OllyDBG⼊门系列(⼆)-字串参考
引⽤:
感谢 chuxuezhe 朋友的反馈:
经检查才发现原来是写⽂章前曾⽤修改过的 Ultra String Reference 插件查过字串,这个修改后的插件会把到的字串⾃动添加到代码后⾯作为注释,且所有字母都⼀律⼩写,导致原来⽂章写的时候注释中的⼤⼩写分不清楚,⽐较混乱。这次把⽂章⼀些地⽅修改了⼀下,全部⽤OD⾃带功能进⾏操作,重新制作了⼏个图⽚。因为我⾃⼰的失误,在此对给⼤家造成了阅读中的困惑表⽰抱歉!
OllyDBG ⼊门系列(⼆)-字串参考
作者:CCDebuger
上⼀篇是使⽤⼊门,现在我们开始正式进⼊破解。今天的⽬标程序是看雪兄《加密与解密》第⼀版附带光盘中的 crackmes.cjb 镜像打包中的 CFF Crackme #3,采⽤⽤户名/序列号保护⽅式。原版加了个 UPX 的壳。刚开始学破解先不涉及壳的问题,我们主要是熟悉⽤OllyDBG 来破解的⼀般⽅法。我这⾥把壳脱掉来分析,附件是脱壳后的⽂件,直接就可以拿来⽤。先说⼀下⼀般软件破解的流程:拿到⼀个软件先别接着马上⽤ OllyDBG 调试,先运⾏⼀下,有帮助⽂档的最好先看⼀下帮助,熟悉⼀下软件的使⽤⽅
法,再看看注册的⽅式。如果是序列号⽅式可以先输个假的来试⼀下,看看有什么反应,也给我们破解留下⼀些有⽤的线索。如果没有输⼊注册码的地⽅,要考虑⼀下是不是读取注册表或 Key ⽂件(⼀般称 keyfile,就是程序读取⼀个⽂件中的内容来判断是否注册),这些可以⽤其它⼯具来辅助分析。如果这些都不是,原程序只是⼀个功能不全的试⽤版,那要注册为正式版本就要⾃⼰来写代码完善了。有点跑题了,呵呵。获得程序的⼀些基本信息后,还要⽤查壳的⼯具来查⼀下程序是否加了壳,若没壳的话看看程序是什么编译器编的,如 VC、Delphi、VB 等。这样的查壳⼯具有PEiD 和 FI。有壳的话我们要尽量脱了壳后再来⽤ OllyDBG 调试,特殊情况下也可带壳调试。下⾯进⼊正题:
我们先来运⾏⼀下这个 crackme(⽤ PEiD 检测显⽰是 Delphi 编的),界⾯如图:
这个 crackme 已经把⽤户名和注册码都输好了,省得我们动⼿^_^。我们在那个“Register now !”按钮上点击⼀下,将会跳出⼀个对话框:
好了,今天我们就从这个错误对话框中显⽰的“Wrong Serial, try again!”来⼊⼿。启动 OllyDBG,选择菜单⽂件->打开载⼊ ⽂件,我们会停在这⾥:
我们在反汇编窗⼝中右击,出来⼀个菜单,我们在查->所有参考⽂本字串上左键点击:
当然如果⽤上⾯那个超级字串参考+插件会更⽅便。但我们的⽬标是熟悉 OllyDBG 的⼀些操作,我就尽量使⽤ OllyDBG ⾃带的功能,少⽤插件。好了,现在出来另⼀个对话框,我们在这个对话框⾥右击,选择“查⽂本”菜单项,输⼊“Wrong Serial, try again!”的开头单
词“Wrong”(注意这⾥查内容要区分⼤⼩写)来查,到⼀处:
在我们到的字串上右击,再在出来的菜单上点击“反汇编窗⼝中跟随”,我们来到这⾥:
见上图,为了看看是否还有其他的参考,可以通过选择右键菜单查参考->⽴即数,会出来⼀个对话框:
分别双击上⾯标出的两个地址,我们会来到对应的位置:
00440F79 |. BA 8C104400 MOV EDX,CrackMe3.0044108C ; ASCII "Wrong Serial,try again!"
00440F7E |. A1 442C4400 MOV EAX,DWORD PTR DS:[442C44]
00440F83 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00440F85 |. E8 DEC0FFFF CALL CrackMe3.0043D068
00440F8A |. EB 18 JMP SHORT CrackMe3.00440FA4
00440F8C |> 6A 00 PUSH 0
00440F8E |. B9 80104400 MOV ECX,CrackMe3.00441080 ; ASCII "Beggar off!"
00440F93 |. BA 8C104400 MOV EDX,CrackMe3.0044108C ; ASCII "Wrong Serial,try again!"
00440F98 |. A1 442C4400 MOV EAX,DWORD PTR DS:[442C44]
00440F9D |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00440F9F |. E8 C4C0FFFF CALL CrackMe3.0043D068
我们在反汇编窗⼝中向上滚动⼀下再看看:
00440F2C |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
00440F2F |. BA 14104400 MOV EDX,CrackMe3.00441014 ; ASCII "Registered User"
00440F34 |. E8 F32BFCFF CALL CrackMe3.00403B2C ; 关键,要⽤F7跟进去
00440F39 |. 75 51 JNZ SHORT CrackMe3.00440F8C ; 这⾥跳⾛就完蛋
00440F3B |. 8D55 FC LEA EDX,DWORD PTR SS:[EBP-4]
00440F3E |. 8B83 C8020000 MOV EAX,DWORD PTR DS:[EBX+2C8]
00440F44 |. E8 D7FEFDFF CALL CrackMe3.00420E20
00440F49 |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4]
00440F4C |. BA 2C104400 MOV EDX,CrackMe3.0044102C ; ASCII "GFX-754-IER-954"
00440F51 |. E8 D62BFCFF CALL CrackMe3.00403B2C ; 关键,要⽤F7跟进去
00440F56 |. 75 1A JNZ SHORT CrackMe3.00440F72 ; 这⾥跳⾛就完蛋
00440F58 |. 6A 00 PUSH 0
00440F5A |. B9 3C104400 MOV ECX,CrackMe3.0044103C ; ASCII "CrackMe cracked successfully"
00440F5F |. BA 5C104400 MOV EDX,CrackMe3.0044105C ; ASCII "Congrats! You cracked this CrackMe!"
00440F64 |. A1 442C4400 MOV EAX,DWORD PTR DS:[442C44]
00440F69 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00440F6B |. E8 F8C0FFFF CALL CrackMe3.0043D068
00440F70 |. EB 32 JMP SHORT CrackMe3.00440FA4
00440F72 |> 6A 00 PUSH 0
00440F74 |. B9 80104400 MOV ECX,CrackMe3.00441080 ; ASCII "Beggar off!"
00440F79 |. BA 8C104400 MOV EDX,CrackMe3.0044108C ; ASCII "Wrong Serial,try again!"
00440F7E |. A1 442C4400 MOV EAX,DWORD PTR DS:[442C44]
00440F83 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00440F85 |. E8 DEC0FFFF CALL CrackMe3.0043D068
00440F8A |. EB 18 JMP SHORT CrackMe3.00440FA4
00440F8C |> 6A 00 PUSH 0
00440F8E |. B9 80104400 MOV ECX,CrackMe3.00441080 ; ASCII "Beggar off!"
00440F93 |. BA 8C104400 MOV EDX,CrackMe3.0044108C ; ASCII "Wrong Serial,try again!"
00440F98 |. A1 442C4400 MOV EAX,DWORD PTR DS:[442C44]
00440F9D |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00440F9F |. E8 C4C0FFFF CALL CrackMe3.0043D068
⼤家注意看⼀下上⾯的注释,我在上⾯标了两个关键点。有⼈可能要问,你怎么知道那两个地⽅是关键点?其实很简单,我是根据查看是哪条指令跳到“wrong serial,try again”这条字串对应的指令来决定的。如果你在调试选项->CPU 标签中把“显⽰跳转路径”及其下⾯的两个“如跳转未实现则显⽰灰⾊路径”、“显⽰跳转到选定命令的路径”都选上的话,就会看到是从什么地⽅跳到出错字串处的:
我们在上图中地址 00440F2C 处按 F2 键设个断点,现在我们按 F9 键,程序已运⾏起来了。我在上⾯那个编辑框中随便输⼊⼀下,如CCDebuger,下⾯那个编辑框我还保留为原来的“754-GFX-IER-954”,我们点⼀下那个“Register now !”按钮,呵,OllyDBG 跳了出来,暂停
在我们下的断点处。我们看⼀下信息窗⼝,你应该发现了你刚才输⼊的内容了吧?我这⾥显⽰是这样:
堆栈 SS:[0012F9AC]=00D44DB4, (ASCII "CCDebuger")
EAX=00000009
上⾯的内存地址 00D44DB4 中就是我们刚才输⼊的内容,我这⾥是 CCDebuger。你可以在堆栈 SS:[0012F9AC]=00D44DB4, (ASCII "CCDebuger") 这条内容上左击选择⼀下,再点右键,在弹出菜单中选择“数据窗⼝中跟随数值”,你就会在下⾯的数据窗⼝中看到你刚才输⼊的内容。⽽ EAX=00000009 指的是你输⼊内容的长度。如我输⼊的 CCDebuger 是9个字符。如下图所⽰:
现在我们来按 F8 键⼀步步分析⼀下:
00440F2C |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] ; 把我们输⼊的内容送到EAX,我这⾥是“CCDebuger”
00440F2F |. BA 14104400 MOV EDX,CrackMe3.00441014 ; ASCII "Registered User"
00440F34 |. E8 F32BFCFF CALL CrackMe3.00403B2C ; 关键,要⽤F7跟进去
00440F39 |. 75 51 JNZ SHORT CrackMe3.00440F8C ; 这⾥跳⾛就完蛋
当我们按 F8 键⾛到 00440F34 |. E8 F32BFCFF CALL CrackMe3.00403B2C 这⼀句时,我们按⼀下 F7 键,进⼊这个 CALL,进去后光标停在这⼀句:
我们所看到的那些 PUSH EBX、 PUSH ESI 等都是调⽤⼦程序保存堆栈时⽤的指令,不⽤管它,按 F8 键⼀步步过来,我们只关⼼关键部分:
00403B2C /$ 53 PUSH EBX
00403B2D |. 56 PUSH ESI
00403B2E |. 57 PUSH EDI
00403B2F |. 89C6 MOV ESI,EAX ; 把EAX内我们输⼊的⽤户名送到 ESI
00403B31 |. 89D7 MOV EDI,EDX ; 把EDX内的数据“Registered User”送到EDI
00403B33 |. 39D0 CMP EAX,EDX ; ⽤“Registered User”和我们输⼊的⽤户名作⽐较
00403B35 |. 0F84 8F000000 JE CrackMe3.00403BCA ; 相同则跳
00403B3B |. 85F6 TEST ESI,ESI ; 看看ESI中是否有数据,主要是看看我们有没有输⼊⽤户名
00403B3D |. 74 68 JE SHORT CrackMe3.00403BA7 ; ⽤户名为空则跳
00403B3F |. 85FF TEST EDI,EDI
00403B41 |. 74 6B JE SHORT CrackMe3.00403BAE
00403B43 |. 8B46 FC MOV EAX,DWORD PTR DS:[ESI-4] ; ⽤户名长度送EAX
00403B46 |. 8B57 FC MOV EDX,DWORD PTR DS:[EDI-4] ; “Registered User”字串的长度送EDX
00403B49 |. 29D0 SUB EAX,EDX ; 把⽤户名长度和“Registered User”字串长度相减
00403B4B |. 77 02 JA SHORT CrackMe3.00403B4F ; ⽤户名长度⼤于“Registered User”长度则跳
00403B4D |. 01C2 ADD EDX,EAX ; 把减后值与“Registered User”长度相加,即⽤户名长度橙光字符串是什么
00403B4F |> 52 PUSH EDX
00403B50 |. C1EA 02 SHR EDX,2 ; ⽤户名长度值右移2位,这⾥相当于长度除以4
00403B53 |. 74 26 JE SHORT CrackMe3.00403B7B ; 上⾯的指令及这条指令就是判断⽤户名长度最少不能低于4
00403B55 |> 8B0E MOV ECX,DWORD PTR DS:[ESI] ; 把我们输⼊的⽤户名送到ECX
00403B57 |. 8B1F MOV EBX,DWORD PTR DS:[EDI] ; 把“Registered User”送到EBX
00403B59 |. 39D9 CMP ECX,EBX ; ⽐较
00403B5B |. 75 58 JNZ SHORT CrackMe3.00403BB5 ; 不等则完蛋
根据上⾯的分析,我们知道⽤户名必须是“Registered User”。我们按 F9 键让程序运⾏,出现错误对话框,点确定,重新在第⼀个编辑框中输⼊“Registered User”,再次点击那个“Register now !”按钮,被 OllyDBG 拦下。因为地址 00440F34 处的那个 CALL 我们已经分析清楚了,这次就不⽤再按 F7 键跟进去了,直接按 F8 键通过。我们⼀路按 F8 键,来到第⼆个关键代码处:
00440F49 |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] ; 取输⼊的注册码
00440F4C |. BA 2C104400 MOV EDX,CrackMe3.0044102C ; ASCII "GFX-754-IER-954"
00440F51 |. E8 D62BFCFF CALL CrackMe3.00403B2C ; 关键,要⽤F7跟进去
00440F56 |. 75 1A JNZ SHORT CrackMe3.00440F72 ; 这⾥跳⾛就完蛋
⼤家注意看⼀下,地址 00440F51 处的 CALL CrackMe3.00403B2C 和上⾯我们分析的地址 00440F34 处的 CALL CrackMe3.00403B2C 是不是汇编指令都⼀样啊?这说明检测⽤户名和注册码是⽤的同⼀个⼦程序。⽽这个⼦程序 CALL 我们在上⾯已经分析过了。我们执⾏到现在可以很容易得出结论,这个 CALL 也就是把我们输⼊的注册码与 00440F4C 地址处指令后的“GFX-754-IER-954”作⽐较,相等则 OK。好了,我们已经得到⾜够的信息了。现在我们在菜单查看->断点上点击⼀下,打开断点窗⼝(也可以通过组合键 ALT+B 或点击⼯具栏上那
个“B”图标打开断点窗⼝):
为什么要做这⼀步,⽽不是把这个断点删除呢?这⾥主要是为了保险⼀点,万⼀分析错误,我们还要接着分析,要是把断点删除了就要做⼀些重复⼯作了。还是先禁⽤⼀下,如果经过实际验证证明我们的分析是正确的,再删不迟。现在我们把断点禁⽤,在 OllyDBG 中按 F9 键让程序运⾏。输⼊我们经分析得出的内容:
⽤户名:Registered User
注册码:GFX-754-IER-954
点击“Register now !”按钮,呵呵,终于成功了:
--------------------------------------------------------------------------------
【版权声明】本⽂纯属技术交流, 转载请注明作者并保持⽂章的完整, 谢谢!

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。