-
-
[原创]IDA+OD双剑合璧=逆向无敌
-
发表于: 2015-12-12 22:25
-
我这一周学<软件逆向>是薛老师讲课, 大多挺深,我就列出一个典型的吧。
准备工具: ollydbg ida vs2012
---------------------------------
我们先把目标程序winasm_0.exe拖入peid
主界面
那我们去输入表看看
也好像没什么特别值得关注的。
、那好 简单测试下程序 看有什么状况发生
看 弹出对话框 那我们该想到什么?API断点!messagebox相关!
不急我们把它拖入OD 直接ctrl+A分析
入口点:
习惯性的我把它上下一翻、发现:
这不是我们要找的字符串吗?(
PS:
如果我没翻到 步骤应该会是:
)
我们截取关键代码分析:
那好 我们暂且就这样分析 在地址00401066 处F2断点 F9运行!
那此时肯定会弹出对话框 我们随便输入点什么 以”15PB“为例 再点击check!
会在刚刚所设断点处停下来:
F8单步走走试试?
首先肯定是获取我们输入的字符”15PB“而后 继续F8单步 会发现 下不去了 !!
左下角有提示 :”访问冲突 正在写入到[00401113]....去跳过异常程序“
首先 根据提示 我们就可以判断”内存访问异常“(这个没有标准 按逆向经验及知识面有各自的判断
)
好办 !暴力破解,这个个人最喜欢了 不费脑子!
左键选中
我们再点击”1.exe“,再次输入”15pb“ 点击check!
依然出错!
为什么?
我们再重复 拖入OD:
我们看红色选中框.这时估计就会有人提问了 上面不就有吗 为什么留在这儿说 故意充版面?
不不不! 一步一步来 我这篇逆向文章面向大部分人(普通人) 大牛们当然可以一眼定乾坤!
普通人可不一样 所以 我得一点一点来 叙述要通俗易懂 尽量营造出菜鸟思维
如果我直接这样~这样~这样~这样!再这样~那还写什么啊
废话不多说 我们分析代码:
关掉OD 我们用字符串”fubar“去试试 为什么? 你再想想看
OK ~ 成功!
看到这里估计就会有人说了 就这么点 也想混优秀精华?没什么好看的 哼~!
回帖嘲讽下楼主 再右上角 深藏功与名。
----------------------
楼主为了保住节操 亦为了不被嘲讽 遂再花点时间
那么我们再进入节奏 我们从上面分析得到了那些关键信息?
那么我们把它拖入IDA分析此函数如何?
选中函数”SetUnhandledExceptionFilter“回车-主窗口”空格“键
我们再左键点击红色框选中处
来到
依然 左键点击上图红色框选中处
来到真正的异常处理回调函数
我们左键单击此行
做如下操作:
按”c“键 将数据转换为代码
按”d“键 转换dword类型
可得到:
此时 我们看见完整的反汇编代码 可以开始真正的分析了 。
我们知道SetUnhandledExceptionFilter是设置异常处理函数 那么 我们自己制作一个demo如何? 那我们又要获得那些信息呢?
说干就干 (ctrl+F5运行)
来我们回到IDA反汇编代码:
分析完毕 那么此时根据所分析得到数据回到OD ctrl+G 地址”40107f“ :
得到
耶~! 我们分析得到极其有用的三条数据(惯例 红色高亮!)
为什么? 不说~!算是我留的作业吧 不太难 好好思考下
我们将它提取出来更好地去分析
来 我们把字符串”magic“输入试试
成功!
看到这里又会有熟悉IDA的人说了 这傻×(友善地) 不知道可以F5 以及结构体分析么?
我当然知道 你不觉得经过上面的曲曲折折的分析 自己又不知不觉的提高了么(此话面对菜鸟 也包括我自己 哈哈)
------------------------------
物尽其用 我们做如下操作:
shift+F9 或菜单栏:
再 按”INS“ -"ADD STANDARD STRUCTURE"-添加结构体 以”EXCEPTION_POINTERS“ 为例(其实也有用到)
再来到异常处理函数 选中指令”无脑“ 按”T“:
或直接 F5 得到代码 就不贴图了
完。
-------
标题有点霸气 勿喷哈哈~ 回宿舍睡觉 估计关门了 要敲门。。。。
----------------
程序: winasm_0.rar
准备工具: ollydbg ida vs2012
---------------------------------
我们先把目标程序winasm_0.exe拖入peid
主界面
那我们去输入表看看
也好像没什么特别值得关注的。
、那好 简单测试下程序 看有什么状况发生
看 弹出对话框 那我们该想到什么?API断点!messagebox相关!
不急我们把它拖入OD 直接ctrl+A分析
入口点:
习惯性的我把它上下一翻、发现:
这不是我们要找的字符串吗?(
PS:
如果我没翻到 步骤应该会是:
- 搜索字符串
- 下API断点
- 其它...
)
我们截取关键代码分析:
CPU Disasm 地址 十六进制数据 指令 Profile Comments 获取输入内容 00401066 |. E8 BF000000 CALL <JMP.&USER32.GetDlgItemTextA> ; \USER32.GetDlgItemTextA 0040106B A3 13114000 MOV DWORD PTR DS:[401113],EAX ; MOV DWORD PTR DS:[401113],EAX 比较eax 00401070 |. 83F8 05 CMP EAX,5 ; 00401073 |. 75 13 JNE SHORT 00401088 ; 比较 fubar? 00401075 |. BE 2A334000 MOV ESI,OFFSET 0040332A ; 0040107A |. BF 41304000 MOV EDI,OFFSET 00403041 ; ASCII "fubar" 0040107F |. B9 06000000 MOV ECX,6 ; 00401084 |. F3:A6 REPE CMPS BYTE PTR DS:[ESI],BYTE PTR ES: ; 看ZF标志以决定转移与否 00401086 |. 74 19 JE SHORT 004010A1 ; 00401088 |> 6A 00 PUSH 0 ; /Type = MB_OK|MB_DEFBUTTON1|MB_APPLMODAL 0040108A |. 68 1F334000 PUSH OFFSET 0040331F ; |Caption = " try again" 0040108F |. 68 0F334000 PUSH OFFSET 0040330F ; |Text = "no, not really." 00401094 |. 6A 00 PUSH 0 ; |hOwner = NULL 00401096 |. E8 95000000 CALL <JMP.&USER32.MessageBoxA> ; \USER32.MessageBoxA 0040109B |. 33C0 XOR EAX,EAX ; 0040109D |. C9 LEAVE ; 0040109E |. C2 1000 RETN 10 ;
那好 我们暂且就这样分析 在地址00401066 处F2断点 F9运行!
那此时肯定会弹出对话框 我们随便输入点什么 以”15PB“为例 再点击check!
会在刚刚所设断点处停下来:
F8单步走走试试?
首先肯定是获取我们输入的字符”15PB“而后 继续F8单步 会发现 下不去了 !!
左下角有提示 :”访问冲突 正在写入到[00401113]....去跳过异常程序“
首先 根据提示 我们就可以判断”内存访问异常“(这个没有标准 按逆向经验及知识面有各自的判断
)好办 !暴力破解,这个个人最喜欢了 不费脑子!
左键选中
CPU Disasm 地址 十六进制数据 指令 Profile Comments 0040106B A3 13114000 MOV DWORD PTR DS:[401113],EAX ; MOV DWORD PTR DS:[401113],EAX
- 左键单击选中-右键-编辑-填充为NOP(有些OD可以直接DEL)
- 左键单击选中-右键-复制所有修改到可执行文件-”忽视所有警告“
- 在所弹出窗口-右键-保存文件-确定-重名为”1“(保存在桌面)
我们再点击”1.exe“,再次输入”15pb“ 点击check!
依然出错!
为什么?
我们再重复 拖入OD:
我们看红色选中框.这时估计就会有人提问了 上面不就有吗 为什么留在这儿说 故意充版面?
不不不! 一步一步来 我这篇逆向文章面向大部分人(普通人) 大牛们当然可以一眼定乾坤!
普通人可不一样 所以 我得一点一点来 叙述要通俗易懂 尽量营造出菜鸟思维
如果我直接这样~这样~这样~这样!再这样~那还写什么啊
废话不多说 我们分析代码:
CPU Disasm 地址 十六进制数据 指令 Profile Comments eax与5相比较 00401070 83F8 05 CMP EAX,5 ; 判断ZF标志位 若zf=0 跳转至地址“00401088” 显然是错的 00401073 75 13 JNE SHORT 00401088 ; 00401075 BE 2A334000 MOV ESI,OFFSET 0040332A ; 0040107A BF 41304000 MOV EDI,OFFSET 00403041 ; ASCII "fubar" ecx 一般做循环比较次数 6? 等等 与上面那个5有什么关系? 字符串自带反斜杠0 如果去掉呢?就是长度5 ! 我们再往下分析 0040107F B9 06000000 MOV ECX,6 ; esi与字符串“fubar”相比较 00401084 F3:A6 REPE CMPS BYTE PTR DS:[ESI],BYTE PTR ES: ; JE ? 结果很显然了 00401086 74 19 JE SHORT 004010A1 ; 00401088 6A 00 PUSH 0 ; 0040108A 68 1F334000 PUSH OFFSET 0040331F ; ASCII " try again" 0040108F 68 0F334000 PUSH OFFSET 0040330F ; ASCII "no, not really." 00401094 6A 00 PUSH 0 ; 00401096 E8 95000000 CALL <JMP.&USER32.MessageBoxA> ; 跳转至 USER32.MessageBoxA
关掉OD 我们用字符串”fubar“去试试 为什么? 你再想想看
OK ~ 成功!
看到这里估计就会有人说了 就这么点 也想混优秀精华?没什么好看的 哼~!
回帖嘲讽下楼主 再右上角 深藏功与名。
----------------------
楼主为了保住节操 亦为了不被嘲讽 遂再花点时间
那么我们再进入节奏 我们从上面分析得到了那些关键信息?
- ”内存访问异常!在不可写处写数据“
- ”PEID导入表可疑函数:SetUnhandledExceptionFilter:设置异常处理函数“
那么我们把它拖入IDA分析此函数如何?
选中函数”SetUnhandledExceptionFilter“回车-主窗口”空格“键
我们再左键点击红色框选中处
来到
依然 左键点击上图红色框选中处
来到真正的异常处理回调函数
我们左键单击此行
.data:0040334A TopLevelExceptionFilter db ',0 ; DATA XREF: DialogFunc+E1o
做如下操作:
按”c“键 将数据转换为代码
按”d“键 转换dword类型
可得到:
此时 我们看见完整的反汇编代码 可以开始真正的分析了 。
我们知道SetUnhandledExceptionFilter是设置异常处理函数 那么 我们自己制作一个demo如何? 那我们又要获得那些信息呢?
- 获取异常中断值
- 获取esi 即 第一条指令
.data:0040334E push esi
说干就干 (ctrl+F5运行)
long __stdcall callback(_EXCEPTION_POINTERS* pexcp)
{
//异常
printf("%p\n",pexcp->ExceptionRecord->ExceptionCode);
printf("%p\n",pexcp->ContextRecord->Esi); //ESI辅助分析
getchar();
return EXCEPTION_EXECUTE_HANDLER;
}
int _tmain(int argc, _TCHAR* argv[])
{
SetUnhandledExceptionFilter(callback);
unsigned ueax,uebx,uecx,uedx,uebp;
__asm //使用__asm进行内联汇编
{
//使用mov指令将eax寄存器的内容保存到ueax变量
mov ueax, eax
mov uebx, ebx
mov uecx, ecx
mov uedx, edx
mov uebp,ebp
}
printf("eax=%x\tebx=%x\tecx=%x\tedx=%x\nuebp=%x\n", ueax, uebx, uecx, uedx,uebp);
//设置异常
int *f =0;
*f = 9;
system("pause");
return 0;
}
来我们回到IDA反汇编代码:
ta:0040334A enter 0, 0 .data:0040334E push esi ;将结构体压入堆栈 .data:0040334F mov esi, [ebp+arg_0] ; 取结构体EXCEPTION_POINTERS pexcp .data:00403352 lodsd ; 取pexcp->ExceptionRecord 此时esi+4 .data:00403353 mov eax, [eax] ; 将pexcp->ExceptionRecord->ExceptionCode内容给eax .data:00403353 ; 即EAX= C0000005 从demo得到 .data:00403355 and eax, 0DEADFFh ; EAX=5 .data:0040335A shl eax, 5 ; EAX=A0 .data:0040335D mov ebx, eax ; EBX=A0 .data:0040335F lea eax, [eax+402FAEh] ; 40304E 即 magic .data:00403365 mov esi, [esi] ; 取 pexcp->ContextRecord .data:00403367 mov [esi+9Ch], eax ; 取pexcp->ContextRecord+9c 即pexcp->ContextRecord->edi .data:0040336D add eax, 2DCh ; eax=2ac .data:00403372 mov [ebx+esi], eax ; pexcp->ContextRecord->esi=2ac .data:00403375 mov eax, 400FDFh ; eax=400fdf .data:0040337A add eax, ebx ; eax=40107f .data:0040337C mov [esi+0B8h], eax ; pexcp->ContextRecord->esi+b8 .data:0040337C ; 即 pexcp->ContextRecord->eip=40107f 即做完异常处理函数后跳转到地址40107f .data:00403382 xor eax, eax .data:00403384 dec eax .data:00403385 pop esi
分析完毕 那么此时根据所分析得到数据回到OD ctrl+G 地址”40107f“ :
得到
耶~! 我们分析得到极其有用的三条数据(惯例 红色高亮!)
CPU Disasm 地址 十六进制数据 指令 Profile Comments 00401073 /75 13 JNE SHORT 00401088 ; 00401075 |BE 2A334000 MOV ESI,OFFSET 0040332A ; 0040107A |BF 41304000 MOV EDI,OFFSET 00403041 ; ASCII "fubar" [B][COLOR="DarkRed"]0040107F |B9 06000000 MOV ECX,6 ; 00401084 |F3:A6 REPE CMPS BYTE PTR DS:[ESI],BYTE PTR ES: ; 00401086 |74 19 JE SHORT 004010A1 ;[/COLOR][/B] 00401088 \6A 00 PUSH 0 ; 0040108A 68 1F334000 PUSH OFFSET 0040331F ; ASCII " try again" 0040108F 68 0F334000 PUSH OFFSET 0040330F ; ASCII "no, not really." 00401094 6A 00 PUSH 0 ; 00401096 E8 95000000 CALL <JMP.&USER32.MessageBoxA> ; 跳转至 USER32.MessageBoxA 0040109B 33C0 XOR EAX,EAX ; 0040109D C9 LEAVE ; 0040109E C2 1000 RETN 10 ; 004010A1 68 B90B0000 PUSH 0BB9 ; 004010A6 FF75 08 PUSH DWORD PTR SS:[EBP+8] ; 004010A9 E8 76000000 CALL <JMP.&USER32.GetDlgItem> ; 跳转至 USER32.GetDlgItem
为什么? 不说~!算是我留的作业吧 不太难
好好思考下我们将它提取出来更好地去分析
CPU Disasm 地址 十六进制数据 指令 Profile Comments 循环比较5次 (忽视反斜杠0) 0040107F B9 06000000 MOV ECX,6 ; 与字符串magic相比较 我们刚刚不是分析出来了么? 00401084 F3:A6 REPE CMPS BYTE PTR DS:[ESI],BYTE PTR ES: ; 跳转至地址“004010A1” 00401086 74 19 JE SHORT 004010A1 ;
来 我们把字符串”magic“输入试试
成功!
看到这里又会有熟悉IDA的人说了 这傻×(友善地
) 不知道可以F5 以及结构体分析么? 我当然知道
你不觉得经过上面的曲曲折折的分析 自己又不知不觉的提高了么(此话面对菜鸟 也包括我自己 哈哈)------------------------------
物尽其用 我们做如下操作:
shift+F9 或菜单栏:
再 按”INS“ -"ADD STANDARD STRUCTURE"-添加结构体 以”EXCEPTION_POINTERS“ 为例(其实也有用到)
再来到异常处理函数 选中指令”无脑“ 按”T“:
或直接 F5 得到代码 就不贴图了
完。
-------
标题有点霸气 勿喷哈哈~
回宿舍睡觉 估计关门了 要敲门。。。。----------------
程序: winasm_0.rar
|
|
|---|---|
|
|
|
|
|
|
|
|
好走了 这回真走了
明天再看有无BUG...
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
感谢~我会努力的
|
|
|
|
|
|
|
|
|
书籍:《IDA Pro权威指南》,看雪应该有相关的初级教程 你搜搜
没有的话 我有时间来填补这块空白。 多百度下
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
逆向 OD爆破 ida分析算法 也是新手吗?
|
|
|
|
