-
-
[分享]简单分析目标程序
-
2011-8-4 16:37
-
刚发完目录帖子,有兄弟就激动的问了,哈哈 ,看样子目录内容写的好啊,废话不多说,开始吧
由于刚开始没接触什么破解,09年注册的号子,也是那时新奇逛了一下,所以没什么基础,只知道有ollydbg和radasm 这类的程序,当时还写了几个汇编程序,都不知道自己为什么去弄,哎
这次目的性非常强,用到什么的时候再学,这样还是比较靠谱
到网上搜了很多,关于.net破解,关键字 ".net 破解;.net 程序破解;.net 如何破解"等等等等,没有什么头绪。
1、首先在看雪主页上看到 “【原创】OllyDBG 入门系列 ” 作者 : CCDebuger
于是乎兴致勃勃的下载下来ollydbg,然后果断把目标程序拖到ollydbg的窗口中,马上中断住了。
你们懂得,对于新手来说中断住了比不中断还要头疼,看着满眼的汇编代码,摸不着北, 所以只有按哪个继续运行的箭头,连续按了三次后,没反应了左上角的已暂停变成了已终止。
是在让人蛋疼。重复了至少10次都是这样,只好放弃。
2、OD调试未果,只好另寻他路,然后又到看雪继续逛,结果猛然发现有一个KSSD看雪十年文库,特别好奇,就进去看了,一看目录
顿时又发现新大陆了,然后进去潦草的看了一下,然后又朝着破解.net程序的方向去了,在这个文库的
这个目录下面,有写破解的文章,于是我看到了这篇 windcbf 写的 ".Net环境的下的程序破解",虽然是03年的文章了,我觉得希望也不大,不过还是照做了一遍。
首先是用 ildasm 反编译目标文件
运行上面的命令,会在目录下面生成test.il 和 test.res 类似的文件如下图
突然又小兴奋了一下,原来真的可以出来东西,于是乎打开il文件一看
几乎全是这样的没有方法内容的代码,刚开始不懂,只猜出来是混淆了,并不知道其他的,也就不去分析里面的代码了,事实证明,分析了也没用,然后我就继续运行ilasm的命令反编译回来,心想,“如果反编译回来能运行,那么这个文件还是有修改的可能”,可是现实是残忍的,结果总会是与幻想的不一样,当我用ilasm这个命令编译
也顺利编译了,出现了下图的结果
顿时兴奋了,然后马上去运行这个目录下的test.exe
但是双击了1分钟后,没有任何反应,我就知道我又错了。。。
哎,总是这样
没办法,又的重新开始 GO ON。
3、我没有放弃,继续找,还是在KSSD文库中,找继续是这个破解的目录,遍历了其他文章之后,发现有Reflector这样的工具,根据 “NET程序的破解” ,"windows manager中文版6.0.2版本的破解" 两篇文章的线索,于是乎我把reflector工具down下来,然后把test.exe拖进去之后,出现如下情形
习惯了,我总觉的我做的事情反正不经历过各种磨难,反正达不到目的,坚持啊!
总结+分析
------------------------------------------------------------------------------------------------
用到的工具:
1:ollydbg 调试工具
2:ildasm/ilasm 反编译工具(.net sdk 自带的编译工具 ,其中ildasm 有个修正版2.0,
可以反编译头不正确的.net程序在看雪主页的工具栏目中有的下)。
命令 : ildasm test.exe /output:test.il
3:reflector 反编译工具
------------------------------------------------------------------------------------------------
线索:
1 、ollydbg不能正常运行调试.net程序
2 、ildasm/ilasm 虽然能互相编译,但是用ilasm反编译自己生成的test.il文件构建出来的
test.exe 文件不能运行
3、il文件中的方法名都被混淆过了
4 、relfector不能正常显示目标程序的信息,而且报一个 "Invalid number of data directories in NT header.
"的错误
------------------------------------------------------------------------------------------------
暂时不知道这些线索怎么用(现在已经知道了,但是7天前还蒙在鼓里)。
下篇 “不断的调试与失败” 文章继续吧。。。
由于刚开始没接触什么破解,09年注册的号子,也是那时新奇逛了一下,所以没什么基础,只知道有ollydbg和radasm 这类的程序,当时还写了几个汇编程序,都不知道自己为什么去弄,哎
这次目的性非常强,用到什么的时候再学,这样还是比较靠谱
到网上搜了很多,关于.net破解,关键字 ".net 破解;.net 程序破解;.net 如何破解"等等等等,没有什么头绪。
1、首先在看雪主页上看到 “【原创】OllyDBG 入门系列 ” 作者 : CCDebuger
于是乎兴致勃勃的下载下来ollydbg,然后果断把目标程序拖到ollydbg的窗口中,马上中断住了。
你们懂得,对于新手来说中断住了比不中断还要头疼,看着满眼的汇编代码,摸不着北, 所以只有按哪个继续运行的箭头,连续按了三次后,没反应了左上角的已暂停变成了已终止。
是在让人蛋疼。重复了至少10次都是这样,只好放弃。
2、OD调试未果,只好另寻他路,然后又到看雪继续逛,结果猛然发现有一个KSSD看雪十年文库,特别好奇,就进去看了,一看目录
顿时又发现新大陆了,然后进去潦草的看了一下,然后又朝着破解.net程序的方向去了,在这个文库的
这个目录下面,有写破解的文章,于是我看到了这篇 windcbf 写的 ".Net环境的下的程序破解",虽然是03年的文章了,我觉得希望也不大,不过还是照做了一遍。
首先是用 ildasm 反编译目标文件
运行上面的命令,会在目录下面生成test.il 和 test.res 类似的文件如下图
突然又小兴奋了一下,原来真的可以出来东西,于是乎打开il文件一看
.method assembly hidebysig static void
'3dGP4yCYgWdK3JiIgVPn'(object A_0,
valuetype [System.Drawing]System.Drawing.Size A_1) cil managed noinlining
{
// Code size 4 (0x4)
.maxstack 8
IL_0000: nop
IL_0001: nop
IL_0002: nop
IL_0003: ret
} // end of method Foper::'3dGP4yCYgWdK3JiIgVPn'几乎全是这样的没有方法内容的代码,刚开始不懂,只猜出来是混淆了,并不知道其他的,也就不去分析里面的代码了,事实证明,分析了也没用,然后我就继续运行ilasm的命令反编译回来,心想,“如果反编译回来能运行,那么这个文件还是有修改的可能”,可是现实是残忍的,结果总会是与幻想的不一样,当我用ilasm这个命令编译
ilasm "D:\破解\VStart50\tools\ildasm2.0\test.il"
也顺利编译了,出现了下图的结果
顿时兴奋了,然后马上去运行这个目录下的test.exe
但是双击了1分钟后,没有任何反应,我就知道我又错了。。。
哎,总是这样
没办法,又的重新开始 GO ON。
3、我没有放弃,继续找,还是在KSSD文库中,找继续是这个破解的目录,遍历了其他文章之后,发现有Reflector这样的工具,根据 “NET程序的破解” ,"windows manager中文版6.0.2版本的破解" 两篇文章的线索,于是乎我把reflector工具down下来,然后把test.exe拖进去之后,出现如下情形
习惯了,我总觉的我做的事情反正不经历过各种磨难,反正达不到目的,坚持啊!
总结+分析
------------------------------------------------------------------------------------------------
用到的工具:
1:ollydbg 调试工具
2:ildasm/ilasm 反编译工具(.net sdk 自带的编译工具 ,其中ildasm 有个修正版2.0,
可以反编译头不正确的.net程序在看雪主页的工具栏目中有的下)。
命令 : ildasm test.exe /output:test.il
3:reflector 反编译工具
------------------------------------------------------------------------------------------------
线索:
1 、ollydbg不能正常运行调试.net程序
2 、ildasm/ilasm 虽然能互相编译,但是用ilasm反编译自己生成的test.il文件构建出来的
test.exe 文件不能运行
3、il文件中的方法名都被混淆过了
4 、relfector不能正常显示目标程序的信息,而且报一个 "Invalid number of data directories in NT header.
"的错误
------------------------------------------------------------------------------------------------
暂时不知道这些线索怎么用(现在已经知道了,但是7天前还蒙在鼓里)。
下篇 “不断的调试与失败” 文章继续吧。。。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
