-
-
[旧帖] [原创]练习TraceMe.exe,做算号器成功,列出汇编分析和几点疑问。 0.00雪花
-
发表于: 2013-8-24 17:37
-
呃……通过实战,终于体验到了汇编基础差的痛苦之处!
我用的是 中文OllyICE
(如有机会,求转个正。)
第一步,找CALL,即算号过程。
1.直接用OllyICE打开 trace.exe。根据书上的教程示例查找USER32.GetDlgItemTextA函数的“输入函数参考”,在反汇编窗口中跟随这个“参考”并下断点。
这里一直无法理解“输入函数参考”的中文含意,这个在英文原版中的含义是不是“输入函数的引用处”或者“涉及到了这个输入函数的地方”?或许是中文翻译的失误吧。
2.下完断,Ctrl+F2重新运行OD,接着F9执行traceme.exe,会出现验证对话框,随便填并确定,我们的断点会拦到它的(如图1)。(如果提示输入长度不够,请重试)。
图1:
图1中 004011A3这一行就是断到的地方,因为输入函数GetDlgItemTextA的地址被引用并交给了edi,再往下看,CALL了两次 edi,根据API手册,traceme.exe 把我们输入的用户名的密码读入了变量。为什么是存入esp+4C和esp+9C这两个地址呢?我猜是对话框对象被创建的时候系统就那么分配的。。不晓得猜测正确不
3.接下来,连续两个判断,是看输入的用户名是否符合格式。再接下来,哎呀~连接几个压栈这是要CALL啊,CALL完了00401340还有个 add esp,0C, 这是C调用的栈平衡嘛。栈平衡后面紧跟着就是test eax,eax ,这是判断函数返回值是否为零啊,如图2。
图2:
我们现在是乱输入的密码,返回值肯定不对,先不去管那个疑似算号函数的CALL,先跟下去,跟下去发现一连串的对话框相关API调用后。traceme弹了个窗,说我密码不对。。
4.我们重新开始调试,到0040113这一行暂停下,把下面的je short 440122E 改成 nop(双击汇编代码区填NOP),接下来继续F8下去,会弹出个恭喜框。这下我们可以确定00401340肯定就是算号函数了。只是不明白,为什么算号函数出来第一时间不平衡栈,而是把GetDlgItem的地址引用给edi?难道编译器就是这么无脑整的?
第二步,算号函数。
Ctrl+F2重新开始,F9重新执行,这次在CALL 00401340的时候跟进去。
如图3
由于OD对API函数有一定的注释,因此我们很容易发现00401379行之后是格式化一个字符串再与另一个字符串比较的操作。通过跟踪发现 0040138E这一行eax装的是我们输入的密码,那么格式化的ebp就应该是算号器算的喽~~
00401395、00401397两行中
neg eax
sbb eax,eax
结合下面的inc eax,是为了确定函数的返回值是0 or 1,
如果有朋友对这组指令的意义不了解,请参考http://www.cnblogs.com/awpatp/archive/2009/11/06/1597488.html,讲得非常详细。
具体的算号过程《加密与解密第三版 》注释的很详细,算法是简单的循环取用户名中的某一数+数据表中的某一数。
下面一行中,ecx被赋值为3,
0040134B | mov ecx, 3
00401359 ~ 00401376是个循环,在循环中ecx只有 inc加操作和cmp比较操作,结合下面的指令就明白了为什么用户名要大于4个字符:
00401364 |mov dl, byte ptr [ecx+ebp]
ebp是用户名首字符加上ecx,算号器只从第4个字符开始算。
经过算号器验证,用户名分别输入,12345,00045,11145,44445,他们的密码都是1154.
00401367这一行中 eax+405030是提取源数据表用于加法,在数据窗口中查找地址405030并把数据复制出来就可以做算号器了。
只是发现00401354这一行的比较有点多余,在00401347这一行,edi=用户名长度,而用户名长度不够在算号函数之外已经有这样的判错了,能进入算号函数用户名长度一定不会比3小!我将00401354,00401356两行改成NOP,暂时没有发现任何问题,这又是编译器没优化的原因吗?
========下面是算号器 C 实现=====
// win32_test_traceme.cpp : 定义控制台应用程序的入口点。
//
#include "stdafx.h"
#include "string.h"
char table[]={0x0C,0x0A,0x13,0x09,0x0C,0x0B,0x0A,0x08};
char buffer[100];
int _tmain(int argc, _TCHAR* argv[])
{
int i,j,len;
long cod=0,cod1=0,cod2=0;
printf("因偷懒无判错,所以请输入大于4个字符的用户名!:\n");
gets(buffer);
len=strlen(buffer);
for(i=3,j=0;i<len&&j<8;i++,j++)
{
cod1=(long)buffer[i];
cod2=(long)table[j];
cod1=cod1*cod2;
cod=cod+cod1;
}
printf("你需要的密码为:%ld\n",cod);
getchar();
return 0;
}
我用的是 中文OllyICE
(如有机会,求转个正。)
第一步,找CALL,即算号过程。
1.直接用OllyICE打开 trace.exe。根据书上的教程示例查找USER32.GetDlgItemTextA函数的“输入函数参考”,在反汇编窗口中跟随这个“参考”并下断点。
这里一直无法理解“输入函数参考”的中文含意,这个在英文原版中的含义是不是“输入函数的引用处”或者“涉及到了这个输入函数的地方”?或许是中文翻译的失误吧。
2.下完断,Ctrl+F2重新运行OD,接着F9执行traceme.exe,会出现验证对话框,随便填并确定,我们的断点会拦到它的(如图1)。(如果提示输入长度不够,请重试)。
图1:
图1中 004011A3这一行就是断到的地方,因为输入函数GetDlgItemTextA的地址被引用并交给了edi,再往下看,CALL了两次 edi,根据API手册,traceme.exe 把我们输入的用户名的密码读入了变量。为什么是存入esp+4C和esp+9C这两个地址呢?我猜是对话框对象被创建的时候系统就那么分配的。。不晓得猜测正确不
3.接下来,连续两个判断,是看输入的用户名是否符合格式。再接下来,哎呀~连接几个压栈这是要CALL啊,CALL完了00401340还有个 add esp,0C, 这是C调用的栈平衡嘛。栈平衡后面紧跟着就是test eax,eax ,这是判断函数返回值是否为零啊,如图2。
图2:
我们现在是乱输入的密码,返回值肯定不对,先不去管那个疑似算号函数的CALL,先跟下去,跟下去发现一连串的对话框相关API调用后。traceme弹了个窗,说我密码不对。。
4.我们重新开始调试,到0040113这一行暂停下,把下面的je short 440122E 改成 nop(双击汇编代码区填NOP),接下来继续F8下去,会弹出个恭喜框。这下我们可以确定00401340肯定就是算号函数了。只是不明白,为什么算号函数出来第一时间不平衡栈,而是把GetDlgItem的地址引用给edi?难道编译器就是这么无脑整的?
第二步,算号函数。
Ctrl+F2重新开始,F9重新执行,这次在CALL 00401340的时候跟进去。
如图3
由于OD对API函数有一定的注释,因此我们很容易发现00401379行之后是格式化一个字符串再与另一个字符串比较的操作。通过跟踪发现 0040138E这一行eax装的是我们输入的密码,那么格式化的ebp就应该是算号器算的喽~~
00401395、00401397两行中
neg eax
sbb eax,eax
结合下面的inc eax,是为了确定函数的返回值是0 or 1,
如果有朋友对这组指令的意义不了解,请参考http://www.cnblogs.com/awpatp/archive/2009/11/06/1597488.html,讲得非常详细。
具体的算号过程《加密与解密第三版 》注释的很详细,算法是简单的循环取用户名中的某一数+数据表中的某一数。
下面一行中,ecx被赋值为3,
0040134B | mov ecx, 3
00401359 ~ 00401376是个循环,在循环中ecx只有 inc加操作和cmp比较操作,结合下面的指令就明白了为什么用户名要大于4个字符:
00401364 |mov dl, byte ptr [ecx+ebp]
ebp是用户名首字符加上ecx,算号器只从第4个字符开始算。
经过算号器验证,用户名分别输入,12345,00045,11145,44445,他们的密码都是1154.
00401367这一行中 eax+405030是提取源数据表用于加法,在数据窗口中查找地址405030并把数据复制出来就可以做算号器了。
只是发现00401354这一行的比较有点多余,在00401347这一行,edi=用户名长度,而用户名长度不够在算号函数之外已经有这样的判错了,能进入算号函数用户名长度一定不会比3小!我将00401354,00401356两行改成NOP,暂时没有发现任何问题,这又是编译器没优化的原因吗?
========下面是算号器 C 实现=====
// win32_test_traceme.cpp : 定义控制台应用程序的入口点。
//
#include "stdafx.h"
#include "string.h"
char table[]={0x0C,0x0A,0x13,0x09,0x0C,0x0B,0x0A,0x08};
char buffer[100];
int _tmain(int argc, _TCHAR* argv[])
{
int i,j,len;
long cod=0,cod1=0,cod2=0;
printf("因偷懒无判错,所以请输入大于4个字符的用户名!:\n");
gets(buffer);
len=strlen(buffer);
for(i=3,j=0;i<len&&j<8;i++,j++)
{
cod1=(long)buffer[i];
cod2=(long)table[j];
cod1=cod1*cod2;
cod=cod+cod1;
}
printf("你需要的密码为:%ld\n",cod);
getchar();
return 0;
}
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
