本文介绍了如何通过爆破方式破解crack.exe文件,并详细讲解了如何判断一个文件是否为PE文件及其类型。通过IDA分析,找到爆破点,探讨了CMP指令与JZ指令在爆破过程中的作用。实验中,作者成功找到并修改了关键地址的值,实现了任意密码都能登录的目标。
1、请采用暴力破解的方式去尝试破解crack.exe文件(在实验报告中说明破解原理即可,无需提交破解后的文件)
2、请依据参考文档中的内容编写一个小程序,使其可以实现如下功能:
①判断一个文件是否为PE文件,如果是PE文件,判断它是exe文件还是dll文件,或者是其它类型的PE文件
②请提交实验报告和你的源代码文件
https://download.csdn.net/download/guanshanyue96/11295286 - 此文件是网络安全实验6的实验报告,因为篇幅过长,不能把所有内容都博客显示(很多图片没有显示),所以就上传上来供大家参考。或者在下面留下邮箱(因为上传资源到csdn别人下载需要积分,我也不能把积分调到0),我会把文件发到你的邮箱。
- 要对一个程序实现爆破,首先要运行下这个程序,看下它的输出,提取它的特征,再根据该特征找到这个特征的地址(定位),再看情况有什么条件提供给我们进行爆破。
运行该程序,发现它的输出是:Please input password: 这句话是提示用户输入,是非常鲜明的特征,而且居于唯一性。我们可以通过这个特征,使用total command搜索这个特征,找到它的地址。然后再使用ida定位到这个地址,分析它的逻辑图,找到爆破的突破点。
(2)搜索Please(使用F7(search)),我们这里使用取巧的方法,搜索Please,如果发现Please input password这句话,就说定位成功了。
成功找到地址!
(3)用ida打开程序,使用搜索功能找到该地址,对该流程图进行分析。
跳转成功!
调出流程图
https://blog.csdn.net/u013736724/article/details/53364363 - IDA功能简介(2)----流程图功能
可是调出流程图失败!我们只可以看汇编代码,我们浏览 0x00422080 这个地址附近的会汇编语言,突然发现了这个字符串
我们尝试使用1234567作为密码,成功登入!
但是我们的目是随便输入密码都可以登入,强行爆破。我再仔细观察这段代码。可以发现0x401020这个地址,就是输入密码之后,会跳转0x401020这个地址。
搜索0x401020
跳转成功!
空格键,查看流程图
注:db定义字节类型变量,一个字节数据占1个字节单元,读完一个,偏移量加1
注:代码以4字节对齐
如上一段代码的地址为0x0c001232
那么下一段的二地址为 0x0c001234
--------------------------------------------------------------------------------------------------------
https://blog.csdn.net/bxd1314/article/details/38433837 - 汇编中bss,data,text,rodata,heap,stack段的作用
解释:
bss段:
BSS段(bsssegment)通常是指用来存放程序中未初始化的全局变量的一块内存区域。BSS是英文BlockStartedby Symbol的简称。BSS段属于静态内存分配。
data段:
数据段(datasegment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。数据段属于静态内存分配。
text段:
代码段(codesegment/textsegment)通常是指用来存放程序执行代码的一块内存区域。这部分区域的大小在程序运行前就已经确定,并且内存区域通常属于只读,某些架构也允许代码段为可写,即允许修改程序。在代码段中,也有可能包含一些只读的常数变量,例如字符串常量等。
rodata段:
存放C中的字符串和#define定义的常量
heap堆:
堆是用于存放进程运行中被动态分配的内存段,它的大小并不固定,可动态扩张或缩减。当进程调用malloc等函数分配内存时,新分配的内存就被动态添加到堆上(堆被扩张);当利用free等函数释放内存时,被释放的内存从堆中被剔除(堆被缩减)
stack栈:
是用户存放程序临时创建的局部变量,也就是说我们函数括弧“{}”中定义的变量(但不包括static声明的变量,static意味着在数据段中存放变量)。除此以外,在函数被调用时,其参数也会被压入发起调用的进程栈中,并且待到调用结束后,函数的返回值也会被存放回栈中。由于栈的先进先出特点,所以栈特别方便用来保存/恢复调用现场。从这个意义上讲,我们可以把堆栈看成一个寄存、交换临时数据的内存区
--------------------------------------------------------------------------------------------------------
*** 做了上面那么多,还是进入找不到程序的流程图,发现没什么用,,,我找到的是.data段的汇编,而且通过汇编找到的是.text表,导不出全部逻辑图,这时要重新分析要怎么解决了,又重新浏览一下了一下ida中的函数列表,忽然发现还有_main函数,这是函数的主入口,决定便进入_main函数看一下。
下面进入正式爆破阶段!!!
双击,可以看到程序主入口:
按空格键,想看到程序的逻辑图,但发现没什么用。
再按空格键返回,再仔细观察,看到jmp _mian_0 ,jmp 是跳转的意思,_main_0 是函数名,主函数一进来就是跳转 _main_0 函数
所以我尝试点击了 _mian_0 ,进入下面这个地方:
重要找到程序逻辑图了,仔细观察流程图,此时就要回归到最开始,通过刚打开程序的输出语句,以它作为特征,找到判断语句,也是流程图的一个分叉点:
发现这两个特征点,查看它们进入的判断语句
.text:0040DB85 cmp [ebp+var_4], 0
.text:0040DB89 jz short loc_40DB9A
https://blog.csdn.net/zang141588761/article/details/52506226 - 012-cmp指令与JZ指令
二、CMP 和JZ 指令
比较指令CMP
格式: CMP A,B // A-B;
功能: 两个操作数的相减,即从A中减去B,其结果会影响标志位,对标志位的影响与SUB指令相同。本条指令主要是用于配合条件转移指令使用。如JZ ZF=0时,跳转
--------------------------------------------------------------------------------------------------------
所以我们把 [ebp+var_4] - 0 = 0 ,就可以跳转 loc_40DB9A (成功登入程序)
所以我们有两个方法 :
(1)尝试把 [ebp+var_4] -> (转为) 0
(2)尝试把 0 -> (转为) [ebp+var_4]
归根到底就是把 这两个地址的值改为相同的了,我们使用 total command 找到 0040DB85 这个地址
进入total command 按F5(Goto)查找地址,记住不是F7(Search),F5是根据输入的地址跳转地址,F7搜索特征码跳转
记住不是输入40DB89(DB4089是40DB85的下一条语句,也可以是40DB85,这个是cmp的语句的地址),应该输入它的偏移量,这个在我上一个实验有说
偏移量 = 40DB89 - 基地址
搜索0,回到最开始
可以看到基地址是0x400000,所以偏移量
40DB89 - 400000 = DB89
74是0x40DB89的地址,而前面的FC-00就是cmp [ebp+var_4], 0 对应地址的值
FC 对应 [ebp+var_4] ,00 对应 0 (此处有错,0的ascii码不是00。可以查表),我们可以把FC 改为 00 ,或把 00 改为 FC,就可以实现他们相减的0的值为0了
选中00(这里我选的是这个值),按F3(Edit)修改文件,输入FC
运行该程序,发现它的输出是:Please input password: 这句话是提示用户输入,是非常鲜明的特征,而且居于唯一性。我们可以通过这个特征,使用total command搜索这个特征,找到它的地址。然后再使用ida定位到这个地址,分析它的逻辑图,找到爆破的突破点。
(2)搜索Please(使用F7(search)),我们这里使用取巧的方法,搜索Please,如果发现Please input password这句话,就说定位成功了。
成功找到地址!
(3)用ida打开程序,使用搜索功能找到该地址,对该流程图进行分析。
跳转成功!
 调出流程图
https://blog.csdn.net/u013736724/article/details/53364363 - IDA功能简介(2)----流程图功能
可是调出流程图失败!我们只可以看汇编代码,我们浏览 0x00422080 这个地址附近的会汇编语言,突然发现了这个字符串
我们尝试使用1234567作为密码,成功登入!
但是我们的目是随便输入密码都可以登入,强行爆破。我再仔细观察这段代码。可以发现0x401020这个地址,就是输入密码之后,会跳转0x401020</ |
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
