D0C48            LEA ECX,DWORD PTR DS:[EAX+ECX*2]            ; 
每位字符運算后的值與2倍上一位字符運算后值相加后送ECX
004013F8 |. 8A06              MOV AL,BYTE PTR DS:[ESI]                    ; 
取下一個字符
004013FA |. 46                INC ESI                                     ; 
指針加1,指向再下一個字符
004013FB |> 0AC0              OR AL,AL
004013FD |.^ 75 F1            JNZ SHORT CrackHea.004013F0                 ; 
上面一條和這一條指令主要是用來判斷是否已把用戶輸入的注冊碼計算完
004013FF |. 8D040A            LEA EAX,DWORD PTR DS:[EDX+ECX]              ; 
EDX中的值與經過上面運算后的ECX中值相加送到EAX
00401402 |. 33C2              XOR EAX,EDX                                 ; 
EAXEDX異或。如果我們輸入的是負數,則此處功能就是把EAX中的值取反
00401404 |. 5E                POP ESI                                     ; ESI
出棧。看到這條和下一條指令,我們要考慮一下這個ESI的值是哪里運算得出的呢?
00401405 |. 81F6 53757A79     XOR ESI,797A7553                            ; 
ESI中的值與797A7553H異或
0040140B \. C3                RETN

這里留下了一個問題:那個 ESI 寄存器中的值是從哪運算出來的?先不管這里,我們接著按 F8 鍵往下走,來到 0040140B 地址處的那條 RETN 指令(這里可以通過在調試選項的"命令"標簽中勾選"使用 RET 代替 RETN"來更改返回指令的顯示方式),再按一下 F8,我們就走出 00401328 地址處的那個 CALL 了。現在我們回到了這里:
0040132D |. 3BC6             CMP EAX,ESI                                  ; 
比較
0040132F |. 75 42            JNZ SHORT CrackHea.00401373                  ; 
不等則完蛋
光標停在了 0040132D 地址處的那條指令上。根據前面的分析,我們知道 EAX 中存放的是我們輸入的注冊碼經過計算后的值。我們來看一下信息窗口:
ESI=E6B5F2F9
EAX=FF439EBE
左鍵選擇信息窗口中的 ESI=E6B5F2F9,再按右鍵,在彈出菜單上選"修改寄存器",我們會看到這樣一個窗口:
 
可能你的顯示跟我不一樣,因為這個 crackme 中已經說了每個機器的序列號不一樣。關掉上面的窗口,再對信息窗口中的 EAX=FF439EBE 做同樣操作:
 
由上圖我們知道了原來前面分析的對我們輸入的注冊碼進行處理后的結果就是把字符格式轉為數字格式。我們原來輸入的是字串"12345666",現在轉換為了數字 12345666。這下就很清楚了,隨便在上面那個修改 ESI 圖中顯示的有符號或無符號編輯框中復制一個,粘貼到我們調試的程序中的編輯框中試一下:
 
呵呵,成功了。且慢高興,這個 crackme 是要求寫出注冊機的。我們先不要求寫注冊機,但注冊的算法我們要搞清楚。還記得我在前面說到的那個 ESI 寄存器值的問題嗎?現在看看我們上面的分析,其實對做注冊機來說是沒有多少幫助的。要搞清注冊算法,必須知道上面那個 ESI 寄存器值是如何產生的,這弄清楚后才能真正清楚這個 crackme 算法。今天就先說到這里,關于如何追出 ESI 寄存器的值我就留到下一篇-內存斷點 中再講吧。

內存斷點
還記得上一篇的內容嗎?在那篇文章中我們分析后發現一個 ESI 寄存器值不知是從什么地方產生的,要弄清這個問題必須要找到生成這個 ESI 值的計算部分。今天我們的任務就是使用 OllyDBG 的內存斷點功能找到這個地方,搞清楚這個值是如何算出來的。這次分析的目標程序還是上一篇的那個 crackme,附件我就不再上傳了,用上篇中的附件就可以了。下面我們開始:
還記得我們上篇中所說的關鍵代碼的地方嗎?溫習一下:
00401323 |. E8 4C010000         CALL <JMP.&USER32.GetWindowTextA>           ; GetWindowTextA
00401328 |. E8 A5000000         CALL CrackHea.004013D2                      ; 
關鍵,要按F7鍵跟進去
0040132D |. 3BC6                CMP EAX,ESI                                 ; 
比較
0040132F |. 75 42               JNZ SHORT CrackHea.00401373                 ; 
不等則完蛋
我們重新用 OllyDBG 載入目標程序,F9運行來到上面代碼所在的地方(你上次設的斷點應該沒刪吧?),我們向上看看能不能找到那個 ESI 寄存器中最近是在哪里賦的值。哈哈,原來就在附近啊:
 
我們現在知道 ESI 寄存器的值是從內存地址 40339C 中送過來的,那內存地址 40339C 中的數據是什么時候產生的呢?大家注意,我這里信息窗口中顯示的是 DS:[0040339C]=9FCF87AA,你那可能是 DS:[0040339C]=XXXXXXXX,這里的 XXXXXXXX 表示的是其它的值,就是說與我這里顯示的 9FCF87AA 不一樣。我們按上圖的操作在數據窗口中看一下:
 
從上圖我們可以看出內存地址 40339C 處的值已經有了,說明早就算過了。現在怎么辦呢?我們考慮一下,看情況程序是把這個值算出來以后寫在這個內存地址,那我們要是能讓 OllyDBG 在程序開始往這個內存地址寫東西的時候中斷下來,不就有可能知道目標程序是怎么算出這個值的嗎?說干就干,我們在 OllyDBG 的菜單上點 調試->重新開始,或者按 CTR+F2 組合鍵(還可以點擊工具欄上的那個有兩個實心左箭頭的圖標)來重新載入程序。這時會跳出一個"進程仍處于激活狀態"的對話框(我們可以在在調試選項的安全標簽下把"終止活動進程時警告"這條前面的勾去掉,這樣下次就不會出現這個對話框了),問我們是否要終止進程。這里我們選"",程序被重新載入,我們停在下面這一句上:
00401000 >/$ 6A 00              PUSH 0                                      ; pModule = NULL
現在我們就要來設內存斷點了。在 OllyDBG 中一般我們用到的內存斷點有內存訪問和內存寫入斷點。內存訪問斷點就是指程序訪問內存中我們指定的內存地址時中斷,內存寫入斷點就是指程序往我們指定的內存地址中寫東西時中斷。更多關于斷點的知識大家可以參考 論壇精華7->基礎知識->斷點技巧->斷點原理 這篇 Lenus 兄弟寫的《如何對抗硬件斷點之一 --- 調試寄存器》文章,也可以看這個帖:http://bbs.pediy.com/showthread.php?threadid=10829。根據當前我們調試的具體程序的情況,我們選用內存寫入斷點。還記得前面我叫大家記住的那個 40339C 內存地址嗎?現在我們要用上了。我們先在 OllyDBG 的數據窗口中左鍵點擊一下,再右擊,會彈出一個如下圖所示的菜單。我們選擇其中的轉到->表達式(也可以左鍵點擊數據窗口后按 CTR+G 組合鍵)。如下圖:
 
現在將會出現這樣一個對話框:
 
我們在上面那個編輯框中輸入我們想查看內容的內存地址 40339C,然后點確定按鈕,數據窗口中顯示如下:
 
我們可以看到,40339C 地址開始處的這段內存里面還沒有內容。我們現在在 40339C 地址處后面的 HEX 數據或 ASCII 欄中按住左鍵往后拖放,選擇一段。內存斷點的特性就是不管你選幾個字節,OllyDBG 都會分配 4096 字節的內存區。這里我就選從 40339C 地址處開始的四個字節,主要是為了讓大家提前了解一下硬件斷點的設法,因為硬件斷點最多只能選 4 個字節。選中部分會顯示為灰色。選好以后松開鼠標左鍵,在我們選中的灰色部分上右擊:
 
經過上面的操作,我們的內存斷點就設好了(這里還有個要注意的地方:內存斷點只在當前調試的進程中有效,就是說你如果重新載入程序的話內存斷點就自動刪除了。且內存斷點每一時刻只能有一個。就是說你不能像按 F2 鍵那樣同時設置多個斷點)。現在按 F9 鍵讓程序運行,呵,OllyDBG 中斷了!
7C932F39 8808                   MOV BYTE PTR DS:[EAX],CL                    ; 
這就是我們第一次斷下來的地方
7C932F3B 40                     INC EAX
7C932F3C 4F                     DEC EDI
7C932F3D 4E                     DEC ESI
7C932F3E ^ 75 CB                JNZ SHORT ntdll.7C932F0B
7C932F40 8B4D 10                MOV ECX,DWORD PTR SS:[EBP+10]
上面就是我們中斷后反匯編窗口中的代碼。如果你是其它系統,如 Win98 的話,可能會有所不同。沒關系,這里不是關鍵。我們看一下領空,原來是在 ntdll.dll 內。系統領空,我們現在要考慮返回到程序領空。返回前我們看一下數據窗口:
 
現在我們轉到反匯編窗口,右擊鼠標,在彈出菜單上選擇斷點->刪除內存斷點,這樣內存斷點就被刪除了。

現在我們來按一下 ALT+F9 組合鍵,我們來到下面的代碼:
00401431 |. 8D35 9C334000      LEA ESI,DWORD PTR DS:[40339C]               ; ALT+F9
返回后來到的位置
00401437 |. 0FB60D EC334000    MOVZX ECX,BYTE PTR DS:[4033EC]
0040143E |. 33FF               XOR EDI,EDI
我們把反匯編窗口往上翻翻,呵,原來就在我們上一篇分析的代碼下面啊?
 
現在我們在 0040140C 地址處那條指令上按 F2 設置一個斷點,現在我們按  CTR+F2 組合鍵重新載入程序,載入后按 F9 鍵運行,我們將會中斷在我們剛才在 0040140C 地址下的那個斷點處:
0040140C /$ 60                 PUSHAD
0040140D |. 6A 00              PUSH 0                                      ; /RootPathName = NULL
0040140F |. E8 B4000000        CALL <JMP.&KERNEL32.GetDriveTypeA>          ; \GetDriveTypeA
00401414 |. A2 EC334000        MOV BYTE PTR DS:[4033EC],AL                 ; 
磁盤類型參數送內存地址4033EC
00401419 |. 6A 00              PUSH 0                                      ; /pFileSystemNameSize = NULL
0040141B |. 6A 00              PUSH 0                                      ; |pFileSystemNameBuffer = NULL
0040141D |. 6A 00              PUSH 0                                      ; |pFileSystemFlags = NULL
0040141F |. 6A 00              PUSH 0                                      ; |pMaxFilenameLength = NULL
00401421 |. 6A 00              PUSH 0                                      ; |pVolumeSerialNumber = NULL
00401423 |. 6A 0B              PUSH 0B                                     ; |MaxVolumeNameSize = B (11.)
00401425 |. 68 9C334000        PUSH CrackHea.0040339C                      ; |VolumeNameBuffer = CrackHea.0040339C
0040142A |. 6A 00              PUSH 0                                      ; |RootPathName = NULL
0040142C |. E8 A3000000        CALL <JMP.&KERNEL32.GetVolumeInformationA>  ; \GetVolumeInformationA
00401431 |. 8D35 9C334000      LEA ESI,DWORD PTR DS:[40339C]               ; 
crackme程序所在分區的卷標名稱送到ESI
00401437 |. 0FB60D EC334000    MOVZX ECX,BYTE PTR DS:[4033EC]              ; 
磁盤類型參數送ECX
0040143E |. 33FF               XOR EDI,EDI                                 ; 
EDI清零
00401440 |> 8BC1               MOV EAX,ECX                                 ; 
磁盤類型參數送EAX
00401442 |. 8B1E               MOV EBX,DWORD PTR DS:[ESI]                  ; 
把卷標名作為數值送到 EBX
00401444 |. F7E3               MUL EBX                                     ; 
循環遞減取磁盤類型參數值與卷標名值相乘
00401446 |. 03F8               ADD EDI,EAX                                 ; 
每次計算結果再加上上次計算結果保存在EDI
00401448 |. 49                 DEC ECX                                     ; 
把磁盤類型參數作為循環次數,依次遞減
00401449 |. 83F9 00            CMP ECX,0                                   ; 
判斷是否計算完
0040144C |.^ 75 F2             JNZ SHORT CrackHea.00401440                 ; 
沒完繼續
0040144E |. 893D 9C334000      MOV DWORD PTR DS:[40339C],EDI               ; 
把計算后值送到內存地址40339C,這就是我們后來在ESI中看到的值
00401454 |. 61                 POPAD
00401455 \. C3                 RETN
通過上面的分析,我們知道基本算法是這樣的:先用 GetDriveTypeA 函數獲取磁盤類型參數,再用 GetVolumeInformationA 函數獲取這個 crackme 程序所在分區的卷標。如我把這個 Crackme 程序放在 F:\OD教程\crackhead\ 目錄下,而我 F 盤設置的卷標是 GAME,則這里獲取的就是 GAMEASCII 碼為"47414D45"。但我們發現一個問題:假如原來我們在數據窗口中看到的地址 40339C 處的 16 進制代碼是"47414D45",即"GAME",但經過地址 00401442 處的那條 MOV EBX,DWORD PTR DS:[ESI] 指令后,我們卻發現 EBX 中的值是"454D4147",正好把我們上面那個"47414D45"反過來了。為什么會這樣呢?如果大家對 x86系列 CPU 的存儲方式了解的話,這里就容易理解了。我們知道"GAME"有四個字節,即 ASCII 碼為"47414D45"。我們看一下數據窗口中的情況:
0040339C     47 41 4D 45 00 00 00 00 00 00 00 00 00 00 00 00     GAME............
大家可以看出來內存地址 40339CH  40339FH 分別按順序存放的是 47 41 4D 45
如下圖:
  
系統存儲的原則為"高高低低",即低字節存放在地址較低的字節單元中,高字節存放在地址較高的字節單元中。比如一個字由兩個字節組成,像這樣:12 34 ,這里的高字節就是 12 ,低字節就是 34。上面的那條指令 MOV EBX,DWORD PTR DS:[ESI] 等同于 MOV EBX,DWORD PTR DS:[40339C]。注意這里是 DWORD,即"雙字",由 4 個連續的字節構成。而取地址為 40339C 的雙字單元中的內容時,我們應該得到的是"454D4147",即由高字節到低字節順序的值。因此經過 MOV EBX,DWORD PTR DS:[ESI] 這條指令,就是把從地址 40339C 開始處的值送到 EBX,所以我們得到了"454D4147"。好了,這里弄清楚了,我們再接著談這個程序的算法。前面我們已經說了取磁盤類型參數做循環次數,再取卷標值 ASCII 碼的逆序作為數值,有了這兩個值就開始計算了。現在我們把磁盤類型值作為 n,卷標值 ASCII 碼的逆序數值作為 a,最后得出的結果作為 b,有這樣的計算過程:
第一次:b = a * n
第二次:b = a * (n - 1) + b
第三次:b = a * (n - 2) + b

 n 次:b = a * 1 + b
可得出公式為 b = a * [n + (n - 1) + (n - 2) + … + 1] = a * [n * (n + 1) / 2]
還記得上一篇我們的分析嗎?看這一句:
00401405 |. 81F6 53757A79     XOR ESI,797A7553                            ; 
ESI中的值與797A7553H異或
這里算出來的 b 最后還要和 797A7553H 異或一下才是真正的注冊碼。只要你對編程有所了解,這個注冊機就很好寫了。如果用匯編來寫這個注冊機的話就更簡單了,很多內容可以直接照抄。
到此已經差不多了,最后還有幾個東西也說一下吧:
1
、上面用到了兩個 API 函數,一個是 GetDriveTypeA,還有一個是 GetVolumeInformationA,關于這兩個函數的具體用法我就不多說了,大家可以查一下 MSDN。這里只要大家注意函數參數傳遞的次序,即調用約定。先看一下這里:
00401419 |. 6A 00              PUSH 0                                      ; /pFileSystemNameSize = NULL
0040141B |. 6A 00              PUSH 0                                      ; |pFileSystemNameBuffer = NULL
0040141D |. 6A 00              PUSH 0                                      ; |pFileSystemFlags = NULL
0040141F |. 6A 00              PUSH 0                                      ; |pMaxFilenameLength = NULL
00401421 |. 6A 00              PUSH 0                                      ; |pVolumeSerialNumber = NULL
00401423 |. 6A 0B              PUSH 0B                                     ; |MaxVolumeNameSize = B (11.)
00401425 |. 68 9C334000        PUSH CrackHea.0040339C                      ; |VolumeNameBuffer = CrackHea.0040339C
0040142A |. 6A 00              PUSH 0                                      ; |RootPathName = NULL
0040142C |. E8 A3000000        CALL <JMP.&KERNEL32.GetVolumeInformationA>  ; \GetVolumeInformationA
把上面代碼后的 OllyDBG 自動添加的注釋與 MSDN 中的函數原型比較一下:
BOOL GetVolumeInformation(
LPCTSTR lpRootPathName,             // address of root directory of the file system
LPTSTR lpVolumeNameBuffer,          // address of name of the volume
DWORD nVolumeNameSize,              // length of lpVolumeNameBuffer
LPDWORD lpVolumeSerialNumber,       // address of volume serial number
LPDWORD lpMaximumComponentLength,   // address of system&apos;s maximum filename length
LPDWORD lpFileSystemFlags,          // address of file system flags
LPTSTR lpFileSystemNameBuffer,      // address of name of file system
DWORD nFileSystemNameSize           // length of lpFileSystemNameBuffer
);
大家應該看出來點什么了吧?函數調用是先把最后一個參數壓棧,參數壓棧順序是從后往前。這就是一般比較常見的 stdcall 調用約定。
2
、我在前面的 00401414 地址處的那條 MOV BYTE PTR DS:[4033EC],AL 指令后加的注釋是"磁盤類型參數送內存地址4033EC"。為什么這樣寫?大家把前一句和這一句合起來看一下:
0040140F |. E8 B4000000        CALL <JMP.&KERNEL32.GetDriveTypeA>          ; \GetDriveTypeA
00401414 |. A2 EC334000        MOV BYTE PTR DS:[4033EC],AL                 ; 
磁盤類型參數送內存地址4033EC
地址 0040140F 處的那條指令是調用 GetDriveTypeA 函數,一般函數調用后的返回值都保存在 EAX 中,所以地址 00401414 處的那一句 MOV BYTE PTR DS:[4033EC],AL 就是傳遞返回值。查一下 MSDN 可以知道 GetDriveTypeA 函數的返回值有這幾個:
Value                     Meaning                                        
返回在EAX中的值
DRIVE_UNKNOWN             The drive type cannot be determined.               0
DRIVE_NO_ROOT_DIR         The root directory does not exist.                 1
DRIVE_REMOVABLE           The disk can be removed from the drive.            2
DRIVE_FIXED               The disk cannot be removed from the drive.         3
DRIVE_REMOTE              The drive is a remote (network) drive.             4
DRIVE_CDROM               The drive is a CD-ROM drive.                       5
DRIVE_RAMDISK             The drive is a RAM disk.                           6
上面那個"返回在EAX中的值"是我加的,我這里返回的是 3,即磁盤不可從驅動器上刪除。
3
、通過分析這個程序的算法,我們發現這個注冊算法是有漏洞的。如果我的分區沒有卷標的話,則卷標值為 0,最后的注冊碼就是 797A7553H,即十進制 2038068563。而如果你的卷標和我一樣,且磁盤類型一樣的話,注冊碼也會一樣,并不能真正做到一機一碼。

消息斷點及 RUN 跟蹤

找了幾十個不同語言編寫的 crackme,發現只用消息斷點的話有很多并不能真正到達我們要找的關鍵位置,想想還是把消息斷點和 RUN 跟蹤結合在一起講,更有效一點。關于消息斷點的更多內容大家可以參考 jingulong 兄的那篇《幾種典型程序Button處理代碼的定位》的文章,堪稱經典之作。今天仍然選擇 crackmes.cjb.net 鏡像打包中的一個名稱為 cycle  crackme。按照慣例,我們先運行一下這個程序看看:
 
我們輸入用戶名 CCDebuger,序列號 78787878,點上面那個"Check"按鈕,呵, 沒反應!看來是要注冊碼正確才有動靜。現在關掉這個 crackme,用 PEiD 查一下殼,原來是 MASM32 / TASM32 [Overlay]。啟動 OllyDBG 載入這個程序,F9讓它運行。這個程序按我們前面講的采用字串參考或函數參考的方法都很容易斷下來。但我們今天主要學習的是消息斷點及 RUN 跟蹤,就先用消息斷點來斷這個程序吧。在設消息斷點前,有兩個內容我們要簡單了解一下:首先我們要了解的是消息。Windows 的中文翻譯就是"窗口",而 Windows 上面的應用程序也都是通過窗口來與用戶交互的。現在就有一個問題,應用程序是如何知道用戶作了什么樣的操作的?這里就要用到消息了。Windows 是個基于消息的系統,它在應用程序開始執行后,為該程序創建一個"消息隊列",用來存放該程序可能創建的各種不同窗口的信息。比如你創建窗口、點擊按鈕、移動鼠標等等,都是通過消息來完成的。通俗的說,Windows 就像一個中間人,你要干什么事是先通知它,然后它才通過傳遞消息的方式通知應用程序作出相應的操作。說到這,又有個問題了,在 Windows 下有多個程序都在運行,那我點了某個按鈕,或把某個窗口最大化,Windows 知道我是點的哪個嗎?這里就要說到另一個內容:句柄(handle)了。句柄一般是個 32 位的數,表示一個對象。Windows 通過使用句柄來標識它代表的對象。比如你點擊某個按鈕,Windows 就是通過句柄來判斷你是點擊了那一個按鈕,然后發送相應的消息通知程序。說完這些我們再回到我們調試的程序上來,你應該已經用 OllyDBG 把這個 crackme 載入并按 F9 鍵運行了吧?現在我們輸入用戶名"CCDebuger",序列號"78787878",先不要點那個"Check"按鈕,我們來到 OllyDBG 中,點擊菜單 查看->窗口(或者點擊工具欄上那個"W"的圖標),我們會看到以下內容:
 
我們在選中的條目上點右鍵,再選擇上圖所示的菜單項,會來到下面這個窗口:
 
現在我們點擊圖上的那個下拉菜單,呵,原來里面的消息真不少。這么多消息我們選哪個呢?注冊是個按鈕,我們就在按下按鈕再松開時讓程序中斷。查一下 MSDN,我們知道這個消息應該是 WM_LBUTTON_UP,看字面意思也可以知道是左鍵松開時的消息:
 
從下拉菜單中選中那個 202 WM_LBUTTON_UP,再按確定按鈕,我們的消息斷點就設好了。現在我們還要做一件事,就是把 RUN 跟蹤打開。有人可能要問,這個 RUN 跟蹤是干什么的?簡單的說,RUN 跟蹤就是把被調試程序執行過的指令保存下來,讓你可以查看被調試程序運行期間干了哪些事。RUN 跟蹤會把地址、寄存器的內容、消息以及已知的操作數記錄到 RUN 跟蹤緩沖區中,你可以通過查看 RUN 跟蹤的記錄來了解程序執行了那些指令。在這還要注意一個緩沖區大小的問題,如果執行的指令太多,緩沖區滿了的話,就會自動丟棄前面老的記錄。我們可以在調試選項->跟蹤中設置:
 
現在我們回到 OllyDBG 中,點擊菜單調試->打開或清除 RUN 跟蹤(第一次點這個菜單是打開 RUN 跟蹤,在打開的情況下點擊就是清除 RUN 跟蹤的記錄,對 RUN 跟蹤熟悉時還可以設置條件),保證當前在我們調試的程序領空,在反匯編窗口中點擊右鍵,在彈出菜單中選擇 RUN 跟蹤->添加所有函數過程的入口:
 
我們可以看到 OllyDBG 把識別出的函數過程都在前面加了灰色條:
 
現在我們回到那個 crackme 中按那個"Check"按鈕,被 OllyDBG 斷下了:
 
這時我們點擊菜單查看->內存,或者點擊工具欄上那個"M"按鈕(也可以按組合鍵 ALT+M),來到內存映射窗口:
 
為什么在這里設訪問斷點,我也說一下。我們可以看一下常見的 PE 文件,沒加過殼的用 PEiD 檢測是這樣:
 
點一下 EP 段后面那個">"符號,我們可以看到以下內容:
 
看完上面的圖我們應該了解為什么在 401000 處的代碼段下訪問斷點了,我們這里的意思就是在消息斷點斷下后,只要按 F9 鍵運行時執行到程序代碼段的指令我們就中斷,這樣就可以回到程序領空了(當然在 401000 處所在的段不是絕對的,我們主要是要看程序的代碼段在什么位置,其實在上面圖中 OllyDBG 內存窗口的"包含"欄中我們就可以看得很清楚了)。設好訪問斷點后我們按 F9 鍵,被 OllyDBG 斷下:

現在我們先不管,按 F9 鍵(或者按 CTR+F12 組合鍵跟蹤步過)讓程序運行,再點擊菜單查看->RUN 跟蹤,或者點擊工具欄上的那個"…"符號,打開 RUN 跟蹤的記錄窗口看看:
 
我們現在再來看看統計的情況:
 
在地址 401082 處的那條指令上雙擊一下,來到以下位置:
 
現在我們在地址 4010A6 處的那條指令上按 F2,刪除所有其它的斷點,點菜單調試->關閉 RUN 跟蹤,現在我們就可以開始分析了:
004010E2 |. 8BFE             MOV EDI,ESI                                         ; 
用戶名送 EDI
004010E4 |. 03F8             ADD EDI,EAX
004010E6 |. FC               CLD
004010E7 |. F3:A4            REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]
004010E9 |. 33C9             XOR ECX,ECX                                         ; 
清零,設循環計數器
004010EB |. BE 71214000      MOV ESI,cycle.00402171                              ; 
注冊碼送ESI
004010F0 |> 41               INC ECX
004010F1 |. AC               LODS BYTE PTR DS:[ESI]                              ; 
取注冊碼的每個字符
004010F2 |. 0AC0             OR AL,AL                                            ; 
判斷是否為空
004010F4 |. 74 0A            JE SHORT cycle.00401100                             ; 
沒有則跳走
004010F6 |. 3C 7E            CMP AL,7E                                           ; 
判斷字符是否為非ASCII字符
004010F8 |. 7F 06            JG SHORT cycle.00401100                             ; 
ASCII字符跳走
004010FA |. 3C 30            CMP AL,30                                           ; 
看是否小于30H,主要是判斷是不是數字或字母等
004010FC |. 72 02            JB SHORT cycle.00401100                             ; 
小于跳走
004010FE |.^ EB F0           JMP SHORT cycle.004010F0
00401100 |> 83F9 11          CMP ECX,11                                          ; 
比較注冊碼位數,必須為十進制17
00401103 |. 75 1A            JNZ SHORT cycle.0040111F
00401105 |. E8 E7000000      CALL cycle.004011F1                                 ; 
關鍵,F7跟進去
0040110A |. B9 01FF0000      MOV ECX,0FF01
0040110F |. 51               PUSH ECX
00401110 |. E8 7B000000      CALL cycle.00401190                                 ; 
關鍵,跟進去
00401115 |. 83F9 01          CMP ECX,1
00401118 |. 74 06            JE SHORT cycle.00401120
0040111A |> E8 47000000      CALL cycle.00401166                                 ; 
注冊失敗對話框
0040111F |> C3               RETN
00401120 |> A1 68214000      MOV EAX,DWORD PTR DS:[402168]
00401125 |. 8B1D 6C214000    MOV EBX,DWORD PTR DS:[40216C]
0040112B |. 33C3             XOR EAX,EBX
0040112D |. 3305 82214000    XOR EAX,DWORD PTR DS:[402182]
00401133 |. 0D 40404040      OR EAX,40404040
00401138 |. 25 77777777      AND EAX,77777777
0040113D |. 3305 79214000    XOR EAX,DWORD PTR DS:[402179]
00401143 |. 3305 7D214000    XOR EAX,DWORD PTR DS:[40217D]
00401149 |.^ 75 CF           JNZ SHORT cycle.0040111A                             ; 
這里跳走就完蛋
0040114B |. E8 2B000000      CALL cycle.0040117B                                  ; 
注冊成功對話框
寫到這準備跟蹤算法時,才發現這個 crackme 還是挺復雜的,具體算法我就不寫了,實在沒那么多時間詳細跟蹤。有興趣的可以跟一下,注冊碼是17位,用戶名采用復制的方式擴展到 16 位,如我輸入"CCDebuger",擴展后就是"CCDebugerCCDebug"。大致是先取擴展后用戶名的前 8 位和注冊碼的前 8 位,把用戶名的前四位和后四位分別與注冊碼的前四位和后四位進行運算,算完后再把擴展后用戶名的后 8 位和注冊碼的后 8 位分兩部分,再與前面用戶名和注冊碼的前 8 位計算后的值進行異或計算,最后結果等于 0 就成功。注冊碼的第 17 位我尚未發現有何用處。對于新手來說,可能這個 crackme 的難度大了一點。沒關系,我們主要是學習 OllyDBG 的使用,方法掌握就可以了。
最后說明一下:
1
、這個程序在設置了消息斷點后可以省略在代碼段上設訪問斷點那一步,直接打開 RUN 跟蹤,消息斷點斷下后按 CTR+F12 組合鍵讓程序執行,RUN 跟蹤記錄中就可以找到關鍵地方。
2
、對于這個程序,你可以不設消息斷點,在輸入用戶名和注冊碼后先不按那個"Check"按鈕,直接打開 RUN 跟蹤,添加"所有函數過程的入口"后再回到程序中點"Check"按鈕,這時在 OllyDBG 中打開 RUN 跟蹤記錄同樣可以找到關鍵位置。

   

匯編功能

今天我們的目標程序是 MyUninstaller 1.34 版。這是一個非常小的程序卸載工具,VC6編寫,大小只有61K。我拿到的這個是上次閃電狼兄弟給我的,附帶在里面的簡體中文語言文件是由六芒星制作的。這個程序有個毛病:就是在列出的可卸載程序上雙擊查看屬性時,彈出的屬性窗口的字體非常難看,應該就是系統字體(SYSTEM_FONT):

我們今天的目標就是利用 OllyDBG 的匯編功能把上面顯示的字體改成我們常見的9號(小五)宋體。首先我們用 OllyDBG 載入程序,按 CTR+N 組合鍵查找一下有哪些 API 函數,只發現一個和設置字體相關的 CreateFontIndirectA。現在我們按鼠標右鍵,選擇"在每個參考上設置斷點",關掉名稱對話框,F9運行,程序已經運行起來了。我們在程序的列表框中隨便找一項雙擊一下,很不幸,那個字體難看的界面又出現了,OllyDBG 沒有任何動作。可見創建這個窗口的時候根本沒調用 CreateFontIndirectA,問題現在就變得有點復雜了。先點確定把這個字體難看的對話框關閉,現在我們從另一個方面考慮:既然沒有調用設置字體的函數,那我們來看看這個窗口是如何創建的,跟蹤窗口創建過程可能會找到一些對我們有用的信息。現在我們再回到我們調試程序的領空,按 CTR+N 看一下,發現 CreateWindowExA 這個 API 函數比較可疑。我們在 CreateWindowExA 函數的每個參考上設上斷點,在 MyUninstaller 的列表框中再隨便找一項雙擊一下,被 OllyDBG 斷下:
  00408F5E  |.  FF15 98B24000   |CALL DWORD PTR DS:[<&USER32.CreateWindowExA>]    ; \
斷在這里
上下翻看一下代碼:
  00408F3B  |.  50              |PUSH EAX                                         ; |hInst
  00408F3C  |.  8B45 C0         |MOV EAX,DWORD PTR SS:[EBP-40]                    ; |
  00408F3F  |.  6A 00           |PUSH 0                                           ; |hMenu = NULL
  00408F41  |.  03C6            |ADD EAX,ESI                                      ; |
  00408F43  |.  FF75 08         |PUSH DWORD PTR SS:[EBP+8]                        ; |hParent
  00408F46  |.  FF75 D0         |PUSH DWORD PTR SS:[EBP-30]                       ; |Height
  00408F49  |.  57              |PUSH EDI                                         ; |Width
  00408F4A  |.  50              |PUSH EAX                                         ; |Y
  00408F4B  |.  FF75 BC         |PUSH DWORD PTR SS:[EBP-44]                       ; |X
  00408F4E  |.  FF75 EC         |PUSH DWORD PTR SS:[EBP-14]                       ; |Style
  00408F51  |.  68 80DE4000     |PUSH myuninst.0040DE80                           ; |WindowName = ""
  00408F56  |.  68 DCD94000     |PUSH myuninst.0040D9DC                           ; |Class = "STATIC"
  00408F5B  |.  FF75 D4         |PUSH DWORD PTR SS:[EBP-2C]                       ; |ExtStyle
  00408F5E  |.  FF15 98B24000   |CALL DWORD PTR DS:[<&USER32.CreateWindowExA>]    ; \
斷在這里
  00408F64  |   6A 00           |PUSH 0                                           ;  
第一處要修改的地方
  00408F66  |   8945 F4         |MOV DWORD PTR SS:[EBP-C],EAX
  00408F69  |.  E8 A098FFFF     |CALL <myuninst.sub_40280E>
  00408F6E  |.  50              |PUSH EAX                                         ; |hInst
  00408F6F  |.  8B45 DC         |MOV EAX,DWORD PTR SS:[EBP-24]                    ; |
  00408F72  |.  6A 00           |PUSH 0                                           ; |hMenu = NULL
  00408F74  |.  03F0            |ADD ESI,EAX                                      ; |
  00408F76  |.  FF75 08         |PUSH DWORD PTR SS:[EBP+8]                        ; |hParent
  00408F79  |.  FF75 CC         |PUSH DWORD PTR SS:[EBP-34]                       ; |Height
  00408F7C  |.  53              |PUSH EBX                                         ; |Width
  00408F7D  |.  56              |PUSH ESI                                         ; |Y
  00408F7E  |.  FF75 D8         |PUSH DWORD PTR SS:[EBP-28]                       ; |X
  00408F81  |.  FF75 E8         |PUSH DWORD PTR SS:[EBP-18]                       ; |Style
  00408F84  |.  68 80DE4000     |PUSH myuninst.0040DE80                           ; |WindowName = ""
  00408F89  |.  68 D4D94000     |PUSH myuninst.0040D9D4                           ; |Class = "EDIT"
  00408F8E  |.  FF75 B8         |PUSH DWORD PTR SS:[EBP-48]                       ; |ExtStyle
  00408F91  |.  FF15 98B24000   |CALL DWORD PTR DS:[<&USER32.CreateWindowExA>]    ; \CreateWindowExA
  00408F97  |   8945 F0         |MOV DWORD PTR SS:[EBP-10],EAX                    ;  
第二處要修改的地方
  00408F9A  |   8B45 F8         |MOV EAX,DWORD PTR SS:[EBP-8]
  00408F9D  |.  FF30            |PUSH DWORD PTR DS:[EAX]                          ; /<%s>
  00408F9F  |.  8D85 B0FEFFFF   |LEA EAX,DWORD PTR SS:[EBP-150]                   ; |
  00408FA5  |.  68 D0D94000     |PUSH myuninst.0040D9D0                           ; |format = "%s:"
  00408FAA  |.  50              |PUSH EAX                                         ; |s
  00408FAB  |.  FF15 90B14000   |CALL DWORD PTR DS:[<&MSVCRT.sprintf>]            ; \sprintf
  00408FB1  |.  8B35 84B24000   |MOV ESI,DWORD PTR DS:[<&USER32.SetWindowTextA>]  ;  USER32.SetWindowTextA
  00408FB7  |.  83C4 0C         |ADD ESP,0C
  00408FBA  |.  8D85 B0FEFFFF   |LEA EAX,DWORD PTR SS:[EBP-150]
  00408FC0  |.  50              |PUSH EAX                                         ; /Text
  00408FC1  |.  FF75 F4         |PUSH DWORD PTR SS:[EBP-C]                        ; |hWnd
  00408FC4  |.  FFD6            |CALL ESI                                         ; \SetWindowTextA
  00408FC6  |.  8D85 ACFAFFFF   |LEA EAX,DWORD PTR SS:[EBP-554]
  00408FCC  |.  50              |PUSH EAX                                         ; /Arg3
  00408FCD  |.  FF75 FC         |PUSH DWORD PTR SS:[EBP-4]                        ; |Arg2
  00408FD0  |.  FF35 00EF4000   |PUSH DWORD PTR DS:[40EF00]                       ; |Arg1 = 00BEADCC
  00408FD6  |.  E8 1884FFFF     |CALL  <myuninst.sub_4013F3>                      ; \sub_4013F3
  00408FDB  |.  83C4 0C         |ADD ESP,0C
  00408FDE  |.  50              |PUSH EAX
  00408FDF  |.  FF75 F0         |PUSH DWORD PTR SS:[EBP-10]
  00408FE2  |.  FFD6            |CALL ESI
  00408FE4  |.  FF45 FC         |INC DWORD PTR SS:[EBP-4]
  00408FE7  |.  8345 F8 14      |ADD DWORD PTR SS:[EBP-8],14
  00408FEB  |.  837D FC 0F      |CMP DWORD PTR SS:[EBP-4],0F
  00408FEF  |.^ 0F8C 32FFFFFF   \JL <myuninst.loc_408F27>
  00408FF5  |.  5F              POP EDI
  00408FF6  |.  5E              POP ESI
  00408FF7  |.  5B              POP EBX
  00408FF8  |.  C9              LEAVE
  00408FF9  \.  C3              RETN

我想上面的代碼我不需多做解釋,OllyDBG 自動給出的注釋已經夠清楚的了。我們雙擊 MyUninstaller 列表框中的的某項查看屬性時,彈出的屬性窗口上的 STATIC 控件和 EDIT 控件都是由 CreateWindowExA 函數創建的,然后再調用 SetWindowTextA 來設置文本,根本沒考慮控件上字體顯示的問題,所以我們看到的都是系統默認的字體。我們要設置控件上的字體,可以考慮在 CreateWindowExA 創建完控件后,在使用 SetWindowTextA 函數設置文本之前調用相關字體創建函數來選擇字體,再調用 SendMessageA 函數發送 WM_SETFONT 消息來設置控件字體。思路定下來后,我們就開始來實施。首先我們看一下這個程序中的導入函數,CreateFontIndirectA 這個字體創建函數已經有了,再看看 SendMessageA,呵呵,不錯,原程序也有這個函數。這樣我們就省事了。有人可能要問,如果原來并沒有這兩個導入函數,那怎么辦呢?其實這也很簡單,我們可以直接用 LordPE 來在程序中添加我們需要的導入函數。我這里用個很小的 PE 工具 zeroadd 來示范一下,這個程序里面沒有 CreateFontIndirectA  SendMessageA 函數(這里還有個問題說一下,其實我們編程時調用這兩個函數時都是直接寫 CreateFontIndirect  SendMessage,一般不需指定。但在程序中寫補丁代碼時我們要指定這是什么類型的函數。這里在函數后面加個"A"表示這是 ASCII 版本,同樣 UNICODE 版本在后面加個"W",如 SendMessageW。在 Win9X 下我們一般都用 ASCII 版本的函數,UNICODE 版本的函數很多在 Win9X 下是不能運行的。而NT 系統如 WinXP 一般都是 UNICODE 版本的,但如果我們用了 ASCII 版本的函數,系統會自動轉換調用 UNICODE 版本。這樣我們寫補丁代碼的時候就可以直接指定為 ASCII 版本的函數,可以兼容各個系統):我們用 LordPE  PE 編輯器載入 zeroadd 程序,選擇"目錄",再在彈出的目錄表對話框中選擇輸入表后面的那個"..."按鈕,會彈出一個對話框:

因為 SendMessageA  USER32.dll 中,我們在右鍵菜單中點擊按鈕"添加導入表",來到下面:

按上面的提示完成后點"確定",我們回到原先的那個"輸入表"對話框:

從上圖中我們可以看出多出了一個 USER32.dll,這就是我們添加 SendMessageA 的結果。這也是用工具添加的一個缺點。我們一般希望把添加的函數直接放到已存在的 DLL 中,而不是多出來一個,這樣顯得不好看。但用工具就沒辦法,LordPE 默認是建一個 1K 的新區段來保存添加后的結果,由此出現了上圖中的情況。如果你對 PE 結構比較熟悉的話,也可以直接用 16進制編輯工具來添加你需要的函數,這樣改出來的東西好看。如果想偷懶,就像我一樣用工具吧,呵呵。在上圖中我還標出了要注意 FirstThunk 及那個 ThunkRVA 的值,并且要把"總是查看 FirstThunk"那個選項選上。有人可能不理解其作用,我這里也解釋一下:一般講述 PE 格式的文章中對 FirstThunk 的解釋是這樣的:FirstThunk 包含指向一個 IMAGE_THUNK_DATA 結構數組的 RVA 偏移地址,當把 PE 文件裝載到內存中時,PE裝載器將查找 IMAGE_THUNK_DATA  IMAGE_IMPORT_BY_NAME 這些結構數組來決定導入函數的地址,隨后用導入函數真實地址來替代由 FirstThunk 指向的 IMAGE_THUNK_DATA 數組里的元素值。這樣說起來還是讓人不明白,我舉個例子:比如你有個很要好的朋友,他是個大忙人,雖然你知道他的家庭住址,可他很少回家。如果你哪天想找他,直接去他家,很可能吃個閉門羹,找不到他人。怎么辦?幸好你有他的手機號碼,你就給他撥了一個電話:"小子,你在哪呢?",他告訴你:"我正在XXX飯店喝酒呢!"這時你怎么辦?(當然是殺到他說的那家飯店去蹭飯了!^_^)這里的 ThunkRVA 就相當于你朋友的手機號碼, SendMessageA 就相當于你那個朋友。而 FirstThunk 就是你手機里的號碼分組。你把你的多個朋友都放在 FirstThunk 這樣的號碼分組里,每個 ThunkRVA 就是你一個朋友的手機號碼。你要找他們,就是通過 ThunkRVA 這樣的手機號碼來和他們聯系,直接去他家找他你很可能要碰壁。而移動或聯通就相當于操作系統,他們負責把你的手機號碼和你的朋友對應上。而 FirstThunk 這樣的號碼分組還有一個好處就是你可以不記你某個朋友的具體號碼,只要記得 FirstThunk 號碼分組的值,你的朋友會按順序在里面排列。比如上圖中 USER32.dll 中的第一個函數是 SendMessageA,它的 ThunkRVA 值就是 FirstThunk 值。如果還有第二個函數,比如是 MessageBoxA,它的值就是 FirstThunk 值加上 4,其余類推。你只要記住各個函數的位置,也可以通過 FirstThunk 加上位置對應值來找到它。當然這比不上直接看 ThunkRVA 來得方便。說了上面這些,我們就要考慮怎么在程序中調用了。你可能會說,我在 OllyDBG 中直接在我們要修改的程序中這樣調用:CALL SendMessageA。哦,別這樣。這等于我上面說的都是廢話,會讓我感到傷心的。你這里的 CALL SendMessageA 就相當于也不跟你朋友打個招呼就直接去他家找他,很有可能你會乘興而去,敗興而歸。別忘了他的手機號碼,我們只有通過號碼才知道他到底在什么地方。我們應該這樣:CALL DWORD PTR [40B01A],這里的 40B01A 就是上面的 SendMessageA 在程序載入后的所在的地方,由基址 00400000 加上 ThunkRVA 0000B01A 得到的。這就是你要找的人所在的地方,不管他跑到哪,你有他的手機號碼就能找到他。同樣道理,你只要記住了 ThunkRVA 值,就按這個來調用你需要的函數,在別的 Windows 系統下也是沒有問題的。系統會自動把你要找到函數和 ThunkRVA 值對應上。而你在 OllyDBG 中寫 CALL SendMessageA,可能你在你的系統上成功了,可放到別的系統下就要出錯了。為什么?因為你找的人已經不在原來的位置了,他跑到別的地方去了。你還到老地方找他,當然看不見人了。說了這么多廢話,也不知大家聽明白了沒有,別越聽越糊涂就行了。總之一句話,別像 CALL SendMessageA 這樣直接調用某個函數,而應該通過 ThunkRVA 值來調用它。下面我們回到我們要修改的 MyUninstaller 上來,先用 LordPE 打開看一下,呵呵,原來 CreateFontIndirectA  SendMessageA 原程序里面都有了,省了我們不少事情。看一下這兩個函數的 ThunkRVA 值,CreateFontIndirectA  GDI32.dll 里面,ThunkRVA 值是 0000B044,這樣我們就知道在程序中調用它的時候就是 CALL DWORD PTR [0040B044]。同樣,SendMessageA ThunkRVA 值是 0000B23C,調用時應該是這樣:CALL DWORD PTR [0040B23C]。了解了這些東西我們就來考慮怎么寫代碼了。首先我們來看一下 CreateFontIndirectA  SendMessageA 這兩個函數的定義:
CreateFontIndirectA

HFONT CreateFontIndirect(
CONST LOGFONT *lplf // pointer to logical font structure
);
CreateFontIndirect
的返回值就是字體的句柄。
對于這個函數我們需要的參數就是給它一個 LOGFONT 的字體結構指針,我們只要在要修改程序的空白處建一個標準的9號(小五)宋體的 LOGFONT 字體結構,再把指針給 CreateFontIndirectA 就可以了。
SendMessageA

LRESULT SendMessage(
HWND hWnd, // handle of destination window
UINT Msg, // message to send
WPARAM wParam, // first message parameter
LPARAM lParam // second message parameter
);
上面的第一個參數是窗口句柄,我們知道 CreateWindowExA 返回的就是窗口句柄,我們可以直接拿來用。第二個消息參數我們這里是設置字體,選WM_SETFONT,這個值是 30H。第三個參數是字體句柄,可以由上面的 CreateFontIndirectA 獲得。第四個參數我們不需要,留空。現在我們準備開始寫代碼,首先我們要在程序中建一個標準9號宋體的 LOGFONT,以便于我們調用。對于 LOGFONT,我們再來看一下定義:
typedef struct tagLOGFONT { // lf 
LONG lfHeight; 
LONG lfWidth; 
LONG lfEscapement; 
LONG lfOrientation; 
LONG lfWeight; 
BYTE lfItalic; 
BYTE lfUnderline; 
BYTE lfStrikeOut; 
BYTE lfCharSet; 
BYTE lfOutPrecision; 
BYTE lfClipPrecision; 
BYTE lfQuality; 
BYTE lfPitchAndFamily; 
TCHAR lfFaceName[LF_FACESIZE]; 
} LOGFONT;
這樣我們的標準9號宋體的 LOGFONT 值應該是32字節,16進制就像這樣:F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5。現在在程序中找個空地。我們用 PEiD 來幫助我們尋找,用 PEiD 打開程序,點 EP 段后面的那個 > 號,隨便選擇一個區段右擊,選"搜索全0"(原版好像是cave什么的):

我們看到 PEiD 把搜索到的空間都給我們列出來了:

現在我們用 WinHEX 打開我們要修改的程序,轉到偏移 9815 處,從 9815 處選擇 32 字節(16進制是0X20)的一個選塊,把光標定位到 9815 處,右鍵選擇菜單 剪貼板數據->寫入(從當前位置覆寫),隨后的格式選擇 ASCII Hex,把我們 LOGFONT  16 進制值
 F4FFFFFF000000000000000000000000900100000000008600000000CBCECCE5 
寫入保存。現在我們用 OllyDBG 載入已添加了 LOGFONT 數據的程序,先轉到 VA 40A415 處(從上圖中看到的)往下看一下:

因為 SendMessageA 還要用到一個窗口句柄,我們可以通過前面的 CreateWindowExA 來獲得。現在我們就把前一張圖中的 .rdata 區段中的地址 0040C56E 作為我們保存窗口句柄 HWND 值的臨時空間。一切就緒,開始寫代碼。先回顧一下我們最先說的那兩個要修改的地方:
第一個要改的地方:
  00408F5E  |.  FF15 98B24000 |CALL DWORD PTR DS:[<&USER32.CreateWindowExA>]  ; \CreateWindowExA
  00408F64      6A 00         PUSH 0                                          ;  
修改前
  00408F66      8945 F4       MOV DWORD PTR SS:[EBP-C],EAX
  00408F69  |.  E8 A098FFFF   |CALL <myuninst.sub_40280E>
修改后:
  00408F5E  |.  FF15 98B24000 |CALL DWORD PTR DS:[<&USER32.CreateWindowExA>]  ; \CreateWindowExA
  00408F64      E9 D5140000   JMP myuninst.0040A43E                           ;  
跳轉到我們的補丁代碼處
  00408F69  |.  E8 A098FFFF   |CALL <myuninst.sub_40280E>
第二個要改的地方:
  00408F91  |.  FF15 98B24000    |CALL DWORD PTR DS:[<&USER32.CreateWindowExA>]    ; \CreateWindowExA
  00408F97      8945 F0           MOV DWORD PTR SS:[EBP-10],EAX                     ;  
改這里
  00408F9A      8B45 F8           MOV EAX,DWORD PTR SS:[EBP-8]
  00408F9D  |.  FF30             |PUSH DWORD PTR DS:[EAX]                          ; /<%s>
  00408F9F  |.  8D85 B0FEFFFF    |LEA EAX,DWORD PTR SS:[EBP-150]                   ; |
  00408FA5  |.  68 D0D94000      |PUSH myuninst.0040D9D0                           ; |format = "%s:"
  00408FAA  |.  50               |PUSH EAX                                         ; |s
  00408FAB  |.  FF15 90B14000    |CALL DWORD PTR DS:[<&MSVCRT.sprintf>]            ; \sprintf
  00408FB1  |.  8B35 84B24000    |MOV ESI,DWORD PTR DS:[<&USER32.SetWindowTextA>]  ;  USER32.SetWindowTextA
修改后:
  00408F91  |.  FF15 98B24000    |CALL DWORD PTR DS:[<&USER32.CreateWindowExA>]    ; \CreateWindowExA
  00408F97      E9 D4140000      JMP myuninst.0040A470                             ;  
跳到我們的第二部分補丁代碼處
  00408F9C      90               NOP
  00408F9D  |.  FF30             |PUSH DWORD PTR DS:[EAX]                          ; /<%s>
  00408F9F  |.  8D85 B0FEFFFF    |LEA EAX,DWORD PTR SS:[EBP-150]                   ; |
  00408FA5  |.  68 D0D94000      |PUSH myuninst.0040D9D0                           ; |format = "%s:"
  00408FAA  |.  50               |PUSH EAX                                         ; |s
  00408FAB  |.  FF15 90B14000    |CALL DWORD PTR DS:[<&MSVCRT.sprintf>]            ; \sprintf
  00408FB1  |.  8B35 84B24000    |MOV ESI,DWORD PTR DS:[<&USER32.SetWindowTextA>]  ;  USER32.SetWindowTextA
這兩個地方的修改都是把原代碼改成跳轉,跳到我們的補丁代碼那繼續執行。在修改之前先把原代碼復制下來,以便恢復。我們在 OllyDBG 中按 CTR+G 組合鍵,來到 0040A43E 地址處,開始輸補丁代碼:

同樣,我們也在 0040A470 地址處輸入我們另一部分的補丁代碼。兩部分的補丁代碼分別如下:
補丁代碼1
  0040A43E      60               PUSHAD                                            ;  
保護現場
  0040A43F      A3 6EC54000      MOV DWORD PTR DS:[40C56E],EAX                     ;  
保存窗口句柄
  0040A444      68 15A44000      PUSH myuninst.0040A415                            ;  
傳遞字體句柄LOGFONT
  0040A449      FF15 44B04000    CALL DWORD PTR DS:[<&GDI32.CreateFontIndirectA>]  ;  GDI32.CreateFontIndirectA
  0040A44F      6A 00            PUSH 0                                            ;  lParam 
參數留空
  0040A451      50               PUSH EAX                                          ;  
字體句柄LOGFONT
  0040A452      6A 30            PUSH 30                                           ;  WM_SETFONT
  0040A454      8B0D 6EC54000    MOV ECX,DWORD PTR DS:[40C56E]                     ;  
窗口句柄送ECX
  0040A45A      51               PUSH ECX                                          ;  
壓入窗口句柄參數
  0040A45B      FF15 3CB24000    CALL DWORD PTR DS:[<&USER32.SendMessageA>]        ;  USER32.SendMessageA
  0040A461      61               POPAD                                             ;  
恢復現場
  0040A462      6A 00            PUSH 0                                            ;  
恢復原代碼
  0040A464      8945 F4          MOV DWORD PTR SS:[EBP-C],EAX
  0040A467    ^ E9 FDEAFFFF      JMP myuninst.00408F69                             ;  
返回
補丁代碼2
  0040A470   > \60            PUSHAD
  0040A471   .  A3 6EC54000   MOV DWORD PTR DS:[40C56E],EAX
  0040A476   .  68 15A44000   PUSH myuninst.0040A415                             ; /pLogfont = myuninst.0040A415
  0040A47B   .  FF15 44B04000 CALL DWORD PTR DS:[<&GDI32.CreateFontIndirectA>]   ; \CreateFontIndirectA
  0040A481   .  6A 00         PUSH 0                                             ; /lParam = 0
  0040A483   .  50            PUSH EAX                                           ; |wParam
  0040A484   .  6A 30         PUSH 30                                            ; |Message = WM_SETFONT
  0040A486   .  8B0D 6EC54000 MOV ECX,DWORD PTR DS:[40C56E]                      ; |
  0040A48C   .  51            PUSH ECX                                           ; |hWnd => NULL
  0040A48D   .  FF15 3CB24000 CALL DWORD PTR DS:[<&USER32.SendMessageA>]         ; \SendMessageA
  0040A493   .  61            POPAD
  0040A494   .  8945 F0       MOV DWORD PTR SS:[EBP-10],EAX
  0040A497   .  8B45 F8       MOV EAX,DWORD PTR SS:[EBP-8]
  0040A49A   .^ E9 FEEAFFFF   JMP myuninst.00408F9D
補丁代碼2因為與補丁代碼1類似,我就不做詳細解釋了。現在我們的代碼都寫完了,現在我們開始保存我們的工作,選中我們修改的代碼,點擊鼠標右鍵,會出來一個菜單:

我們左鍵選所有修改(當然選它了,要不然只會保存我們選定的這一部分。關于這個地方還要說一下,有的時候我們修改完程序選"復制到可執行文件"時只有"選擇"菜單,沒有"所有修改"菜單項。按 OllyDBG 幫助里關于備份功能的說法,好像是受內存塊限制的,補丁功能也同樣是這樣。對于備份及補丁功能我用的比較少,并不是很了解,這方面的內容還是大家自己去研究吧,有什么好的心得也希望能共享一下。我遇到不能保存所有修改的情況就是先把補丁代碼全部復制下來,同時利用二進制功能復制代碼,先選一段補丁代碼保存為文件,再用 OllyDBG 打開保存后的文件,轉到相應位置分別把我們復制下來的補丁二進制代碼粘貼上去后保存。純屬笨辦法,當然你也可以用 HexView 這樣的工具來修改代碼),隨后會出來一個"把選中的內容復制到可執行文件"的對話框,我們選"全部復制",又出來一個對話框,我們在上面點右鍵,在彈出的菜單上選"保存文件"
 
這時會出來一個另存文件的對話框,我們另選一個名字如 myuninst1.exe 來保存,不要直接覆蓋原文件 myuninst.exe,以便于出錯后好修改。現在關閉 OllyDBG,先不要急著運行剛剛修改過的文件,因為我們還有個地方要改一下。大家還記得我們在 .rdata 中用了個地方作為我們保存臨時變量的地方吧?原先的 .rdata 段屬性設置是不可寫的,現在我們寫入了數據,運行時是會出錯的。現在我們要修改一下 .rdata 段的屬性。用 LordPE  PE 編輯器打開我們修改后的程序,點"區段"按鈕,在彈出的對話框中點擊 .rdata 段,右鍵選擇彈出菜單中的"編輯區段"

在彈出的對話框中選標志后面那個"..."按鈕:
 
現在我們把區段標志添加一個可寫入的屬性:
 
完成后按確定保存我們所做的工作,運行一下修改后的程序,呵呵,終于把字體改過來了:
 
如果你運行出錯也沒關系,用 OllyDBG 調試一下你修改后的程序,看看錯在什么地方。這一般都是輸入補丁代碼時造成的,你只要看一下你補丁代碼運行的情況就可以了。到這里我們的任務似乎也完成了,但細心的朋友可能會發現補丁代碼1和補丁代碼2前面的代碼基本上是相同的。一個兩個這樣的補丁還好,如果要是多的話,這樣重復就要浪費不少空間了,況且工作量也相應加大了。既然前面有很多代碼都是重復的,為什么我們不把這些重復的代碼做成一個子程序呢?這樣調用起來要方便的多。下面我們把前面的補丁代碼修改一下,我們先把補丁代碼1的代碼改成這樣:
  0040A43E      60              PUSHAD                                            ;  
保護現場
  0040A43F      A3 6EC54000     MOV DWORD PTR DS:[40C56E],EAX                     ;  
保存窗口句柄
  0040A444      68 15A44000     PUSH myuninst.0040A415                            ;  
我們建的LOGFONT對應指針
  0040A449      FF15 44B04000   CALL DWORD PTR DS:[<&GDI32.CreateFontIndirectA>]  ;  GDI32.CreateFontIndirectA
  0040A44F      6A 00           PUSH 0                                            ;  lParam 
參數留空
  0040A451      50              PUSH EAX                                          ;  
字體句柄
  0040A452      6A 30           PUSH 30                                           ;  WM_SETFONT
  0040A454      8B0D 6EC54000   MOV ECX,DWORD PTR DS:[40C56E]                     ;  
窗口句柄
  0040A45A      51              PUSH ECX                                          ;  
窗口句柄壓棧
  0040A45B      FF15 3CB24000   CALL DWORD PTR DS:[<&USER32.SendMessageA>]        ;  USER32.SendMessageA
  0040A461      61              POPAD                                             ;  
恢復現場
  0040A462      C3              RETN                                              ;  
返回
這樣我們的子程序代碼就寫好了。現在我們再在子程序代碼后面寫上兩個補丁代碼,當然不要忘了改前面原程序中的跳轉:
修改后的補丁代碼1
  0040A467      E8 D2FFFFFF     CALL myuninst.0040A43E                            ;  
調用子程序
  0040A46C      6A 00           PUSH 0                                            ;  
恢復前面修改過的代碼
  0040A46E      8945 F4         MOV DWORD PTR SS:[EBP-C],EAX
  0040A471    ^ E9 F3EAFFFF     JMP myuninst.00408F69                             ;  
返回繼續執行
修改后的補丁代碼2
  0040A47A      E8 BFFFFFFF     CALL myuninst.0040A43E
  0040A47F      8945 F0         MOV DWORD PTR SS:[EBP-10],EAX
  0040A482      8B45 F8         MOV EAX,DWORD PTR SS:[EBP-8]
  0040A485    ^ E9 13EBFFFF     JMP myuninst.00408F9D
我在每個補丁代碼片斷間留了4個字節來分隔。同樣,我們還要修改一下我們前面的跳轉:
第一個要修改跳轉的地方:
  00408F5E  |.  FF15 98B24000   |CALL DWORD PTR DS:[<&USER32.CreateWindowExA>]    ; \
斷在這里
  00408F64      E9 FE140000     JMP myuninst.0040A467                             ;  
跳到我們的第一部分補丁代碼處
  00408F69  |.  E8 A098FFFF     |CALL <myuninst.sub_40280E>
第二個要修改跳轉的地方:
  00408F91  |.  FF15 98B24000   |CALL DWORD PTR DS:[<&USER32.CreateWindowExA>]    ; \CreateWindowExA
  00408F97      E9 DE140000     JMP myuninst.0040A47A                             ;  
跳到我們的第二部分補丁代碼處
  00408F9C      90              NOP
  00408F9D  |.  FF30            |PUSH DWORD PTR DS:[EAX]                          ; /<%s>
修改好后保存,同樣不要忘了再修改一下 .rdata 區段的屬性。運行一下,一切OK

五通軟件商城官方微信公眾號

相關教程
    暫無相關...

欄目類別

主站蜘蛛池模板: 博野县| 梓潼县| 桃江县| 舒兰市| 定襄县| 万年县| 元阳县| 长阳| 大关县| 乃东县| 宜昌市| 民县| 平山县| 江达县| 山东省| 盐亭县| 集安市| 衢州市| 平度市| 潮州市| 图木舒克市| 澳门| 墨玉县| 奉节县| 六枝特区| 东光县| 瓮安县| 双辽市| 灯塔市| 广平县| 南涧| 崇仁县| 邵东县| 太原市| 陆河县| 黎川县| 乌审旗| 南溪县| 广河县| 平南县| 涪陵区|