最新xdbg软件逆向实战!无壳&小白入门

已于 2024-02-28 20:51:21 修改
阅读量931 收藏 15
点赞数 9
文章标签: 开发语言 个人开发 安全
于 2024-02-28 20:50:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jockerboss/article/details/136354844
版权
本文讲述了作者使用技术手段分析并破解一款未加壳的软件,通过PEID查壳、Debug工具追踪、定位验证函数,最终成功绕过反调试并修改密码验证的过程。
摘要由CSDN通过智能技术生成

偶然一天网上冲浪,发现一款软件,秉承着学习的态度,我再次下载下来

还是老样子,先打开PEID进行查壳

没加壳,那我们就正常打开,看下具体什么情况

看来不是先出现登录界面了,是直接嵌入到软件内了

接下来就该寻找我们的下手点了

直接点击开始

直接闪退!!什么回显也没有

用debug虫子修复载入

ok,实锤是用易语言做的软件

可以考虑用按钮断点进行下一步的破解

那我直接载入到xdbg中 先F9运行一下,让他到程序领空后

ctrl+b 搜索  FF55FC(易语言的按钮call)

ok,双击跳转过去

直接F2下断点,然后F9运行

发现程序直接闪退(并没有断在这个位置)!

那我们只好用虫子修复提供给我们的按钮断点了....

ctrl+g  输入 4C0F7D

跳转过去后F2下断点,然后运行

但是,这个作者显然想到了这个方法,所以应该是在按钮位置加了反调试,导致我们还没有人为的点击按钮,程序就断下了

那我们就直接右键,查找字符串

看能不能得到一些有用的东西

我们发现了“密码被禁用”的字符,按照逻辑来说,他应该需要先去验证密码,再去判断是密码错误,还是密码不错在,还是密码被禁用

所以我们直接双击过去

验证的位置肯定是在出现结果的上面,所以我们就直接往上面找,看有没有什么大跳转

大跳转并没有找到,但是在上方我们发现了这种字样的字符串,这种很显然是在和服务器核对密码的发包操作,看来验证的位置就在附近,所以我们直接在发包上面的小跳转下断点(肯定需要先发包验证,在收包操作,所以验证大概率会在这个下面)

我们直接在这个小跳转上下一个小断点,看一下他发包后的操作

F9运行,点击开始,直接断在这个位置了

我们F8往下一步一步的找

当我们路过这个call的时候,出现提示了

那么八成没跑了,验证call的位置就在这里面,在这个call的后面加上注释,并在该位置下断点,

下次载入直接运行到该位置

我们重新载入一下(因为该软件验证失败会直接闪退)

运行到该位置,我们直接F7进入到这个call里面去看

刚进来运行到这个call就出现了密码不正确,那我们尝试把这个位置直接nop掉(在当前位置右键---二进制---用nop填充)

然后右键---补丁--修补文件

保存到同一目录下,然后打开软件,看能否正常运行

软件并没有闪退,模拟器也自动打开!

破解成功(如果修补完文件后,软件无法正常运行,那就是nop的位置不对,也就是找到的验证位置不正确,需要进一步的去寻找关键call)

该软件还是比较简单的验证,所以想到了出一个这个教程

Brown1.
关注
  • 9
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
软件逆向破解入门系列(1)—xdbg32/64的常见配置及功能窗口
Think88666的博客
07-01 3978
逆向,破解
x64dbg零基础使用教程
qq_43505188的博客
01-17 3088
我们刚才已经看到了,这个函数第一个参数是"Array *",表示指向了一个字节数组,这里的"unsigned char"等同于C#/VB.NET中的"byte",而不是C#/VB.NET中的"char"x64dbg没有加载选项,可以点"下载此模块的符号信息"(要加载所有符号文件可以点"下载所有模块的符号信息")右边显示了dll自身导出的函数和符号文件导出的函数,左键单击这里的函数,按下F2,是可以下断点的。不是打广告,是这个插件真的很好用,调试体验极佳(用作者的推荐设置)
x64dbg 64位逆向工具
04-28
x64dbg 强大的反汇编工具
xdbg最新实战&软件逆向&新手入门实战&软件破解&无壳破解
jockerboss的博客
03-12 807
xdbg最新实战&软件逆向&新手入门实战&软件破解&无壳破解
最新x64dbg软件-比OD更好的工具
中游鱼的博客
05-09 2万+
最新x64dbg软件-比OD更好的工具,原生支持中文界面和插件 x64dbg是一款专业的windows系统下的64位调试器,界面简洁、操作简单,与“OllyDbg”调试工具非常相似,如果之前使用过OllyDbg这款调试工具的朋友,可以直接上手使用。DBG是调试器的调试部分,它处理调试(使用TitanEngine)并将为GUI提供数据。GUI是调试器的图形部分,建立在Qt之上,主要是提供用户交互。通...
x64dbg使用心得
09-15 1011
使用ScyllaHide插件时 注意一下事项 xdbg64设置里启动 附加必须第一次断下在 系统断点 然后再启用ScyllaHide. 停止调试 脱离时。必须关闭ScyllaHide 否则会报异常 xdbg64无法脱离时 暂停 运行 即可脱离 转载于:https://www.cnblogs.com/kuangke/p/7525280.html...
【飞郁2022新课程】32 - xdbg的认识与设置
任鸟飞2217777779的博客
12-24 1781
xdbg的简介 Xllydbg(简称xdbg)和OD的用法和界面都是很像的,由于网络安全的发展,OD无法满足大部分人的需要了,更多的人习惯对xdbg进行处理,来达到正常调试的目的. 从官网下载一款xdbg,安装后双击下图的exe程序,可以打开32位的xdbg xdbg的初始设置 打开xdbg并随便附加一款程序,我们先来对xdbg进行一些设置,这些设置更多是针对64位的程序的 我们在选项中点选择选项,可以看到事件设置 这里的断点没有特殊需求可以全部取消, 然后在异常中添加区间为0-0xFFFFFFFF,保证不
x64dbg的基本使用
qq_61553520的博客
01-07 5214
x64dbg使用
xdbg软件逆向实战&无壳入门逆向实战
jockerboss的博客
02-26 924
最新xbg逆向实战经验,
新人福利——OllyICE和xllydbg的区别和基本用法
任鸟飞2217777779的博客
11-03 4777
OllyICE简称od,这是一款很古老的动态调试工具,在过去的许多年里,深受广大逆向程序员的喜好。但是由于些年的更新较少,并且在x64的版本上又没有大量的插件支持,所以程序员从使用od逐渐转为使用xllydbg,简称xdbg。当然在32位版本里,od的功能还是非常强大的,因为年头久,多种多样的插件也为其舔砖加瓦,甚至达到了几乎无可取代的地位。但是站在高处就要承受压力,随着名声越来越大,用户量越来越多,针对od的保护措施也层出不穷,这也给了xdbg一些机会。
x32dbg x64dbgl_V2019_05
09-22
而“commithash.txt”可能是开发团队为了版本控制和追踪代码变更而留下的版本信息,对于了解软件的更新历史有一定帮助。"pluginsdk"可能是一个插件开发包,允许开发者创建自定义的插件以扩展x32dbg或x64dbg的功能,...
x64_dbg:x64 dbg 前叉
07-03
x64_dbgX64 数据库x64_dbg笔记这是此存储库的新版本。 旧版本可以在找到。 另外,请在开始提交代码之前运行install.bat ,这可确保您的代码自动格式化为x64_dbg。编译有关编译x64_dbg的完整指南,请阅读。...
DBG调试器工具栏「DBG debugger toolbar」-crx插件
03-09
PHP调试和概要分析扩展。 一键式进行PHP调试和性能分析 支持语言:English (United States)
新手福利——x64逆向基础
任鸟飞2217777779的博客
02-20 4001
此时的寻址方式并不是以rsp为基地址来传递局部变量和参数,那么如果我们想知道一个rbp+xxxx是局部变量还是参数,就需要到头部去进行一个相对复杂的运算,比如图中的rcx来源rbp-59,虽然我们明知他是一个局部变量(因为前面是lea),但是我们也要到头部去算一算,-59-5F= -B8,在头部的地址是rsp-B8,也就是说他是一个局部变量。虽然在x64程序中,我们默认的前4个参数是rcx-r9,但是也有例外,如果我们传递的参数是浮点型的话,那么传入浮点数的参数则会使用xmm0-xmm3来代替。
BUUCTF 新年快乐(xdbg手动脱壳)
weixin_46287316的博客
11-14 2869
(博客仅个人理解,如有错误欢迎指正) -------壳的概述: 壳主要有压缩壳和加密壳两种:加壳软件在运行时运行外壳代码,对程序进行解压操作或解密操作,所以对于比较简单的壳,一般思路就是在运行完外壳操作后,找到源程序入口(即OEP–original entry pointer)将源程序通过工具dump出来为一个exe文件,然后再进行一些修复操作,比如说重建输入表。 BUUCTF新年快乐: 1.下载附件将exe文件拖入查壳软件进行分析,发现加了upx壳: 在不脱壳的情况下拖入ida进行分析的结果如图:函数明
断点的种类
LYSM
05-21 1523
CC 断点 又叫 int3/F2 断点,软件执行 int3 指令时程序就会暂停,int3 指令的机器码就是CC。设置完 CC 断点后,原本位置的机器码会被调试器改成 0xCC(并对原来的数据备份),程序执行到 0xCC 时程序就会暂停(调试器所为)。 所以也就是说如果在没有调试器的情况下如果我们程序里有 0xCC,程序也不会暂停。 优点:可以设置无数个 缺点:容易被检测到 内存断点 分为: (1)内存执行断点 把机器码当成程序执行时被断下。 (2)内存写入断点 改写这部分机器码时被断下。 (3)内存访问断点
汇编基础-1
weixin_48421613的博客
04-14 640
最近学习了一些汇编的基础,整理了一些笔记给大家,供大家参考。对于反病毒、逆向等方向而言,汇编确实是个好东西。 ​ ​废话不多说,今天带来的内容主要为以下四个方面 二进制与十六进制的简要关系 有符号位和无符号位的编码规则 运算 通用寄存器 进制 这里我们不去讲计算,因为每一种进制都是完美的,大家不应该去局限于进制的转换。这里简单的介绍一下二进制与十六进制的关系 ​ ​ 二进制逢二进一,十六进制则是十六进一,所以二进制与十六进制的关系图如下 数据宽度 这里需要给大家简单介绍一下数据宽
X64Dbg使用教程
热门推荐
南宫封清的博客
04-08 3万+
读取内存数据 字节/字/双字/四字/指针(ptr) ReadByte,Byte,byte(addr):从 addr 读取一个字节,并返回该值。 ReadWord,Word,word(addr):从 addr 读取一个字(2字节),并返回该值。 ReadDword,Dword,dword(addr):从 addr 读取双字(4字节),并返回该值。 ReadQword,Qword,qword(add...
xdbg_printf()
最新发布
03-15
xdbg_printf()是x32dbg和x64dbg调试器中的一个函数,用于在调试过程中输出调试信息。它的作用类似于C语言中的printf()函数,可以在调试器的输出窗口中显示指定的文本信息。xdbg_printf()函数的使用方法如下所示[^2]: ```c void xdbg_printf(const char* format, ...); ``` 其中,format是一个格式化字符串,用于指定输出的格式。在格式化字符串中,可以使用类似于printf()函数的格式化占位符,例如"%d"表示输出整数,"%s"表示输出字符串等。在调试过程中,可以通过在format字符串中插入变量的值来输出相应的调试信息。 下面是一个示例,演示了如何使用xdbg_printf()函数在x32dbg和x64dbg中输出调试信息: ```c #include <stdio.h> #include "windows.h" int main() { int num = 123; char str[] = "Hello World"; xdbg_printf("The value of num is: %d\n", num); xdbg_printf("The value of str is: %s\n", str); system("pause"); return 0; } ``` 运行以上代码后,在x32dbg或x64dbg的输出窗口中将显示以下内容: ``` The value of num is: 123 The value of str is: Hello World ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值