OllyDbg 使用笔记 (九)

最新推荐文章于 2020-08-03 09:35:20 发布
最新推荐文章于 2020-08-03 09:35:20 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: 加密与解密 文章标签: OllyDbg 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/billvsme/article/details/38842543
版权

OllyDbg 使用笔记 (九)


参考

书:《加密与解密》

视频:小甲鱼 解密系列 视频


示例程序下载地址:http://pan.baidu.com/s/1bnmzqov

PDiD下载地址:http://tools.pediy.com/unpack/File_analysers/peid/peid.rar (win7下运行要删除plugins\xInfo.dll,否则会出现 以停止工作)


这个程序安装好会会要求注册,它的密钥是按照你电脑的MAC等唯一的标识来计算的。

我们可以用PEiD来查看这个程序的类型,可以发现这个程序使用VB写的。


图片1




VB程序破解


所有VB程序几乎都依赖于MSVBVM60.dll这个动态链接库。所以程序频繁的在用户领空跟dll领空中跳来跳去。

但是正是因为这样,VB破解可以走捷径。可以直接等对 用来比较API函数 下断点来调试破解。



关键的 用来比较的API函数:


变量比较:

__vbaVarTstEq
__vbaVarCompEq
__vbaVarCompLe
__vbaVarCompLt
__vbaVarCompGe
__vbaVarCompGt
__vbaVarCompNe

       字符串比较:
__vbaStrCmp
__vbaStrComp
__vbaStrCompVar
__vbaStrLike
__vbaStrTextComp
__vbaStrTextLike



现在安装好程序后,加载程序。


按 ctrl+N  查看输入输入出表

图片2



直接输入vbavartsteq (直接在这个窗口上输入,窗口标题栏可以显示已输入的内容),


可以看到__vbaVarTstEq,选中它,右键-->在每个参考上设置断点。可以发现设置了88个断点

图片3



回到cpu面板,先按F9,运行到断点处,在按F8单步调试。


运行到此处,可以发现005BBFD9  一串很想注册码的字符串。


005BBFB6   .^\E9 A9FEFFFF   jmp     005BBE64
005BBFBB   >  BA 1C804300   mov     edx, 0043801C                    ;  UNICODE "PC 2 Answering Machine 2.0 - Professional Edition"
005BBFC0   .  B9 B4805D00   mov     ecx, 005D80B4                    ;  ASCII "Dd0"
005BBFC5   .  8B3D 90124000 mov     edi, dword ptr [<&MSVBVM60.__vba>;  MSVBVM60.__vbaStrCopy
005BBFCB   .  FFD7          call    edi                              ;  <&MSVBVM60.__vbaStrCopy>
005BBFCD   .  BA 84804300   mov     edx, 00438084                    ;  UNICODE "2.0.8.2"
005BBFD2   .  B9 14845D00   mov     ecx, 005D8414                    ;  ASCII "靌0"
005BBFD7   .  FFD7          call    edi
005BBFD9   .  BA 98804300   mov     edx, 00438098                    ;  UNICODE "oeiu-564-oqei-97"
005BBFDE   .  B9 18845D00   mov     ecx, 005D8418
005BBFE3   .  FFD7          call    edi                              ;  MSVBVM60.__vbaStrCopy
005BBFE5   .  C705 20845D00>mov     dword ptr [5D8420], 1E
005BBFEF   .  3935 A8995D00 cmp     dword ptr [5D99A8], esi
005BBFF5   .  75 10         jnz     short 005BC007
005BBFF7   .  68 A8995D00   push    005D99A8
005BBFFC   .  68 58E54200   push    0042E558
005BC001   .  FF15 7C124000 call    dword ptr [<&MSVBVM60.__vbaNew2>>;  MSVBVM60.__vbaNew2
005BC007   >  8B3D A8995D00 mov     edi, dword ptr [5D99A8]
005BC00D   .  8B07          mov     eax, dword ptr [edi]
005BC00F   .  8D4D 98       lea     ecx, dword ptr [ebp-68]



运行程序,直接输入这个字符串,尝试正常,可以发现注册成功。








billvsme
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OllyDbg使用学习 笔记
Fly Follow the Heart
12-31 4729
1. 运行命令:         F7 -- 单步执行,遇到Call跟进         F8 -- 单步执行,遇到Call跳过,不进入         F9 -- 运行起来,相当于Visual Studio的F5         Ctrl+F9 -- 运行到本函数结束(Ret指令后)         Alt+F9 -- 跳出系统调用,回到应用程序中         
二进制逆向工程师_逆向工程工具集
weixin_39907596的博客
01-08 1548
helloHex Editor (16进制编辑器) Reverse Engineer's Hex Editor wxMEdit wxHexEditor HxD Hexinator PilotEdit GHex Hex Workshop MadEdit 010 Editor Hex Editor Neo WinHex UltraEdit Free Hex Editor逆向工程平台 Binary Ni...
die查壳工具 使用教程
fengtum的博客
08-03 1万+
这是一款开源软件,有兴趣的同学可以根据源代码自己DIY属于自己的查壳神器》》》https://github.com/horsicq/Detect-It-Easy “DIE”是一个跨平台的应用程序,除Windows版本外,还有适用于Linux和Mac OS的可用版本。 许多此类程序(PEID,PE工具)允许使用第三方签名。不幸的是,这些签名只能通过预设掩码扫描字节,并且无法指定其他参数。结果,经常发生错误的触发。程序本身通常严格设置更复杂的算法。因此,要添加新的复杂检测,需要重新编译整个项目。除作者自己外,没
OllyDbg 使用笔记 (一)
aoe41606的博客
05-02 179
OllyDbg 使用笔记 (一) 參考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 ollydbg下载地址:http://tools.pediy.com/debuggers.htm hello.exe下载地址:http://pan.baidu.com/s/1c0iYQOC 一、OllyDbg基本界面 图片1 ...
OllyDbg笔记-Olly Advanced插件使用
IT1995的博客
12-27 6147
将插件导入后 这样就可以实时保存
MAC下的反编译、反汇编和调试神器Hopper Disassembler
热门推荐
justinjing的专栏
01-11 1万+
官网:http://www.hopperapp.com/ Hopper是一款运行在Mac、Windows和Linux下的调试(os x only)、反汇编和反编译的交互式工具。可以对32、64位的MAC程序、Windows程序和IOS程序(arm)进行调试、反编译等。 对MAC OS X的native support:Hopper最初诞生于Mac平台,故在MAC OS X上有很好的表现
ollyDbg学习笔记
11-10
破解三种方法: 1.字符串查找 2.调用栈,运行程序,然后暂停,按下alt+k 3.用exe分析器,查找对话框的值,然后在OD里查找push 0x* (18,19) 实用技巧 1.内嵌补丁(堆栈不平衡时,可借助插件 17) ...3.看第19集笔记
ollydbg软件,俗称OD
07-04
4. **ollydbg.exe**:ollydbg主程序,启动和使用OD的入口点。 5. **help.pdf**:可能包含有关ollydbg使用教程或参考手册,对于初学者来说非常有帮助。 总结,ollydbg是逆向工程师的重要工具,通过它,我们可以...
OllyDbg完全教程.zip
最新发布
09-16
OllyDbg完全教程
win32 汇编笔记精华
07-03
5. **调试技巧**:学会使用调试工具如OllyDbg、Windbg进行汇编代码的调试。 **四、实践应用** 1. **驱动开发**:Win32汇编在驱动程序开发中扮演重要角色,因为驱动通常需要对硬件进行直接控制。 2. **性能优化**...
汇编手册笔记.zip
04-26
《汇编手册笔记》是一个关于汇编语言学习的资源包,包含了两部分核心内容:《汇编手册1.pdf》和《汇编手册2.pdf》。汇编语言是计算机科学的基础,它是一种低级编程语言,直接对应于机器指令集,对于理解计算机底层...
最好的查壳工具DIE (大家可以试试比PEID好用)
11-17
非常好用的查壳的工具,比PEID好用,没有查不出来的,可以反汇编 非常方便(强烈推荐)
PEiD1一款很好用的查壳工具无需安装
08-11
没资源分了。只能把我珍藏的工具拿出,换点分用 55555
【安装过程】OllyDbg工具的安装使用学习
lanlanla的成长历程
09-04 2298
安装过程: 官网下载安装即可,打开对应的压缩文件里面有help文档,会告诉怎么安装,大概解压缩就好了,exe文件发送个快捷方式到桌面,注意设置以管理员身份运行。 初步了解: help文档可以帮助了解,但是我下载的是全英文的,看起来有些慢,暂时没时间细看。 找到了一篇文章: https://www.cnblogs.com/baiyanhuang/archive/2012/06/10/254...
浅谈逆向——从案例谈OD的使用(OD的使用2)
qq_38684512的博客
01-20 1780
浅谈逆向-从案例谈OD的使用从TraceMe谈OD基本操作准备工作加载目标文件进行调试单步追踪 从TraceMe谈OD基本操作 案例来自加密与解密第四版 附上下载链接 传送门: 链接: https://pan.baidu.com/s/1CBjbHRWnd-ULrsWfiAZhlg 提取码: 9ede 准备工作 Windows程序由于要使用API函数,在分析中以API函数作为切入点就使过程变得容易起...
OllyDbg使用笔记
52CRACKING
04-28 384
面试:你懂什么是分布式系统吗?Redis分布式锁都不会?>>> ...
VB函数分析
06-14 2943
VB函数约定太杂乱没有统一性,自己分析了几个函数:有的用eax,edx约定,有的单个ecx约定,有的堆栈、寄存器一起用,有的象stdcall约定,有时候会跟虚拟机内部组件传地址引用.先给出函数分析,下边分析汇编的时候,可以看这些函数,不是很全的且存在错误.仅仅供参考.大家可以一起补充.-----------------------------------------------------
OllyDbg 使用笔记 (十四)
billvsme的专栏
09-04 2461
OllyDbg 使用笔记 (十四) 参考 书:《加密与解密》 视频:小甲鱼 解密系列 视频 此程序运行前会有一个nag窗口,运行结束后也有一个nag窗口。破解目的要去除这两个nag窗口。 用OD加载这个程序,按F9运行,当第一个nag窗口出现时,按下暂停。查看 堆栈调用
加密解密3-阅读笔记
sky的专栏
06-08 781
1、F7,遇到call可以跟进,然后Ctrl+F9可以返回到第一个命令 2、F8遇到call loop 等指令则不跟进 3、如果跟进系统DLL提供的API函数中,此时想返回到应用程序的领域中去,可以按“Alt+F9”执行“Execute till user code”(执行到用户代码)命令 4、如果不想但不跟踪,让程序直接运行起来,可以直接按F9,入股想重新调试进程并重新架在他或当程序进入死
ollydbg使用教程
09-03
OllyDbg是一款用于调试和分析Windows可执行文件的工具。使用它可以帮助开发人员理解程序的运行方式,以便进行错误修复和代码优化等工作。 要开始使用OllyDbg,你可以按照以下步骤进行操作: 1. 下载和安装OllyDbg:你可以从OllyDbg的主页(http://home.t—online.de/home/Ollydbg)下载最新版本的OllyDbg,并按照安装向导进行安装。 2. 启动OllyDbg:你可以通过命令行指定可执行文件,也可以从菜单中选择,或直接拖放可执行文件到OllyDbg中。另外,你还可以重新启动上一个被调试程序,或者挂接(Attach)一个正在运行的程序。OllyDbg支持即时调试,不需要安装,可以直接在软盘中运行。 3. 调试功能:一旦你打开了一个可执行文件,OllyDbg将会显示程序的汇编代码和相关的调试信息。你可以使用OllyDbg的各种功能来分析代码、设置断点、查看和修改寄存器和内存中的值,以及跟踪程序的执行流程。 4. 插件功能:如果你需要增加更多功能,你可以使用OllyDbg的插件。插件是一个DLL,可以通过OllyDbg的主页免费下载。插件可以提供额外的调试功能,例如反汇编插件、内存查看插件、脚本扩展等。 请注意,OllyDbg的插件是无法通过调试OllyDbg本身的方式来进行调试的,因为Windows系统不能在同一个应用程序中加载和运行两个可执行文件。 总之,OllyDbg是一款功能强大而灵活的调试工具,使用它可以帮助你分析和调试Windows可执行文件。你可以根据需要选择运行方式、设置断点、查看和修改内存值等。如果需要更多功能,可以考虑使用插件来扩展OllyDbg的功能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Ollydbg入门](https://blog.csdn.net/n3verl4nd/article/details/84443295)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值