汇编学习心得连载[更新中。。]
标 题: 【分享】汇编学习心得
作 者: popeylj
时 间: 2007-07-16
链 接: http://www.kanxue.com/showthread.php?t=48733
首先,感谢看雪斑竹的意见,就是不管写的好不好,全当自己的一个学习过程的见证。
有什么错误的话还请大家提出
ok
正题:
现在说一下汇编调试中的重量级武器:ollydbg和softice(DriverStdio现在),这在汇编的动态调试中是很重要的,至于
静态汇编,大家可以自己下载,因为在汇编中静态汇编用的是很少的。
首先,是我们的ollydbg,它的大名及来历可以查阅相关的资料,个人认为ollydbg在功能上是非常强大的。ollydbg
的教程网上有挺多的而且写得很好,大家可以自己下载,我只是写一下自己在这个方面学习中的一个过程。。
这里哪一个crackme作为我们熟悉ollydbg的程序。(附件中)
好的,我们首先尝试一下这个程序的验证形式。就是一个serial,我们输入注册码后点击Check It 没有反应?!再输入
字母看一下,无法输入?看来是只能输入数字,并且输入错误没有反应,正确能不能有反应,也就未知了。好了信息够
了,我们用ollydbg载入crackme
方法(1),函数参考法
按F9直接让程序运行,在程序的serrial栏中填入注册码12345678,先不要点check it,我们就在 API 函数上
下断点,来让被调试程序中断在我们希望的地方。我们在 OllyDBG 的反汇编窗口中右击鼠标,在弹出菜单中选择 查找
->当前模块中的名称 (标签),或者我们通过按 CTR+N 组合键也可以达到同样的效果,在ollydbg的函数名称的对话框
中查找GetWindowTextA函数,(说明:对于这样的编辑框中输注册码的程序我们要设断点首选的 API 函数就是
GetDlgItemText 及 GetWindowText。每个函数都有两个版本,一个是 ASCII 版,在函数后添加一个 A 表示,如
GetDlgItemTextA,另一个是 UNICODE 版,在函数后添加一个 W 表示。如 GetDlgItemTextW。对于编译为
UNCODE 版的程序可能在 Win98 下不能运行,一般我们打开的程序看到的调用都是 ASCII 类型的函数,以“A”结尾
。)现在回到调试的程序上来,我们现在就是要找一下我们调试的程序有没有调用 GetDlgItemTextA 或
GetWindowTextA 函数。还好,找到一个 GetWindowTextA。在这个函数上右击,在弹出菜单上选择“在每个参考上
设置断点”,我们会在 OllyDBG 窗口最下面的那个状态栏里看到“已设置 2 个断点”。另一种方法就是那个
GetWindowTextA 函数上右击,在弹出菜单上选择“查找输入函数参考”(或者按回车键),将会出现下面的对话框:
参考位于 CrackHea:.text 到 USER32.GetWindowTextA, 条目 0
地址=00401323
反汇编=call <jmp.&USER32.GetWindowTextA>
参考位于 CrackHea:.text 到 USER32.GetWindowTextA, 条目 1
地址=00401474
反汇编=jmp [<&USER32.GetWindowTextA>]
注释=USER32.GetWindowTextA
其实,只要设置第一个断点就可以了,双击这行,我们就来来到程序中这个断点的地方。地址为401323,
00401323 |. E8 4C010000 call <jmp.&USER32.GetWindowTextA> ; \GetWindowTextA
00401328 |. E8 A5000000 call 004013D2 ;关键验证过程
0040132D |. 3BC6 cmp eax, esi ;比较
0040132F |. 75 42 jnz short 00401373 ;不等就跳
00401331 |. EB 2C jmp short 0040135F
00401333 |. 4E 6F 77 20 7>ascii "Now write a keyg"
00401343 |. 65 6E 20 61 6>ascii "en and tut and y"
00401353 |. 6F 75 27 72 6>ascii "ou're done.",0
0040135F |> 6A 00 push 0 ; /Style = MB_OK|MB_APPLMODAL
00401361 |. 68 0F304000 push 0040300F ; |Title = "Crudd's Crack Head"
00401366 |. 68 33134000 push 00401333 ; |Text = "Now write a keygen and tut and you're
done."
0040136B |. FF75 08 push dword ptr [ebp+8] ; |hOwner
0040136E |. E8 19010000 call <jmp.&USER32.MessageBoxA> ; \MessageBoxA
从上面的代码我们可以看出关键的地方就是00401328这个地方,而且我们看到,注册成功会有一个名称为“Crudd's
Crack Head ”的对话框,内容为:Now writ e a keygen and tut and you're done.所以,我们就要看一下细细看一下验
证的过程是什么。我们现在按check it ,程序被中断在401323我们设置的这个端点上。我们按F8跟踪,
004013D2 /$ 56 PUSH ESI ; ESI入栈
004013D3 |. 33C0 XOR EAX,EAX ; EAX清零
004013D5 |. 8D35 C4334000 LEA ESI,DWORD PTR DS:[4033C4] ; 把注册码框中的数值送到ESI
004013DB |. 33C9 XOR ECX,ECX ; ECX清零
004013DD |. 33D2 XOR EDX,EDX ; EDX清零
004013DF |. 8A06 MOV AL,BYTE PTR DS:[ESI] ; 把注册码中的每个字符送到AL
004013E1 |. 46 INC ESI ; 指针加1,指向下一个字符
004013E2 |. 3C 2D CMP AL,2D ; 把取得的字符与16进制值为2D的字符(即“-”)比较,
这里主要用于判断输入的是不是负数
004013E4 |. 75 08 JNZ SHORT CrackHea.004013EE ; 不等则跳
004013E6 |. BA FFFFFFFF MOV EDX,-1 ; 如果输入的是负数,则把-1送到EDX,即16进
制FFFFFFFF
004013EB |. 8A06 MOV AL,BYTE PTR DS:[ESI] ; 取“-”号后的第一个字符
004013ED |. 46 INC ESI ; 指针加1,指向再下一个字符
004013EE |> EB 0B JMP SHORT CrackHea.004013FB
004013F0 |> 2C 30 SUB AL,30 ; 每位字符减16进制的30,因为这里都是数字,如1的
ASCII码是“31H”,减30H后为1,即我们平时看到的数值
004013F2 |. 8D0C89 LEA ECX,DWORD PTR DS:[ECX+ECX*4] ; 把前面运算后保存在ECX中的结
果乘5再送到ECX
004013F5 |. 8D0C48 LEA ECX,DWORD PTR DS:[EAX+ECX*2] ; 每位字符运算后的值与2倍上一位
字符运算后值相加后送ECX
004013F8 |. 8A06 MOV AL,BYTE PTR DS:[ESI] ; 取下一个字符
004013FA |. 46 INC ESI ; 指针加1,指向再下一个字符
004013FB |> 0AC0 OR AL,AL
004013FD |.^ 75 F1 JNZ SHORT CrackHea.004013F0 ; 上面一条和这一条指令主要是用来判断
是否已把用户输入的注册码计算完
004013FF |. 8D040A LEA EAX,DWORD PTR DS:[EDX+ECX] ; 把EDX中的值与经过上面运算后的
ECX中值相加送到EAX
00401402 |. 33C2 XOR EAX,EDX ; 把EAX与EDX异或。如果我们输入的是负数,则此
处功能就是把EAX中的值取反
00401404 |. 5E POP ESI ; ESI出栈。看到这条和下一条指令,我们要考虑一下这个
ESI的值是哪里运算得出的呢?
00401405 |. 81F6 53757A79 XOR ESI,797A7553 ; 把ESI中的值与797A7553H异或
0040140B \. C3 RETN
在0040140B处RETN 跳出这个call我们来到
0040132D |. 3BC6 cmp eax, esi ;比较
0040132F |. 75 42 jnz short 00401373 ;不等就跳
00401331 |. EB 2C jmp short 0040135F
00401333 |. 4E 6F 77 20 7>ascii "Now write a keyg"
00401343 |. 65 6E 20 61 6>ascii "en and tut and y"
00401353 |. 6F 75 27 72 6>ascii "ou're done.",0
0040135F |> 6A 00 push 0 ; /Style = MB_OK|MB_APPLMODAL
00401361 |. 68 0F304000 push 0040300F ; |Title = "Crudd's Crack Head"
00401366 |. 68 33134000 push 00401333 ; |Text = "Now write a keygen and tut and you're
done."
0040136B |. FF75 08 push dword ptr [ebp+8] ; |hOwner
0040136E |. E8 19010000 call <jmp.&USER32.MessageBoxA> ; \MessageBoxA
我们知道eax就是我们输入的验证码经过计算后出来的结果。
我们看光标停的地方,看信息查看窗口中
ESI=E6B5F2F9
EAX=FF439EBE
左键选择信息窗口中的 ESI=E6B5F2F9,再按右键,在弹出菜单上选“修改寄存器”,我们会看到:
eax是我们输入的原始数据
esi是我们的经了
其实我们现在将esi中有符号或没有符号的一个输入到验证窗口已经都可以通过验证了。
但是,要编写注册机这些是远远不够的,我们要研究清楚它的esi的变换过程,我们再讲。
[课程]Android-CTF解题方法汇总!
