求教各位老师!关于OD 调试软件-软件逆向-看雪论坛-安全社区|非营利性质技术交流社区

求教各位老师!关于OD 调试软件

发表于: 2005-12-3 00:33 3868

求教各位老师!关于OD 调试软件

fxbzn

2005-12-3 00:33

3868

发了一些提问的帖子可能大家都觉得比较简单我是新手正在努力学习
希望各位老师给个提示
此为一段程序的OD 代码
前提是我用UE 把把程序内的部分16进制数改了

在OD 载入后没有分析(CTRL+A)前代码如下

00433216    8945 FC                mov dword ptr ss:[ebp-4],eax
00433219    837D FC 03             cmp dword ptr ss:[ebp-4],3
0043321D    74 05                je short ts.00433224
0043321F ^ E9 FFFEFFFF          jmp ts.00433123
00433224    8B8D B0FEFFFF          mov ecx,dword ptr ss:[ebp-150]
0043322A    6BC9 12                imul ecx,ecx,12
0043322D    8B95 ACFEFFFF          mov edx,dword ptr ss:[ebp-154]
00433233    89148D 1193E904       mov dword ptr ds:[ecx*4+4E99311],edx
0043323A    8D85 90FEFFFF          lea eax,dword ptr ss:[ebp-170]
00433240    50                   push eax
00433241    8B8D B0FEFFFF          mov ecx,dword ptr ss:[ebp-150]
00433247    6BC9 48                imul ecx,ecx,48
0043324A    81C1 1893E904          add ecx,4E99318
00433250    51                   push ecx
00433251    E8 EA3A0200          call ts.00456D40
00433256    83C4 08                add esp,8
00433259    8B95 B0FEFFFF          mov edx,dword ptr ss:[ebp-150]
0043325F    6BD2 12                imul edx,edx,12
00433262    C60495 1093E904 01    mov byte ptr ds:[edx*4+4E99310],1
0043326A    90                   nop
0043326B    90                   nop
0043326C    90                   nop
0043326D    EB 7B                jmp short ts.004332EA
0043326F    8D45 D4                lea eax,dword ptr ss:[ebp-2C]
00433272    50                   push eax
00433273    8B8D B0FEFFFF          mov ecx,dword ptr ss:[ebp-150]
00433279    69C9 00010000          imul ecx,ecx,100
0043327F    8B55 CC                mov edx,dword ptr ss:[ebp-34]
00433282    C1E2 08                shl edx,8
00433285    8D8411 885C5D04       lea eax,dword ptr ds:[ecx+edx+45D5C88]
0043328C    50                   push eax
0043328D    E8 AE3A0200          call ts.00456D40
00433292    83C4 08                add esp,8
00433295    8D8D B4FEFFFF          lea ecx,dword ptr ss:[ebp-14C]
0043329B    51                   push ecx
0043329C    8B95 B0FEFFFF          mov edx,dword ptr ss:[ebp-150]
004332A2    69D2 00010000          imul edx,edx,100
004332A8    8B45 CC                mov eax,dword ptr ss:[ebp-34]
004332AB    69C0 00010000          imul eax,eax,100
004332B1    8D8C02 C85B5D04       lea ecx,dword ptr ds:[edx+eax+45D5BC8]
004332B8    51                   push ecx
004332B9    E8 823A0200          call ts.00456D40
004332BE    83C4 08                add esp,8
004332C1    8D55 F0                lea edx,dword ptr ss:[ebp-10]
004332C4    52                   push edx
004332C5    8B85 B0FEFFFF          mov eax,dword ptr ss:[ebp-150]
004332CB    69C0 00010000          imul eax,eax,100
004332D1    8B4D CC                mov ecx,dword ptr ss:[ebp-34]
004332D4    69C9 00010000          imul ecx,ecx,100
004332DA    8D9408 485C5D04       lea edx,dword ptr ds:[eax+ecx+45D5C48]
004332E1    52                   push edx
004332E2    E8 593A0200          call ts.00456D40
004332E7    83C4 08                add esp,8
004332EA ^ E9 34FEFFFF          jmp ts.00433123
004332EF    8B85 B0FEFFFF          mov eax,dword ptr ss:[ebp-150]
004332F5    83C0 01                add eax,1
004332F8    A3 DC285404          mov dword ptr ds:[45428DC],eax
004332FD    90                   nop
004332FE    90                   nop
004332FF    90                   nop
00433300    8B55 D0                mov edx,dword ptr ss:[ebp-30]
00433303    52                   push edx
00433304    E8 2CC20100          call ts.0044F535
00433309    83C4 04                add esp,4

用OD 的右键(CTRL+A) 分析代码后  代码如下
00433216 .  8945 FC             mov dword ptr ss:[ebp-4],eax
00433219 .  837D FC 03          cmp dword ptr ss:[ebp-4],3
0043321D .  74 05                je short ts.00433224
0043321F .^ E9 FFFEFFFF          jmp ts.00433123
00433224 >  8B8D B0FEFFFF       mov ecx,dword ptr ss:[ebp-150]
0043322A .  6BC9 12             imul ecx,ecx,12
0043322D .  8B95 ACFEFFFF       mov edx,dword ptr ss:[ebp-154]
00433233    89                   db 89
00433234    14                   db 14
00433235    8D                   db 8D
00433236    11                   db 11
00433237    93                   db 93
00433238    E9                   db E9
00433239    04                   db 04
0043323A    8D                   db 8D
0043323B    85                   db 85
0043323C    90                   nop
0043323D    FE                   db FE
0043323E    FF                   db FF
0043323F    FF                   db FF
00433240    50                   db 50                                     ;  CHAR 'P'
00433241    8B                   db 8B
00433242    8D                   db 8D
00433243    B0                   db B0
00433244    FE                   db FE
00433245    FF                   db FF
00433246    FF                   db FF
00433247    6B                   db 6B                                     ;  CHAR 'k'
00433248    C9                   db C9
00433249    48                   db 48                                     ;  CHAR 'H'
0043324A    81                   db 81
0043324B    C1                   db C1
0043324C    18                   db 18
0043324D    93                   db 93
0043324E    E9                   db E9
0043324F    04                   db 04
00433250    51                   db 51                                     ;  CHAR 'Q'
00433251    E8                   db E8
00433252    EA                   db EA
00433253    3A                   db 3A                                     ;  CHAR ':'
00433254    02                   db 02
00433255    00                   db 00
00433256    83                   db 83
00433257    C4                   db C4
00433258 .  088B 95B0FEFF       or byte ptr ds:[ebx+FFFEB095],cl
0043325E .  FF6B D2             jmp far fword ptr ds:[ebx-2E]
00433261    12                   db 12
00433262    C6                   db C6
00433263    04                   db 04
00433264    95                   db 95
00433265    10                   db 10
00433266    93E90401             dd ts.0104E993
0043326A    90                   nop
0043326B    90                   nop
0043326C    90                   nop
0043326D .  EB 7B                jmp short ts.004332EA
0043326F >  8D45 D4             lea eax,dword ptr ss:[ebp-2C]
00433272 .  50                   push eax
00433273 .  8B8D B0FEFFFF       mov ecx,dword ptr ss:[ebp-150]
00433279 .  69C9 00010000       imul ecx,ecx,100
0043327F .  8B55 CC             mov edx,dword ptr ss:[ebp-34]
00433282 .  C1E2 08             shl edx,8
00433285 .  8D8411 885C5D04    lea eax,dword ptr ds:[ecx+edx+45D5C88]
0043328C .  50                   push eax
0043328D .  E8 AE3A0200          call ts.00456D40
00433292 .  83C4 08             add esp,8
00433295 .  8D8D B4FEFFFF       lea ecx,dword ptr ss:[ebp-14C]
0043329B .  51                   push ecx
0043329C .  8B95 B0FEFFFF       mov edx,dword ptr ss:[ebp-150]
004332A2 .  69D2 00010000       imul edx,edx,100
004332A8 .  8B45 CC             mov eax,dword ptr ss:[ebp-34]
004332AB .  69C0 00010000       imul eax,eax,100
004332B1 .  8D8C02 C85B5D04    lea ecx,dword ptr ds:[edx+eax+45D5BC8]
004332B8 .  51                   push ecx
004332B9 .  E8 823A0200          call ts.00456D40
004332BE .  83C4 08             add esp,8
004332C1 .  8D55 F0             lea edx,dword ptr ss:[ebp-10]
004332C4 .  52                   push edx
004332C5 .  8B85 B0FEFFFF       mov eax,dword ptr ss:[ebp-150]
004332CB .  69C0 00010000       imul eax,eax,100
004332D1 .  8B4D CC             mov ecx,dword ptr ss:[ebp-34]
004332D4 .  69C9 00010000       imul ecx,ecx,100
004332DA .  8D9408 485C5D04    lea edx,dword ptr ds:[eax+ecx+45D5C48]
004332E1 .  52                   push edx
004332E2 .  E8 593A0200          call ts.00456D40
004332E7 .  83C4 08             add esp,8
004332EA >^ E9 34FEFFFF          jmp ts.00433123
004332EF >  8B85 B0FEFFFF       mov eax,dword ptr ss:[ebp-150]
004332F5 .  83C0 01             add eax,1
004332F8    A3                   db A3
004332F9 .  DC28                fsubr qword ptr ds:[eax]
004332FB .  54                   push esp
004332FC .  04 90                add al,90
004332FE .  90                   nop
004332FF .  90                   nop
00433300 .  8B55 D0             mov edx,dword ptr ss:[ebp-30]
00433303 .  52                   push edx
00433304 .  E8 2CC20100          call ts.0044F535
00433309 .  83C4 04             add esp,4

请教各位老师
为什么那么一大段在分析后会变化我分析是
00433233    89148D 1193E904       mov dword ptr ds:[ecx*4+4E99311],edx
这段的 4E99311 这个地址给的不对但不知道这个地址要怎么计算出来

付正常的这段代码也就是OD 分析(CTRL+A)前分析(CTRL+A)后一致的代码
0045A6F6 .  8945 FC             mov dword ptr ss:[ebp-4],eax
0045A6F9 .  837D FC 03          cmp dword ptr ss:[ebp-4],3
0045A6FD .  74 05                je short ts1.0045A704
0045A6FF .^ E9 FFFEFFFF          jmp ts1.0045A603
0045A704 >  8B8D B0FEFFFF       mov ecx,dword ptr ss:[ebp-150]
0045A70A .  6BC9 12             imul ecx,ecx,12
0045A70D .  8B95 ACFEFFFF       mov edx,dword ptr ss:[ebp-154]
0045A713 .  89148D 1193E904    mov dword ptr ds:[ecx*4+4E99311],edx
0045A71A .  8D85 90FEFFFF       lea eax,dword ptr ss:[ebp-170]
0045A720 .  50                   push eax
0045A721 .  8B8D B0FEFFFF       mov ecx,dword ptr ss:[ebp-150]
0045A727 .  6BC9 48             imul ecx,ecx,48
0045A72A .  81C1 1893E904       add ecx,ts1.04E99318
0045A730 .  51                   push ecx
0045A731 .  E8 3A8F0300          call ts1.00493670
0045A736 .  83C4 08             add esp,8
0045A739 .  8B95 B0FEFFFF       mov edx,dword ptr ss:[ebp-150]
0045A73F .  6BD2 12             imul edx,edx,12
0045A742 .  C60495 1093E904 01 mov byte ptr ds:[edx*4+4E99310],1
0045A74A .  90                   nop
0045A74B .  90                   nop
0045A74C .  90                   nop
0045A74D .  EB 7B                jmp short ts1.0045A7CA
0045A74F >  8D45 D4             lea eax,dword ptr ss:[ebp-2C]
0045A752 .  50                   push eax
0045A753 .  8B8D B0FEFFFF       mov ecx,dword ptr ss:[ebp-150]
0045A759 .  69C9 00010000       imul ecx,ecx,100
0045A75F .  8B55 CC             mov edx,dword ptr ss:[ebp-34]
0045A762 .  C1E2 08             shl edx,8
0045A765 .  8D8411 885C5D04    lea eax,dword ptr ds:[ecx+edx+45D5C88]
0045A76C .  50                   push eax
0045A76D .  E8 FE8E0300          call ts1.00493670
0045A772 .  83C4 08             add esp,8
0045A775 .  8D8D B4FEFFFF       lea ecx,dword ptr ss:[ebp-14C]
0045A77B .  51                   push ecx
0045A77C .  8B95 B0FEFFFF       mov edx,dword ptr ss:[ebp-150]
0045A782 .  69D2 00010000       imul edx,edx,100
0045A788 .  8B45 CC             mov eax,dword ptr ss:[ebp-34]
0045A78B .  69C0 00010000       imul eax,eax,100
0045A791 .  8D8C02 C85B5D04    lea ecx,dword ptr ds:[edx+eax+45D5BC8]
0045A798 .  51                   push ecx
0045A799 .  E8 D28E0300          call ts1.00493670
0045A79E .  83C4 08             add esp,8
0045A7A1 .  8D55 F0             lea edx,dword ptr ss:[ebp-10]
0045A7A4 .  52                   push edx
0045A7A5 .  8B85 B0FEFFFF       mov eax,dword ptr ss:[ebp-150]
0045A7AB .  69C0 00010000       imul eax,eax,100
0045A7B1 .  8B4D CC             mov ecx,dword ptr ss:[ebp-34]
0045A7B4 .  69C9 00010000       imul ecx,ecx,100
0045A7BA .  8D9408 485C5D04    lea edx,dword ptr ds:[eax+ecx+45D5C48]
0045A7C1 .  52                   push edx
0045A7C2 .  E8 A98E0300          call ts1.00493670
0045A7C7 .  83C4 08             add esp,8
0045A7CA >^ E9 34FEFFFF          jmp ts1.0045A603
0045A7CF >  8B85 B0FEFFFF       mov eax,dword ptr ss:[ebp-150]
0045A7D5 .  83C0 01             add eax,1
0045A7D8 .  A3 DC285404          mov dword ptr ds:[45428DC],eax
0045A7DD .  90                   nop
0045A7DE .  90                   nop
0045A7DF .  90                   nop
0045A7E0 .  8B55 D0             mov edx,dword ptr ss:[ebp-30]
0045A7E3 .  52                   push edx
0045A7E4 .  E8 2B130300          call ts1.0048BB14
0045A7E9 .  83C4 04             add esp,4

希望大家能给些提示谢谢大家了

[培训]科锐软件逆向54期预科班、正式班开始火爆招生报名啦！！！

收藏・0

免费・0

支持

最新回复 (4)
fxbzn 雪币： 62 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	fxbzn 2 楼帮帮我吧 2005-12-3 13:27 0
gzgzlxg 雪币： 238 活跃值： (326) 能力值： ( LV12，RANK：450 ) 在线值：发帖 12 回帖 346 粉丝 8 关注私信	gzgzlxg 11 3 楼 OD的分析虽然写的相当不错，但它分析的对象都是以最多使用的几大软件为模板而进行的，你不信自己写的一些汇编程序，哪怕是很简单的，让OD去分析，就和你上面看道的一样。因为OD没有你的模板。看来你水平还是可以的，能用UE去修改可执行文件，但你的修改不入OD的模板，就成了上面这个样。我经常写汇编程序，所以对此多见了，这时是不能使用分析的，而应该让编译器生成 MAP 文件，再加上OD对OBJ的扫描，效果比分析差不到那里去，对于不是自己写的程序，用IDA分析，分析完成后，让IDA生成MAP文件，再让OD调入，这时虽然没有OBJ文件，但IDA可以生成非常详细的MAP文件，而这样的MAP文件是LINK程序所不能生成的，所以也和分析了OBJ文件的结构差不多。如果不用IDA分析，那就只能这样将就看了。 2005-12-4 13:48 0
fxbzn 雪币： 62 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	fxbzn 4 楼谢谢楼上的帮助因为自己不会写程序只能对照着修改进步很慢希望以后能得到大家的指教 2005-12-5 15:39 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 5 楼顶，OD也不是万能的，人脑是最历害的 2005-12-5 19:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

fxbzn

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (4)
fxbzn 雪币： 62 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	fxbzn 2 楼帮帮我吧 2005-12-3 13:27 0
gzgzlxg 雪币： 238 活跃值： (326) 能力值： ( LV12，RANK：450 ) 在线值：发帖 12 回帖 346 粉丝 8 关注私信	gzgzlxg 11 3 楼 OD的分析虽然写的相当不错，但它分析的对象都是以最多使用的几大软件为模板而进行的，你不信自己写的一些汇编程序，哪怕是很简单的，让OD去分析，就和你上面看道的一样。因为OD没有你的模板。看来你水平还是可以的，能用UE去修改可执行文件，但你的修改不入OD的模板，就成了上面这个样。我经常写汇编程序，所以对此多见了，这时是不能使用分析的，而应该让编译器生成 MAP 文件，再加上OD对OBJ的扫描，效果比分析差不到那里去，对于不是自己写的程序，用IDA分析，分析完成后，让IDA生成MAP文件，再让OD调入，这时虽然没有OBJ文件，但IDA可以生成非常详细的MAP文件，而这样的MAP文件是LINK程序所不能生成的，所以也和分析了OBJ文件的结构差不多。如果不用IDA分析，那就只能这样将就看了。 2005-12-4 13:48 0
fxbzn 雪币： 62 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 26 粉丝 0 关注私信	fxbzn 4 楼谢谢楼上的帮助因为自己不会写程序只能对照着修改进步很慢希望以后能得到大家的指教 2005-12-5 15:39 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 5 楼顶，OD也不是万能的，人脑是最历害的 2005-12-5 19:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

求教 各位老师!关于OD 调试软件

求教各位老师!关于OD 调试软件