作 者: menting 时 间: 2008-02-20,18:07 链 接: http://bbs.pediy.com/showthread.php?t=59933今天来了,看到很热闹,我也热闹一下,大家春节过的好不好??,实际,今天带给大家的比较麻烦,不容易 理解,比起以往的来讲都要难点了,但是,相对很容易了,我是自己一点点反复的试中学习过来的,今天发出来给喜欢 逆向的朋友,我觉得逆向比我想的要复杂,而切是件耐心的磨性子的事,强烈建议没耐心的就别折腾了。反正我是领教 了。 在看这篇时大家需要有心理准备,就是汇编与C++的关系,要对C++和汇编都要很熟悉才可以,不然,很难理解 的,还有就是IDA和OD是不可少的,最好有WinHex和UE,我们要在IDA和OD中间寻找我们的答案。所以,在学习的时候大 家可以选择一些简单的程序,最好不大的,几十KB到几KB的程序,方便逆向。现在逆向的人不多,我想想学的人不会也 不多的。只是苦于没有这类书籍,记得有本什么黑客反汇编的书,是个老外写的还不错,大家有兴趣可以找找。 我这里说的不一定都是准确的,我只是将我的测试结果发出来,高手们要指点一二哦!我是个超级菜鸟,呵呵 ~~~,希望别惹大家笑话,喜欢的就学习了,不喜欢的就看个乐子吧! 注意:在逆向的程序选择时,新手最好选择基本的C代码的程序,不建议选择pascal 和basic的代码,这些代码 不容易理解,而且和汇编的关系不是很明确的。逆向的时候选择C的代码,我发现很容易和汇编联系的。但是要将汇编反 过来写成C语言那就又是麻烦了。:(! 这里不建议选择MFC类程序,只建议大家选择Win32程序,这样我们的难度就小了很 多了,还有个就是不建议选择类程序,初学的时候就最好是函数、变量、指针。等学的差不多了,再加进去类和结构等 等。 //------------------------------------------------------------ 第一部分 常量、变量 //------------------------------------------------------------ 在逆向的时候我们可以自己写点程序,来研究的,但是我推荐Visual C++ 6.0 ,为什么是6.0呢?因为2003以 后程序被编译以后不再像6.0那样的清晰,编译器给程序加了很多垃圾进去,不太好分析。在编译的时候使用Release, 这样代码量会小,花的工夫就相对来说少很多。 我们把下面的代码编译进程序,看起来很简单的。但是结果是不一样的,所有教C语言的老师都说下面的代码结 果是一样的,但是,我发现在汇编里就不一定的哦!!很奇怪吧,大家可以自己多试试,我这里所说的都是常规状态下 的。 第一、局部变量: //------------------------------------------- int intbuf1=1,intbuf2=2; int intbuf3=3; int intbuf4=4; //------------------------------------------- OD反汇编以后的结果和下面的差不多的,有朋友会问了,为什么我的就没有下面的代码,只有一个retn 好像什么都没做 哦,在你的变量没做任何事时,只对其进行初试化,那么编译器在Release模式下,是不被解释的。我们在设置的C/C++ 选项中,将Maximize Speed改为Default,这个时候我们就能看到了汇编代码。 //------------------------------------------- 0040135F /___FCKpd___0nbsp; 55 push ebp 00401360 |. 8BEC mov ebp, esp 00401362 |. 83EC 10 sub esp, 10 00401365 |. C745 F8 01000>mov dword ptr [ebp-8], 1 0040136C |. C745 FC 02000>mov dword ptr [ebp-4], 2 00401373 |. C745 F0 03000>mov dword ptr [ebp-10], 3 0040137A |. C745 F4 04000>mov dword ptr [ebp-C], 4 00401381 |. 8BE5 mov esp, ebp 00401383 |. 5D pop ebp 00401384 /. C3 retn //------------------------------------------- 我们不难分析出栈顺序intbuf2-intbuf1-intbuf4-intbuf3,我不说了,大家自己思考编译器是如果解释变量的,而我们 需要注意的是dword ptr [ebp-X],我们把例子改一下: //------------------------------------------- BYTE intbuf1=1; char intbuf2=2; int intbuf3=3; DWORD intbuf4=4; LONG intbuf5=5; SHORT intbuf6=6; WORD intbuf7=7; //------------------------------------------- 不难从下面的代码中我们可以看出,char和BYTE都对应byte ptr,SHORT和WORD都对应word ptr,LONG和DWORD都对应 dword ptr,我们就很容易分辨出源代码的类型了,简单吧,现在看到如下的汇编代码就容易理解和明白了,我想谁都可 以把它写成C代码或者其他语言的代码了。 //------------------------------------------- 0040135F /___FCKpd___0nbsp; 55 push ebp 00401360 |. 8BEC mov ebp, esp 00401362 |. 83EC 1C sub esp, 1C 00401365 |. C645 F8 01 mov byte ptr [ebp-8], 1 00401369 |. C645 FC 02 mov byte ptr [ebp-4], 2 0040136D |. C745 F0 03000>mov dword ptr [ebp-10], 3 00401374 |. C745 F4 04000>mov dword ptr [ebp-C], 4 0040137B |. C745 E8 05000>mov dword ptr [ebp-18], 5 00401382 |. 66:C745 EC 06>mov word ptr [ebp-14], 6 00401388 |. 66:C745 E4 07>mov word ptr [ebp-1C], 7 0040138E |. 8BE5 mov esp, ebp 00401390 |. 5D pop ebp 00401391 /. C3 retn //------------------------------------------- 前面我们说了,定义地方不同在汇编中也是不同的,还有变量的类型我们先来看这样一段汇编代码,大家可以猜写出它 的C语言代码^_^ //-------------------------------------------- 0040135F /___FCKpd___0nbsp; 55 push ebp 00401360 |. 8BEC mov ebp, esp 00401362 |. 83EC 0C sub esp, 0C 00401365 |. C745 F8 01000>mov dword ptr [ebp-8], 1 0040136C |. 8B45 F8 mov eax, dword ptr [ebp-8] 0040136F |. 8945 FC mov dword ptr [ebp-4], eax 00401372 |. 8B4D FC mov ecx, dword ptr [ebp-4] 00401375 |. 034D F8 add ecx, dword ptr [ebp-8] 00401378 |. 894D F8 mov dword ptr [ebp-8], ecx 0040137B |. 8B55 F8 mov edx, dword ptr [ebp-8] 0040137E |. 0355 FC add edx, dword ptr [ebp-4] 00401381 |. 8955 F4 mov dword ptr [ebp-C], edx 00401384 |. 8BE5 mov esp, ebp 00401386 |. 5D pop ebp 00401387 /. C3 retn //-------------------------------------------- 看了会不会头大了,呵呵~~~,是不是有点不同了,看看我怎么逆吧~~ //-------------------------------------------- DWORD unk1=1; //mov dword ptr [ebp-8], 1 DWORD unk2=unk1; //mov eax, dword ptr [ebp-8] //mov dword ptr [ebp-4], eax //我们发现在第2句里多了个ebp-4所以我们就能确定了,有新的变量出现了,而且是DWORD类型的,EAX把变量unk1的 内//容传递到了新的变量中。 unk1=unk2+unk1; //mov ecx, dword ptr [ebp-4] //add ecx, dword ptr [ebp-8] //mov dword ptr [ebp-8], ecx //我们知道先取出unk2的值放入ecx,我们可以看到在相加后又放回了unk1; unk3=unk1+unk2; //mov edx, dword ptr [ebp-8] //add edx, dword ptr [ebp-4] //mov dword ptr [ebp-C], edx //我想我不用解释大家一看就明白了吧~~~~ //---------------------------------------------------------- 源代码如下: int intbuf1=1; int intbuf2=intbuf1; intbuf1=intbuf2+intbuf1; int intbuf3=intbuf1+intbuf2; //---------------------------------------------------------- 是不是一句都没错哦~~,我是逆了好多了,所以一看就知道了,大家在练习的时候多试试,就会发现规律的, 不是老师们说的,代码一但编译就不可能复原了,那是不准确的,可以做到几乎接近。 第二、全局变量: 代码为下面: //---------------------------------------------------------- BYTE intbuf1=0; char intbuf2=0; int intbuf3=0; DWORD intbuf4=0; LONG intbuf5=0; SHORT intbuf6=0; WORD intbuf7=0; void InitMain() { intbuf1=1; intbuf2=2; intbuf3=3; intbuf4=4; intbuf5=5; intbuf6=6; intbuf7=7; } //---------------------------------------------------------- 汇编如下: //---------------------------------------------------------- 0040135F /___FCKpd___0nbsp; 55 push ebp 00401360 |. 8BEC mov ebp, esp 00401362 |. C605 74854000>mov byte ptr [408574], 1 00401369 |. C605 75854000>mov byte ptr [408575], 2 00401370 |. C705 78854000>mov dword ptr [408578], 3 0040137A |. C705 7C854000>mov dword ptr [40857C], 4 00401384 |. C705 80854000>mov dword ptr [408580], 5 0040138E |. 66:C705 84854>mov word ptr [408584], 6 00401397 |. 66:C705 86854>mov word ptr [408586], 7 004013A0 |. 5D pop ebp 004013A1 /. C3 retn //------------------------------------------------------------ ^_^,大家在逆向的时候会发现了把,全局变量和局部变量的区别了吧~~~,我想大家一看就明白了,局部变量是放在栈中 的,而全局变量是不放的,还有就是其它和局部变量都一样的,但是我们需要注意,指针问题,有的时候指针和变量是 一样的,不太好分辨,以后我会再给大家解释。 第三、常量 代码如下: //------------------------------------------------------------ #define test2 2 #define test3 "123456789" void InitMain() { int mm=test2; char *pcc=test3; } //需要说明的是,我们用#define做的宏函数在编译的时候,是被直接编译出结果的,根据宏函数来确定是镶嵌代码还是 //直接编译结果。 //------------------------------------------------------------- 反汇编后,发现变量和指针是基本一样的,没什么明显的区别,是变量还是指针,大家多练习就是了,不是简单的说就 是什么就什么,实际指针在汇编中是以变量的形式来处理的,我们在汇编中就把指针当变量,但是在逆回到C语言中时我 们必须对其进行区分的。可以很明确的看出常量在汇编中什么怎么样处理的,我们把它逆回去不是很简单的事了吗? //------------------------------------------------------------- 0040135F /___FCKpd___0nbsp; 55 push ebp 00401360 |. 8BEC mov ebp, esp 00401362 |. 83EC 08 sub esp, 8 00401365 |. C745 FC 02000>mov dword ptr [ebp-4], 2 0040136C |. C745 F8 30604>mov dword ptr [ebp-8], 00406030 ; ASCII "123456789" 00401373 |. 8BE5 mov esp, ebp 00401375 |. 5D pop ebp 00401376 /. C3 retn //---------------------------------------------------------------- 逆向是件不容易的事,我已经给大家很简单的示范了,想想实际没什么的,是没什么,简单,但是真的做起来就不容易 了,大家可以再多试试,就会发现,代码和汇编之间是有本质的联系的。我们可以逆出很接近原代码的代码来。 第四、实践练手 只说不练,被说成那个什么假什么把势的,好,我们就来练习一下。我想大家要是把这段代码看明白了,一定 会猜到我下次要给大家带来什么了,郁闷不??说的很简单,练起手来还蛮难^_^。 //---------------------------------------------------------------- 0040128D /___FCKpd___0nbsp; 55 push ebp 0040128E |. 8BEC mov ebp, esp 00401290 |. 81EC 0C010000 sub esp, 10C 00401296 |. 57 push edi 00401297 |. 8D85 F8FEFFFF lea eax, dword ptr [ebp-108] 0040129D |. 50 push eax 0040129E |. E8 860E0000 call 00402129 ;time() 004012A3 |. 83C4 04 add esp, 4 004012A6 |. 8D8D F8FEFFFF lea ecx, dword ptr [ebp-108] 004012AC |. 51 push ecx 004012AD |. E8 170D0000 call 00401FC9 ;localtime() 004012B2 |. 83C4 04 add esp, 4 004012B5 |. 8985 F4FEFFFF mov dword ptr [ebp-10C], eax 004012BB |. 8B95 F4FEFFFF mov edx, dword ptr [ebp-10C] 004012C1 |. 8B42 14 mov eax, dword ptr [edx+14] 004012C4 |. 05 6C070000 add eax, 76C 004012C9 |. A3 38E64000 mov dword ptr [40E638], eax 004012CE |. 8B8D F4FEFFFF mov ecx, dword ptr [ebp-10C] 004012D4 |. 8B51 10 mov edx, dword ptr [ecx+10] 004012D7 |. 83C2 01 add edx, 1 004012DA |. 8915 3CE64000 mov dword ptr [40E63C], edx 004012E0 |. 8B85 F4FEFFFF mov eax, dword ptr [ebp-10C] 004012E6 |. 8B48 0C mov ecx, dword ptr [eax+C] 004012E9 |. 890D 40E64000 mov dword ptr [40E640], ecx 004012EF |. C685 FCFEFFFF>mov byte ptr [ebp-104], 0 004012F6 |. B9 40000000 mov ecx, 40 004012FB |. 33C0 xor eax, eax 004012FD |. 8DBD FDFEFFFF lea edi, dword ptr [ebp-103] 00401303 |. F3:AB rep stos dword ptr es:[edi] 00401305 |. 66:AB stos word ptr es:[edi] 00401307 |. AA stos byte ptr es:[edi] 00401308 |. 68 60E64000 push 0040E660 ; /<%s> = "" 0040130D |. 8B15 40E64000 mov edx, dword ptr [40E640] ; | 00401313 |. 52 push edx ; |<%02d> => 0 00401314 |. A1 3CE64000 mov eax, dword ptr [40E63C] ; | 00401319 |. 50 push eax ; |<%02d> => 0 0040131A |. 8B0D 38E64000 mov ecx, dword ptr [40E638] ; | 00401320 |. 51 push ecx ; |<%02d> => 0 00401321 |. 68 E8B04000 push 0040B0E8 ; |Format = "Log/%02d%02d%02d_% s.log" 00401326 |. 8D95 FCFEFFFF lea edx, dword ptr [ebp-104] ; | 0040132C |. 52 push edx ; |s 0040132D |. FF15 28A14000 call dword ptr [<&USER32.wsprintfA>] ; /wsprintfA 00401333 |. 83C4 18 add esp, 18 00401336 |. 833D A0E64000>cmp dword ptr [40E6A0], 0 0040133D |. 74 18 je short 00401357 0040133F |. A1 A0E64000 mov eax, dword ptr [40E6A0] 00401344 |. 50 push eax 00401345 |. E8 290C0000 call 00401F73 ;fclose() 0040134A |. 83C4 04 add esp, 4 0040134D |. C705 A0E64000>mov dword ptr [40E6A0], 0 00401357 |> 68 00B14000 push 0040B100 ; ASCII "a+t" 0040135C |. 8D8D FCFEFFFF lea ecx, dword ptr [ebp-104] 00401362 |. 51 push ecx 00401363 |. E8 F80B0000 call 00401F60 ;fopen() 00401368 |. 83C4 08 add esp, 8 0040136B |. A3 A0E64000 mov dword ptr [40E6A0], eax 00401370 |. 833D A0E64000>cmp dword ptr [40E6A0], 0 00401377 |. 75 0E jnz short 00401387 00401379 |. 68 04B14000 push 0040B104 ; ASCII "Log create file error!" 0040137E |. FF15 ACE74000 call XXXXXXXX ;这里就不用逆了,这段代码是从我逆的代码中截下来的。 00401384 |. 83C4 04 add esp, 4 00401387 |> 8D95 FCFEFFFF lea edx, dword ptr [ebp-104] 0040138D |. 52 push edx 0040138E |. 68 A4E64000 push 0040E6A4 00401393 |. E8 68090000 call 00401D00 ;strcpy() 00401398 |. 83C4 08 add esp, 8 0040139B |. 5F pop edi 0040139C |. 8BE5 mov esp, ebp 0040139E |. 5D pop ebp 0040139F /. C3 retn //---------------------------------------------------------------- 我也把我的逆的结果发出来,大家看看,实际这个需要耐心的练习的,实际有几个CALL大家没必要逆,我这里 就不贴出来了,实际有很多C函数是被解释成汇编,一块编译进程序的,我会在以后的内容中来介绍如何处理。 我已经把函数给贴出来了,我想大家逆的时候就不郁闷了吧~,逆这段代码,我们的方法有很多,我这里就贴两种 我最常用的方法: 1、汇编的逆法 //----------------------------------------------------------------- int year =0; int month=0; int day =0; DWORD file=NULL; char *type="a+t"; char *str="test"; char *format="Log//%02d%02d%02d_%s.log"; TCHAR buf[MAX_PATH]={0}; //------------------------------------------------------------------ void _callunk() { _asm{ push ebp mov ebp, esp sub esp, 0x10C push edi lea eax, dword ptr [ebp-0x108] push eax call time add esp, 4 lea ecx, dword ptr [ebp-0x108] push ecx call localtime add esp, 4 mov dword ptr [ebp-0x10C], eax mov edx, dword ptr [ebp-0x10C] mov eax, dword ptr [edx+0x14] add eax, 0x76C mov year, eax mov ecx, dword ptr [ebp-0x10C] mov edx, dword ptr [ecx+0x10] add edx, 1 mov month, edx mov eax, dword ptr [ebp-0x10C] mov ecx, dword ptr [eax+0x0C] mov day, ecx mov byte ptr [ebp-0x104], 0 mov ecx, 0x40 xor eax, eax lea edi, dword ptr [ebp-0x103] rep stos dword ptr es:[edi] stos word ptr es:[edi] stos byte ptr es:[edi] push str mov edx, day push edx mov eax, month push eax mov ecx, year push ecx push format lea edx, dword ptr [ebp-0x104] push edx call wsprintfA add esp, 0x18 cmp file, 0 je L050 mov eax, file push eax call fclose add esp, 4 mov file, 0 L050: push type lea ecx, dword ptr [ebp-0x104] push ecx call fopen add esp, 8 mov file, eax cmp file, 0 jnz L061 ;push 0040B104 ;call XXXXXXXX ;add esp, 4 L061: lea edx, dword ptr [ebp-104] push edx push buf call strcpy add esp, 8 pop edi mov esp, ebp pop ebp retn } } //--------------------------------------------------------------- 2、直接逆成C语句 //--------------------------------------------------------------- void LogDataSet() { time_t mtm; time(&mtm); tm *ptm=::localtime(&mtm); //按逆的原则来说,应该是全局变量。 int LogMYear=ptm->tm_year+1900; int LogMonth=ptm->tm_mon+1; int LogMDay =ptm->tm_mday; TCHAR str[MAX_PATH]={0}; wsprintf(str,"Log//%02d%02d%02d_% s.log",_logdata.LogMYear,_logdata.LogMonth,_logdata.LogMDay,szServerName); if(logfp!=NULL){fclose(logfp); logfp=NULL;} logfp=fopen(str,"a+t"); if(logfp==NULL) { //这里是那个CALL //LogAdd("Log create file error!"); } strcpy(m_szLogFileName,str); } //--------------------------------------------------------------- 以上只是参考性的代码,我没拿编译器试,直接按汇编把它写了出来,大家有兴趣的可以试的。今天说到这里 大家觉得怎么样呢~~~,逆向这个东西,很多的。。一时半时,还真难给大家很明确的说明,希望高手多指点。 -by easystudy
程序逆向技术之二变量和常量
最新推荐文章于 2024-08-04 23:07:00 发布