一、工具
1. 壳鉴别工具:PEiD
2. 静态反汇编工具:IDA
3. 动态反汇编工具:OllyDBG
二、学习资料
1. 入门:《加解密入门基础知识》 http://bbs.pediy.com/showthread.php?t=31840
2. 论坛:看雪论坛 http://www.pediy.com/
3. 书籍:《加密与解密》
三、总体思路
1. 先运行一下,有帮助文档的最好先看一下帮助,熟悉一下软件的使用方法,
2. 再看看注册的方式
1)如果是序列号方式(用户名+序列号)可以先输个假的来试一下,看看有什么反应,也给我们破解留下一些有用的线索。
2)如果没有输入注册码的地方,要考虑一下是不是读取注册表或 Key 文件(一般称 keyfile,就是程序读取一个文件中的内容来判断是否注册),这些可以用其它工具来辅助分析。
如果这些都不是,原程序只是一个功能不全的试用版,那要注册为正式版本就要自己来写代码完善了。
3. 还要用查壳的工具来查一下程序是否加了壳
1)若没壳的话看看程序是什么编译器编的,如 VC、Delphi、VB 等。
2)有壳的话我们要尽量脱了壳后再来用 OllyDBG 调试。
4. OD调试
四、常见保护方式
1. 用户名和注册码
2. 注册表
3. 读取key文件
五、切入点
1. 先查看下有没有用的字符串,可用智能搜索或错误提示字符串
2. 查找一下函数,看有没有调用一些破解中常见的api函数,快捷键Ctrl+N打开函数列表,bp 函数名设置断点。
3. 内存断点法
4. 消息断点及 RUN 跟踪
5. 补丁或爆破:通过屏蔽程序的某些功能或改变程序流程,使程序的保护方式失效。
六、快捷键
F2:设置断点,再按一次F2键则会删除断点。
F9:运行。按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。
F8:单步步过。每按一次这个键执行一条反汇编窗口中的一条指令,遇到 CALL 、LOOP等子程序不进入其代码。
F7:单步步入。功能同单步步过(F8)类似,区别是遇到 CALL、LOOP 等子程序时会进入其中,进入后首先会停留在子程序的第一条指令上。
Ctrl + N:显示函数窗口,包括当前函数用到的一些Win32 API函数。
F4:运行到选定位置。作用就是直接运行到光标所在位置处暂停。
CTR+F9:执行到返回。当位于某个CALL中,这时想反悔到调用这个CALL的地方时用它,即从子函数返回到主函数。
ALT+F9:执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空(只对系统领空是DLL的API函数时有效,如果是系统代码中则无法返回)。
如何从系统代码段返回到用户代码段?
对代码段下内存断点。按“Alt+M”打开内存窗口,对当前应用程序(Owner字段值为当前应用程序)的.text区块下内存访问断点(按F2或右击选择在访问上设置断点),按F9运行即可返回到程序领空。注意:若返回处正好是消息循环处,需要重复执行上述下内存断点的步骤。
如何快速回到当前领空?(注意,不能实现从系统代码段返回用户代码段)
在OllyDbg中有时查看代码可能翻页到其他地方,如想快速回到当前CPU所在的指令上,可以双击寄存器面板中的EIP或单击C窗口按钮。
ALT + B:打开断点窗口
ALT + M:打开内存窗口
Ctrl + A:分析代码功能用的是递归行进算法
七、常识
1. 一般函数调用后的返回值都保存在 EAX 中
2. 常见的 stdcall 函数调用压栈顺序是从后往前
3. 系统存储的原则为“高高低低”,即低字节存放在地址较低的字节单元中,高字节存放在地址较高的字节单元中。如下图所示,内存地址 40339CH 到 40339FH 分别按顺序存放的是 47 41 4D 45
而取地址 40339C 的双字单元中的内容时,我们应该得到的是“454D4147”,即由高字节到低字节顺序的值。所以 MOV EBX,DWORD PTR DS:[ESI] 这条指令,就是把从地址 40339C 开始处的值送到 EBX,即EBX的值为“454D4147”。
4. 内存断点只在当前调试的进程中有效即重新载入后失效。且内存断点每一时刻只能有一个,不能设置多个内存断点。
5. LEA ECX,DWORD PTR DS:[ECX+ECX*4] ; 把前面运算后保存在ECX中的结果乘5再送到ECX
6. 命令行常用命令
1)?表达式:计算表达式的值;
2)D(DB, DW, DD)表达式:查看内存数据;如,D 401000 , D esp+ c
3)bp 表达式 [, 条件式]:设置断点; 如,bp GetDlgItemTextA。
4)bp与bpx的区别:bp是对API模块函数下断(将直接中断在API函数内部),bpx是对程序模块调用API下断(断在程序领空调用API函数的语句上)。
5)hr XXXXXXXX 设置硬件访问断点,hw XXXXXXXX 设置硬件写断点。
7. 一般,编译器会将初始化变量放在数据区块(.data区块)中;对于注册码包含在程序中的应用程序,可直接查看.data区获取注册码。
8. 对于先关闭对话框才开始验证序列号的应用程序,要在系统领空里先走一段才能回到应用程序领空。
9. 从字符串中读取格式化数据:int sscanf(const char *s, const char *format, ...);例如,sscanf((szSerial+i*2),"%02X",(szBuffer+i))每两位为一个十六进制数存储到szBuffer中,不够时补0。
10. 确定某行代码在内存何处被解压的方法:
1) 在该行所在的地址处设内存写断点或硬件写断点。
11. 查看某个函数参数的方法
1)用该函数设断;
2)在数据窗口中即可查看该函数的参数。
1143
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
