纯ida使用案例,逆向Acid_burn实验报告,超详细解析。

已于 2022-11-14 00:13:59 修改
阅读量1w 收藏 18
点赞数 4
分类专栏: 汇编 逆向 ida 文章标签: 网络安全 c++ windows 测试工具 学习
于 2022-11-08 17:04:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mackilo/article/details/127754335
版权
汇编 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
逆向
7 篇文章 6 订阅
订阅专栏
ida
2 篇文章 2 订阅
订阅专栏

本文涉及到了纯ida 使用案例,逆向Acid_burn报告,通过使用ida直接修改汇编指令,或修改机器码,将补丁应用到输入文件中,超详细解析。

如果有帮到大家,哥哥姐姐不要吝啬点个关注呗!后续会更新更多其他有关汇编,逆向和web的实操超详细解析。谢谢大家!

一、分析软件

当我们点击该程序的时候会弹出一个窗口,这个窗口需要进行去除。

b4b1acd52a2143ab8ee37bdeeb8714fc.png

点击确定之后进入程序的主窗口,发现有两个按钮根据按钮上的字符串判断出应该是需要输入序列号和名称的位置。

83542819205f4996927703bf5de5386e.png

 我们首先来看左下角的按钮,点击发现有两个输入框,分别是输入用户名和序列码,然后点击Check it Baby 就会发现程序进行检查,检查错误就会弹出窗口里面的内容是:Sorry ,the serial is incorect ! 这个位置也是一个要破的点。

 

3848ed0f0ee04ca187a15fa4f5f95a21.png

接下来我们进行返回来查看右边按钮的情况,点击之后发现有一个输入框,是提醒你输入序列码的,我们进行输入,然后点击Check it Baby,程序进行检查,检查失败会弹出下面窗口,内容为:Try Again!!,发现这也是一个我们需要破的一个窗口。

b08776c4539d42febfca6356344e5ec2.png

 

二、破弹窗

我们将Acid_burn可执行文件附加到IDA中。

baad39e93ba64c45bfe25a281cca13a8.png

直接默认选项即可

   1b86599c650d416593776ec850dc94fd.png

按空格切换视图

 

点击alt+t,查找字符串you have to kill me

66b4d115eb6c45458c4e2ef002aef557.png

 

点击该行代码出现详细代码。

 

23c4f47db63d4bd3a14f71faa2a060d3.png

791493dac80d4df49a52347df2530e51.png

这里点击General,然后

96affc50a0a54018a2e54c7b2ce813cf.png

全部打钩方便我们后续观察

 

我们找到弹窗代码后,用空指令替换该弹窗指令或者将第一行代码使用RETN指令替换,即可成功跳过弹窗。在执行到弹窗函数之前会做一个je判断,如果zf=1,则跳转;zf=0则不跳转,这里我们使用暴力破的方式直接jmp过来,跳过弹窗函数。

这里演示一直修改方式

修改第一行代码为retn指令

 

f0540e2af98d4c0a8b254d3ddca66afe.png

点击选中该地址,然后点击hex view

e69250c532ae40799b703b73dc4b492e.png

发现该指令对应的机器码,同理可知retn的机器码为C3

664f84b2827c4177a85fdaf6ee900222.png

右键选择edit,编辑

88e7628874594b338c2e6ed930c8d4dd.png

修改好后继续右键,应用修改

37e476dcd6294e169c80f01885e0107f.png

最后点击Edit > Patch program > Apply pathes to input file > OK

433bd1e05c7e4caca09097d533461ef9.png

将补丁应用到输入文件中

d72f129e93434392a14cb5f02466310b.png

这里推荐创建备份

2d203ea292f84efab3f61b2da5e1d2c3.png

打开新保存的程序,已经没有弹窗了

97fc7dc110cd440ebea629ca29fec95b.png

 

三、破登录入口

接下来进行登录的,当序列号输入错误时,弹出对话框”Sorry, The serial is incorrect"

这次我们换个方法,按Shift+F12 跳转到字符串窗口

262da02c2c50494da1a74c61b49cd3ca.png

可以很简单的找到他,双击跳转

a02d40f0b57749229d2f1ba4577085fa.png

按空格切换视图后有助于我们分析

3e56aaa3b51a4587b43830e931464652.png

如果上一个call函数,执行后ZF=1,不跳转;ZF=0,则跳转。

这里呢,我们采用暴力破的方式,这里呢不能让指令跳转,所以我们修改jnz指令,破坏它的判断条件,改为jz。或者用nop填充他,使其失效。这里我们继续演示和上面不一样的方法。

e448172d3840419a8962ab701b65dbf3.png

点击Edit > Patch program > Assemble

47822196e997407c92d4a4721b3d35d0.png

6e388d3913fd4631955c5be09a1d4a72.png

1f2a3ccdfbfc41b88b012295f7b701e5.png

然后点击Edit > Patch program > Apply pathes to input file > OK

修改程序

51ac0adcc142498191c832c95d772a4e.png

657a249d32f84fdeb03fab082ed74298.png

运行程序

4cf5dbb498bd4827b6914869c82eaba7.png

成功!

四、破序列号

c461e7b7170340a58bc9fd527f37df94.png

根据上述操作,找到关键词Try Again!!,双击

bfc2ce93c9e24fee9824245a4231422b.png

双击黄色部分,找到被引用的地方

6299f4fa0b37425492d9eb3b3da26b35.png

dff6a026124146588c357e888daad801.png

和上一个一样的关键词,咱们进行同样的操作。

1419d98d20b24572b9a7a0cf8d7641e2.png

73ae7b3fb6c54e808bb06f6ea9e18503.png成功!

 

  

 

 

mackilo
关注
  • 4
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
内容概要:(ppt,源码,程序)密码是idapro 1.逆向工程介绍,IDA页面简单介绍,开发和逆向的对比 2.如何定位MAIN函数,修改逻辑跳转指令案例 3.加密编码算法 包括base64变表编码和简单异或加密解密案例并带有加解密源码 4.动态调试 包括动态调试解密案例 5.脱壳处理 包括解压壳脱壳解密案例 6.附带4个解密案例程序,包括三个exe文件和一个linux程序的逆向实操 环境: IDA pro7.6, linux, vc++ 适合人群: 具备一定编程基础,作业时间不够的学生,ida初学者 阅读建议: IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
OllyDBG 破解crackme160第一个Acid_burn详细解析
weixin_56435783的博客
11-09 1117
OllyDBG 破解crackme160第一个Acid_burn详细解析
恶意代码分析实战--IDA pro的使用及课后练习l
zyer
01-29 2163
1.对分析有用的窗口 函数窗口 Functions window 位于左半部分 列举可执行文件中的所有函数,可以在众多函数中过滤出想要的函数。这个窗口也对每一个函数关联了一些标志(F L S等),这其中最有用的是L,指明是库函数。 字符串窗口 Strings window (Shift + F12) 显示所有的字符串,可以右键Setup来修改它的属性 导入表窗口 .
Crackme001-Acid_burn(IDA版本)
weixin_60363168的博客
11-08 453
Crackme001-Acid_burn(IDA版本)
IDA详细使用教程,适合逆向新手的实验报告
最新发布
xnxqwzy的博客
02-20 2389
IDA详细使用教程,原创适合逆向新手的实验报告,关于快捷键,界面展示等的介绍,推荐大家结合另一篇ida实操,文章食用。切实感受ida的魅力与强大。一、软件介绍IDA全称是交互式反汇编器专业版(Interactive Disassembler Professional),人们其简称为IDAIDA pro是业界最成熟、先进的反汇编工具之一,是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器!IDA
IDA.rar_IDA的_ida_汇编_逆向_閫嗗悜
09-19
**IDA——强大的逆向工程工具** IDA(Interactive Disassembler Pro)是一款广泛应用于逆向工程领域的专业软件,它能够帮助用户分析二进制代码,理解程序的内部运作机制,尤其适用于汇编语言的反汇编和调试。在...
IDA.rar_IDA静态脱壳_ida_脱壳_逆向
09-20
刚接触逆向的,可能不知道静态脱壳是怎么回事,KANXUE建议我把文章发出来,带动一下学习气氛。。于是文章就发出来了。。 我的文章由于只是IDA教程,只是用IDC将加壳的PE文件在IDB文件上脱壳,并修复API符号,到能...
IDA_逆向中_如何识别COM组件
09-21
在一个应用程序或脚本使用一个API调用,如: Set objWindowsInstaller = CreateObject("WindowsInstaller.Installer") 操作系统将首先在Windows注册表的ProgID查找,然后交叉引用的ProgID及其相关的classid将在一...
反编译工具IDA Freeware 7.6以及Qt5 程序初步逆向分析+解析脚本
01-09
《反编译与逆向分析:IDA Freeware 7.6与Qt5程序解析》 在信息安全和软件调试领域,逆向工程是一项重要的技术。它允许我们理解原本封闭的二进制代码,揭示其内部工作机制。本文将深入探讨反编译工具IDA Freeware ...
软件安全分析与应用实验报告
01-05
软件安全分析与应用实验报告,包含靶场练习,安装报告,odbug的使用
IDA结合Acid_burn撰写破解报告
dkop66的博客
11-17 543
IDA结合Acid_burn撰写破解报告
加密与解密 调试篇 静态分析技术 (三)枚举/IDC/插件
m0_64180167的博客
06-25 581
这里我们能发现 sub_401080 是对 sub_401060的解密。可以让IDA在一系列编译器的标准库文件里自动找出调用的函数,使反汇编更加清晰。因为是有规律的 所以我们可以使用枚举类型来表示这个数字。IDC原本就是一种类C语言的脚本控制器、语法和C语言类似。选中 401060的代码 然后U 然后重新选中 按 C。而IDA中FLIRT却可以正确标记所调用的库函数名称。在IDA的反汇编中却成为了没有意义的数字。IDC的脚本中都一条包含ida.idc语句。IDA的原始嵌入脚本语言叫做IDC。
2020-09-08
weixin_41576919的博客
09-08 873
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 @[TOC](2020-09-08) 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 #1 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 #2 二、使用步骤 1.引入库 代..
CrackMe破解系列第一番Acid_burn
dfdhxb995397的博客
11-07 586
本文作者:gncao 楼主目前是做渗透测试的,在看一些大神的文章时,有时会看到一些关于逆向方面的知识,无奈楼主不懂逆向。但是身为搞技术的嘛,不懂就学,学不懂就再学,所以就在前些日子看了一些基础的汇编视频入了个门,然后在看汇编的时候又对逆向破解比较感兴趣(有成就感),所以又看了破解相关的视频。 题外话(废话):但是楼主归根结底还是要做web安全的,还是要回到自己的路子上的,但是又怕时间...
20194307肖江宇exp-1
MYRLY的博客
03-17 3130
20194307肖江《网络对抗技术》 exp1 逆向与Bof基础
Crackme-01 Acid_burn破解
m0_52332592的博客
11-11 720
本篇文章使用OD和PEiD进行对crackme小程序的破解
网络对抗实验报告 | 逆向与Bof基础实验报告
cyuyan3hao的博客
03-26 1209
exp1 逆向与Bof基础实验报告 20192213刘子谦 1 实验要求概述 一句话,通过三种方法,在linux(kali)环境中,尝试隐藏的执行getshell函数,或者其他自定义代码段 2 实验方案 2.1 NOP, JNE, JE, JMP, CMP汇编指令的机器码 NOP:NOP指令即“空指令”。执行到NOP指令时,CPU什么也不做,仅仅当做一个指令执行过去并继续执行NOP后面的一条指令。(机器码:90),实验中我们构造滑行区就是用的这个机器命令x90。 JNE:条件转移指令,如果不相等则跳转。(
IDA修改exe并保存运行
热门推荐
Onlyone_1314的博客
09-20 1万+
IDA修改hello.exe,使得程序hello.exe的输出由“Hello World!”改为“Reverse Me!” a)IDA打开hello.exe b)查看String Windows 查找到“hello world!” c) 单击鼠标右键-Graph View,切换为Graph View,展现各个结构之间的关系。 d)将判断指令JZ改为JNZ,这样当输入为true时,程序将跳转输出字符串Reserve Me! 需要设置IDA显示16进制机器码,即图中步骤2、3 之后IDA就会显示16
ipa在win10使用IDA检测是否开启 ___stack_chk_fail 以及 ___stack_chk_guard
06-08
Windows 应用程序中,___stack_chk_fail 和 ___stack_chk_guard 都是 GCC 编译器的安全特性。___stack_chk_guard 是一个随机值,它被插入到应用程序的栈中,用于检测缓冲区溢出攻击。而 ___stack_chk_fail 是一个函数,它在应用程序检测到缓冲区溢出攻击时被调用。 下面是使用 IDA Pro 工具检测 ___stack_chk_fail 和 ___stack_chk_guard 的步骤: 1. 打开 IDA Pro 工具,然后打开你想要分析的应用程序。 2. 在 IDA Pro 中,选择“View”菜单,然后选择“Open subviews” -> “Imports”。 3. 在“Imports”视图中,找到“__stack_chk_fail”和“__stack_chk_guard”函数。如果这些函数被导入到应用程序中,那么该应用程序使用了 GCC 编译器的安全特性。 4. 如果这些函数没有被导入到应用程序中,则表示该应用程序未使用 GCC 编译器的安全特性。 需要注意的是,IDA Pro 是一款非常强大的反汇编工具,需要一定的技术基础和经验才能正确使用。如果你不确定如何使用 IDA Pro 来检测 ___stack_chk_fail 和 ___stack_chk_guard,请参考 IDA Pro 的官方文档或者参加相关培训课程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值