TraceMe动态分析

已于 2022-03-30 18:50:51 修改
阅读量733 收藏
点赞数
分类专栏: 软件安全 文章标签: windows
于 2022-03-30 18:48:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freedomDA/article/details/123853754
版权

记录:OLLYDBG F2断点 F7 F8单步 F9快速运行

目标程序:

在这里插入图片描述

静态分析

工具IDA

涉及序列号等判断的主体函数的主要部分:

通过if else即条件判断,长度小于5时会弹窗的一个字符串为用户名,即String

因此String1为序列号

v5 = GetDlgItemTextA(hWnd, 110, &String, 81);//返回值v5是返回字符串的长度
GetDlgItemTextA(hWnd, 1000, &String1, 101);
if ( String && v5 >= 5 )
 {
    if ( sub_401340(&String1, &String, v5) )//分析1
    {
      lstrcpyA(::String1, String2);
      v6 = GetDlgItem(hWnd, 110);
      EnableWindow(v6, 0);
      v7 = GetDlgItem(hWnd, 1000);
      EnableWindow(v7, 0);
      v8 = GetDlgItem(hWnd, 1000);
    }
    else
    {
      lstrcpyA(::String1, &v17);
      v8 = GetDlgItem(hWnd, 1000);
    }
  }
 else //通过该else判断,v5<5的会弹出窗口,手动测试程序,获得String为用户名
  {
    lstrcpyA(::String1, &v15);
    v8 = GetDlgItem(hWnd, 110);
  }
  SetFocus(v8);
  MessageBeep(0);
  DialogBoxParamA(hInstance, (LPCSTR)0x79, hWnd, sub_401060, 0);

关键函数——分析1:

BOOL __cdecl sub_401340(LPCSTR lpString1, LPSTR a2, int a3)
{//a2:用户名; lpString1:输入的序列号; a3:v5即用户名长度
  int v3; // ecx@1
  int v4; // esi@1
  signed int i; // eax@1

  v3 = 3;
  v4 = 0;
  for ( i = 0; v3 < a3; ++i )
  {
    if ( i > 7 )
      i = 0;
    v4 += (unsigned __int8)byte_405030[i] * (unsigned __int8)a2[v3++];
		//v4为关键,实现该计算逻辑即可获得序列号
  }
  wsprintfA(a2, aLd, v4);//将v4以ld的形式读取到a2
  return lstrcmpA(lpString1, a2) == 0;//判断lpString1与序列号是否相同,此时a2是真正的序列号
}

解决:

  1. 静态分析通过v4逻辑手动或代码计算获得序列号
  2. 动态分析直接从寄存器查看序列号

v4逻辑:
byte数组的第i个值与a2的第v3个字符ascii值相乘得到一个值,这个值继续累加。v3从3开始,一直到a2末尾。

动态分析

OLLYDBG

关键函数:sub_401340==》相对偏移地址1340

OLLYDBG找到它

再很明显的看到wsprintfA函数,函数参数很明了:

在这里插入图片描述

在附近F2打断点,F9快速运行到那里

在这里插入图片描述

F8单步,看到了真实对应usr的序列号

在这里插入图片描述

check

在这里插入图片描述

freedomDA
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[系统安全] 二十三.逆向分析之OllyDbg动态调试复习及TraceMe案例分析
杨秀璋的专栏
02-22 6166
作者前文介绍了微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。这篇文章将详细讲解逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。
动态分析技术——ollydbg(一)
dudu3332的博客
10-26 1424
ollydbg是入门必备的工具,我在win10环境下用 首先练习对traceme.exe破译 首先来看寄存器面板,ESP为栈指针,指向栈顶, EIP指向当前要执行的指令 摁一下f7将执行下一条指令 然后EIP将指向下一条要执行的指令 大部分寄存器可以直接修改 EIP修改要这样 在这里右键 new origin 可以修改EIP 标志寄存器只有0和1 接下来是单步跟踪 ...
TraceMe.exe
07-02
TraceMe.exe 动态分析技术
软件安全 实验 2 软件动态、静态分析技术 TraceMe.exe OllyDbg IDA
SKPrimin的博客
11-25 3615
实验 2 软件动态、静态分析技术 练习 1 动态调试技术 1、实验说明 动态分析是在可控环境中运行程序或者模拟程序的执行过程,同时利用分 析工具,监控程序的所有操作,观察其执行流程和状态,获取执行过程中的各 种数据。调试则是一种最为重要的动态分析技术,能够获取程序的真实行为, 以及指令执行过程中各个操作数的具体值。 2、实验目的 本实验使用 OllyDbg 调试器, 分析简单注册程序(TraceMe.exe),获得正 确的序列号或者修改程序逻辑, 以此学习调试 Win32 应用程序的相关技术。 3、
TraceMe-----堆栈查看分析
zhangmiaoping23的专栏
05-10 848
【文章作者】: Gall 【作者主页】: http://hi.baidu.com/8ohack 【使用工具】: Ollydbg 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 【详细过程】   堆栈查看分
72.逆向分析之OllyDbg动态调试工具(一)基础入门及TraceMe案例分析1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
traceme注册机
03-08
自己写的注册机,用来练习加密与解密程序中的traceme注册。
TraceMe.rar
08-29
ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例
trace.moe-www
02-17
trace.moe-www
小甲鱼TraceMe.exe
07-11
完整版,免费,无加密,小甲鱼OD配套资料
ANSYS之瞬间动态分析
04-24
ANSYS之瞬间动态分析,讲解基本原理,过程分析及实例,解压即可用。
traceme 爆破小记
一刀不二
06-18 1660
F3 加载 traceme.exe F9 运行,出现如下界面 猜测输入使用 GetDlgItemTextA, ctrl + F2 重新运行,快捷键 ctrl + G 查找到 GetDlgItemTextA 位置处,下断点。 F9 运行,弹出注册界面,输入用户名 hello,序列号 world。 按下 check,执行到 GetDlgItem
TraceMe学习笔记
cj1064789374的博客
02-13 379
OD打开TraceMe.exe 插件-API断点设置工具-常用断点设置-GetDlgItemTextA-确定 运行,输入11111,11111,确定 ctrl+f9,F8,一直F8往下分析,针对每个跳转语句进行测试,得到如下结论: 右击修改了的指令(修改多条就选中多条),复制到可执行文件,选择 转到“文件对话框”,右击,保存文件,重命名TraceMe_cj.exe,确定 ...
Windows动态分析技术
lvxinyao123的博客
10-24 416
记一次TraceMe的破解小记 软件分析流程很简单,根据用户名生成序列号然后对比输入的序列号。加载目标进行调试 字符常用Windows文本框输入。为了检查输入的字符,程序通常才用下面的函数把文本框中的内容都出来。
逆向学习初级历程1-traceMe (win32ascii版)
z1041259928的博客
12-12 529
逆向学习初级历程-traceMe (win32ascii版) 我是该开始接触逆向的小白菜,希望在写博客的路上鼓励自己坚持下去 刚开始学习逆向需要多多少少了解一些汇编,c,c++,windowns32 API,操作系统方面的知识,如果都没学过,那就只能耐心的,慢慢的学习,遇到一个问题学习一个问题 我是按照&lt;加密与解密4&gt;来学习的,第一个例子就是TraceMe的破解,下面是破解...
逆向入门笔记之分析TraceMe.exe
克格莫
01-20 1073
TraceMe.exe是一个示例程序,用于逆向的学习,简单地模拟了注册机制。 我们把它拖进IDA中无脑F5一波: 双击DialogFunc进入这个函数: BOOL __stdcall DialogFunc(HWND hWnd, UINT a2, WPARAM a3, LPARAM a4) { int v5; // ebx HWND v6; // eax HWND v7; /...
ptrace子进程挂载,python2代码
最新发布
06-07
以下是一个使用Python 2实现的ptrace子进程挂载的示例代码: ```python import os import sys import ctypes from ctypes.util import find_library # 加载libc库 libc = ctypes.CDLL(find_library('c')) # 定义ptrace相关函数 ptrace = libc.ptrace waitpid = libc.waitpid PTRACE_TRACEME = 0 PTRACE_ATTACH = 16 PTRACE_SETOPTIONS = 16896 PTRACE_O_TRACECLONE = 8 def main(argv): if len(argv) < 2: print 'Usage: %s program [args...]' % argv[0] return # 创建子进程 pid = os.fork() if pid == 0: # 子进程 # 调用ptrace(PTRACE_TRACEME, 0, NULL, NULL)告诉父进程它要被跟踪 ptrace(PTRACE_TRACEME, 0, None, None) # 执行新程序 os.execvp(argv[1], argv[1:]) else: # 父进程 # 调用ptrace(PTRACE_ATTACH, pid, NULL, NULL)将子进程挂载到自己的进程上 ptrace(PTRACE_ATTACH, pid, None, None) # 等待子进程停止 waitpid(pid, None, 0) # 设置选项,允许跟踪子进程创建 ptrace(PTRACE_SETOPTIONS, pid, None, PTRACE_O_TRACECLONE) while True: # 跟踪子进程执行 waitpid(-1, None, 0) # 在子进程执行过程中,可以通过ptrace()系统调用跟踪、修改子进程的执行 # 这里省略具体实现,可以使用PTRACE_PEEKTEXT和PTRACE_POKETEXT等函数读写子进程的内存 # 也可以使用PTRACE_CONT和PTRACE_KILL等函数控制子进程的执行 ``` 这段代码通过调用libc库中的ptrace、waitpid等函数实现了ptrace子进程挂载的功能。需要注意的是,由于Python 2的GIL机制,多线程程序中调用ptrace可能会出现问题,因此建议在单线程环境下使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值