记一次简单的不入门逆向
前段时间学习汇编,但最近苦于没流量了,于是写了几个简单的逆向来分析下
由于目标exe是一个x64下,od不能用,所以我们选择使用的工具是x64dbg
目标软件如下:
这个程序很简单,输入一个pass (这里我们不考虑溢出问题),如果输入内容和"123456"一致那么就认为密码正确,否则输出密码错误
修改前运行如下:
开始修改
-
将目标程序拖入x64dbg
-
点击运行寻找程序入口
push,mov,sub 浓浓的main的味道,并根据右侧的注释我们可以得知我们已经到达了main函数所在的位置
-
分析
我们可以看到这个代码块中有一个比较,比较后有两个输出,一个跳转,那么我们基本可以推出,这里会根据比较结果的不同输出不同的内容,如果比较相同,输出内存404016处的内容,如果比较不同,输出40401F中的内容,那么我们来查看这两个内存状态.
如下图:
此图可知,“密码正确"在404016处,那么位于404016后面的40401F显而易见就是"密码错误”,那么我们现在就知道了,如果匹配成功,那么输出"密码正确",如果匹配不成功输出"密码错误". -
修改
我在此处修改跳转指令,如果不相同,我们跳到输出"密码正确"处,其余地方不做修改,如此我们便达到了不论匹配是否正确都输出"密码正确".
-
导出新的exe文件
6. 尝试运行
小结
虽然是一次简单的逆向,但还是觉得把汇编,操作系统分配内存等内容结合了起来,当然,对我这样的初学者而言,这个逆向也有一点困难之处,即如何找到main函数的入口,我尝试了比较久,最后是直接运行,运行中找到的main函数痛苦ing