TraceMe动态分析

已于 2022-03-30 18:50:51 修改
阅读量721 收藏 1
点赞数
分类专栏: 软件安全 文章标签: windows
于 2022-03-30 18:48:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freedomDA/article/details/123853754
版权

记录:OLLYDBG F2断点 F7 F8单步 F9快速运行

目标程序:

在这里插入图片描述

静态分析

工具IDA

涉及序列号等判断的主体函数的主要部分:

通过if else即条件判断,长度小于5时会弹窗的一个字符串为用户名,即String

因此String1为序列号

v5 = GetDlgItemTextA(hWnd, 110, &String, 81);//返回值v5是返回字符串的长度
GetDlgItemTextA(hWnd, 1000, &String1, 101);
if ( String && v5 >= 5 )
 {
    if ( sub_401340(&String1, &String, v5) )//分析1
    {
      lstrcpyA(::String1, String2);
      v6 = GetDlgItem(hWnd, 110);
      EnableWindow(v6, 0);
      v7 = GetDlgItem(hWnd, 1000);
      EnableWindow(v7, 0);
      v8 = GetDlgItem(hWnd, 1000);
    }
    else
    {
      lstrcpyA(::String1, &v17);
      v8 = GetDlgItem(hWnd, 1000);
    }
  }
 else //通过该else判断,v5<5的会弹出窗口,手动测试程序,获得String为用户名
  {
    lstrcpyA(::String1, &v15);
    v8 = GetDlgItem(hWnd, 110);
  }
  SetFocus(v8);
  MessageBeep(0);
  DialogBoxParamA(hInstance, (LPCSTR)0x79, hWnd, sub_401060, 0);

关键函数——分析1:

BOOL __cdecl sub_401340(LPCSTR lpString1, LPSTR a2, int a3)
{//a2:用户名; lpString1:输入的序列号; a3:v5即用户名长度
  int v3; // ecx@1
  int v4; // esi@1
  signed int i; // eax@1

  v3 = 3;
  v4 = 0;
  for ( i = 0; v3 < a3; ++i )
  {
    if ( i > 7 )
      i = 0;
    v4 += (unsigned __int8)byte_405030[i] * (unsigned __int8)a2[v3++];
		//v4为关键,实现该计算逻辑即可获得序列号
  }
  wsprintfA(a2, aLd, v4);//将v4以ld的形式读取到a2
  return lstrcmpA(lpString1, a2) == 0;//判断lpString1与序列号是否相同,此时a2是真正的序列号
}

解决:

  1. 静态分析通过v4逻辑手动或代码计算获得序列号
  2. 动态分析直接从寄存器查看序列号

v4逻辑:
byte数组的第i个值与a2的第v3个字符ascii值相乘得到一个值,这个值继续累加。v3从3开始,一直到a2末尾。

动态分析

OLLYDBG

关键函数:sub_401340==》相对偏移地址1340

OLLYDBG找到它

再很明显的看到wsprintfA函数,函数参数很明了:

在这里插入图片描述

在附近F2打断点,F9快速运行到那里

在这里插入图片描述

F8单步,看到了真实对应usr的序列号

在这里插入图片描述

check

在这里插入图片描述

freedomDA
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[系统安全] 二十三.逆向分析之OllyDbg动态调试复习及TraceMe案例分析
杨秀璋的专栏
02-22 6135
作者前文介绍了微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。这篇文章将详细讲解逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。
TraceMe.exe
07-02
TraceMe.exe 动态分析技术
TraceMe.rar
08-29
ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例ollydbg案例
TraceMe.rar,TraceMe.exe
02-07
TraceMe.rar,TraceMe.exe,小甲鱼教程中的例子程序TraceMe.rar,TraceMe.exe,小甲鱼教程中的例子程序
软件安全 实验 2 软件动态、静态分析技术 TraceMe.exe OllyDbg IDA
SKPrimin的博客
11-25 3570
实验 2 软件动态、静态分析技术 练习 1 动态调试技术 1、实验说明 动态分析是在可控环境中运行程序或者模拟程序的执行过程,同时利用分 析工具,监控程序的所有操作,观察其执行流程和状态,获取执行过程中的各 种数据。调试则是一种最为重要的动态分析技术,能够获取程序的真实行为, 以及指令执行过程中各个操作数的具体值。 2、实验目的 本实验使用 OllyDbg 调试器, 分析简单注册程序(TraceMe.exe),获得正 确的序列号或者修改程序逻辑, 以此学习调试 Win32 应用程序的相关技术。 3、
linux ptrace 内核源码分析,linux 3.5.4 ptrace源码分析分析(系列一)
weixin_35908791的博客
05-13 362
ptrace是linux系统中为了调试专门设立的一种系统调用。要想调试调试一个进程,有两种方式:PTRACE_TRACEME和PTRACE_ATTACH。这两种方式的主要区别可以概括为:PTRACE_TRACEME是子进程主动申请被TRACE。而PTRACE_ATTACH是父进程自己要attach到子进程,相当于子进程是被动的trace。PTRACE_TRACEME程序设置的框架大概为:if(pi...
TraceMe-----堆栈查看分析
zhangmiaoping23的专栏
05-10 843
【文章作者】: Gall 【作者主页】: http://hi.baidu.com/8ohack 【使用工具】: Ollydbg 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 【详细过程】   堆栈查看分
trace.moe-www
02-17
trace.moe-www
小甲鱼TraceMe.exe
07-11
完整版,免费,无加密,小甲鱼OD配套资料
ANSYS之瞬间动态分析
04-24
ANSYS之瞬间动态分析,讲解基本原理,过程分析及实例,解压即可用。
72.逆向分析之OllyDbg动态调试工具(一)基础入门及TraceMe案例分析1
08-03
声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。前文学习:[网络
traceme注册机
03-08
自己写的注册机,用来练习加密与解密程序中的traceme注册。
TraceMe.exe注册码破解及注册机编写
Bonjour~
04-07 5384
追注册码步骤解析 打开OllyDbg反汇编软件,对实验程序TraceMe.exe进行反汇编。 点击View-Executable modules查看可执行模块,在新窗口中右击,选择Show names in all modules查看名称信息。 输入Ctrl+F,搜索关键字:DispatchMessageW,该部分对应WM_LBUTTONDOWN消息断点
第一次干掉 CrackMe && TraceMe
driftcloudy的专栏
04-30 146
这两个exe都是“加密与解密”书中“调试篇”的例子,CrackMe很简单,TraceMe稍微复杂一点。   1. CrackMe   分析CrackMe无需用OD打断点跟进,该程序逻辑非常简单,仅仅从汇编代码的调用上即可判断出其内部实现。 先用IDA进行CrackMe的反汇编,在最下方可以看到关于序列号的判断: 注意刚开始是无法看到右侧“序列号不对,重新再试一次”的字样的,需...
动态分析TraceMe.exe
Snippers的博客
03-14 2113
      在学习《加密与解密第三版》时,由于运行环境是win10 64位系统,用OD打开TraceMe时出现诸如不显示程序窗口等问题都是因为OllyDbg在64位机上的bug导致的, 打开Log会发现无法处理的异常然后程序结束.解决方法:安装Olly Advanced后在插件的Options-&gt;Additional  Options勾选x64  Compatiblity-mode     ...
TraceMe---消息断点+Run跟踪
把梦想放飞在蓝色的天空里...
05-02 898
标 题:TraceMe---消息断点+Run跟踪 作 者:Gall 时 间:2010-08-05 21:19:49 链 接:http://bbs.pediy.com/showthread.php?t=118039   【文章作者】: Gall 【作者主页】: http://hi.baidu.com/8ohack 【操作平台】: WindowsXP 【作者声明】: 只是感兴趣,没有
ptrace子进程挂载,python2代码
最新发布
06-07
# 调用ptrace(PTRACE_TRACEME, 0, NULL, NULL)告诉父进程它要被跟踪 ptrace(PTRACE_TRACEME, 0, None, None) # 执行新程序 os.execvp(argv[1], argv[1:]) else: # 父进程 # 调用ptrace(PTRACE_ATTACH, pid, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值