一. 二进制文件概述
1.1 PE文件格式
- PE文件格式把可执行文件分成若干个数据节(section),分别如下:
- .text: 由编译器产生,存放着二进制的机器代码,也是反汇编和调试的对象
- .data: 初始化的数据块,如宏定义、全局变量、静态变量等
- .idata: 可执行文件所使用的动态链接库等外来函数与文件的信息
- .rsrc: 存放程序的资源,如图标、菜单等
- 除上以外,还可能有: .reloc、.edata、.tls、.rdata。
如果可执行文件经过了"加壳"处理,PE的节信息将变得非常"古怪"。
1.2 虚拟内存
Windows的内存被分为两个层面:物理内存和虚拟内存。在用户模式下看到的内存均为虚拟内存。
进程所拥有的虚拟内存中包含了程序运行时所必须的资源,比如代码、栈空间、堆空间、资源区、动态链接库等。
1.3 PE文件与虚拟内存之间的映射
1.3.1 文件偏移地址(File Offset)
数据在PE文件中的地址叫文件偏移地址(有时叫文件地址更加准确)。这是文件在磁盘上存放时相对于文件开头的偏移。
1.3.2 装载基址(Image Base)
PE装入内存时的基地址。默认情况下,EXE文件在内存中的基地址是0x00400000,DLL文件0x10000000。这些位置可以通过修改编译选项更改。
1.3.3. 虚拟内存地址(Virtual Address, VA)
PE文件中的指令被装入内存后的地址
1.3.4. 相对虚拟地址(Relative Virtual Address, RVA)
相对虚拟地址是内存地址相对于映射基址的偏移量
1.3.5. 节偏移
由存储单位差异引起的节基址差。
1.3.6. 必记公式
-
VA = Image Base + RVA
-
文件偏移地址 = 虚拟内存地址(VA)−装载基址(Image Base)−节偏移
= RVA -节偏移
二 必备工具
2.1 书中要求的必备工具
-
LordPE: 可以方便地查看 PE 文件中的节信息,也可以方便地换算虚拟内存地址,文件偏移地址和 RVA。
-
OllyDbg: 一个集成了反汇编分析、十六进制编辑、动态调试等多种功能于一身的功能强
大的调试器。
| 快捷键 | 功能 | 说明 |
|---|---|---|
| F8 | 单步执行 | 遇到函数条用指令不会跟进(Step over) |
| F7 | 单步执行 | 遇到函数调用指令跟入(Step in) |
| F2 | 设置断点 | 在一条指令上按 F2 键将设置断点,再按一次将取消断点 |
| F4 | 执行到当前光标所选中的指令 | 在遇到循环时可以方便地用 F4 键执行到循环结束后的指令 |
| F9 | 运行程序 | 运行程序直到遇到断点 |
| Ctrl+G | 查看任意位置的数据 | 这个功能键非常有用,在指令区、栈区、内存区都可以使用,能方便地查看任意位置的指令和数据 |
- SoftICE: 工作在 ring0 级,所以可调试驱动等内核对象。会独占 CPU,中断一切进程和消息。慎用!!!反正我是没敢装这个软件~~
- WinDbg: 它可以调试内核,但却不像 SoftICE 那么暴力,总是中断操作系统;它保留了一部分 Visual Studio 中常用的快捷按钮,也保留了和 SoftICE 一样丰富的调试命令。这个我装了~
ctrl + 左键 打开WinDbg常用命令
- IDA Pro: 是当今最强大的反汇编软件
| 快捷键 | 功能 |
|---|---|
| ; | 为当前指令添加全文交叉引用的注释 |
| n | 定义或修改名称,通常用来标注函数名 |
| g | 跳转到任意地方观察代码 |
| Esc | 返回到跳转前的位置 |
| D | 分别按字节、字(双字节)、双字(四字节)的形式显示数据 |
| A | 按照 ASCII 形式显示数据 |
-
UltraEdit: 二进制编辑器, 用它可以方便地完成机器代码的修改或者 shellcode的编辑。除了这个以外还有Hex Workshop、WinHex和010 editor,个人觉得UE是比较符合当前审美的(有点颜值要求~),我安装了两个,分别是UE和010 Editor
-
Python解释器,这里书中安装的是Python2,由于本人觉得看书应该有所进步,所以就换成了Python3,后面如果不行再换成Python2吧~
2.2 个人环境
| 环境名 | 环境版本 |
|---|---|
| 系统环境 | Windows10 Professional 64位(内部版本21H2) |
| IDE | Visual Studio Professional 2017 |
| 调试器 | OllyDbg 1.10、WinDbg、x64Dbg |
| 反编译器 | IDA Pro 7.6 |
| 编辑器 | UltraEdit 28、010 Editor 12.0.1 |
三. Crack小实验
3.1 实验源码(C语言版哦)
#include <stdio.h>
#define PASSWORD "1234567"
int verify_password(char *password)
{
int authenticated;
// 这里进行比较,用于比较两个字符串并根据比较结果返回整数。
// 若前后字符串相等,返回零;若前一个小于后一个,返回负数;
// 若前一个大于后一个,返回正数。
authenticated = strcmp(password, PASSWORD);
return authenticated;
}
int main()
{
int valid_flag = 0;
char password[1024];
while (1)
{
printf("请输入密码: ");
scanf("%s", password);
valid_flag = verify_password(password);
if (valid_flag)
{
printf("密码错误!\n");
}
else
{
printf("密码正确!\n");
break;
}
}
return 0;
}
3.2 实验源码分析与破解思路
上面代码的逻辑是程序运行后提示用户输入密码,用户输入密码后调用函数进行比较,并将比较的值返回,再用此值进行判断,错误再次执行流程,正确跳出循环并结束程序。程序流程图如下:
从流程图可以看出结束程序的关键在判断的地方,如果能改变if语句,那么即使输入的密码是错误的,也能通过验证,这种方法被叫做软件破解,也称为爆破。
3.3 实验步骤
步骤一: 编写代码并生成
首先你需要在VS2017中敲入第一节中的实验源码,如果直接生成会导致错误,这时候你在VS2017中改下面的设置:
-
首先将你的build版本从Debug改为Release, 保持x86即可;
-
然后依次点击"项目" --> “‘你的项目名’ 属性” --> “C/C++” --> “优化”, 进入后改成如下图所示的样子:
-
其次点击"C/C++" --> “代码生成”, 进入后改成如下图所示的样子:
-
最后F7或者手动点击生成代码,待成功后在项目文件中将得到一个Crack.exe,当然名字和我可能不一样哦~
步骤二: IDA分析
打开IDA,并使用IDA打开步骤一生成的.exe文件,他将自动识别main函数,如下图:
此时他自动跳到了main函数处,如果想看反编译的代码可以在右边显示图像的窗口中右键选择"Text view"即可调转到反编译的界面。如下图:
同时在右侧也会有它自动分析出来的函数,一般而言他会在函数前面加上下划线。
现在开始分析下这个反编译出来的汇编代码吧,首先需要知道的是***call命令,在调用函数的时候就会执行call命令,不区分调用的函数是否为内置函数还是自定义函数***,仔细分析可以找到以下几个有用的call指令地方:
这五个call刚好对应了代码中的几个调用函数的地方,根据编写的逻辑知道if语句肯定是位于调用_verify_password函数之后的,那么再把上面的代码缩减一下,如下图:
注意到上面的两个红框中的内容是否大致一样?所以他们绝对不是if语句反编译出来的汇编代码,除此以外只剩四个指令,add指令表示加;mov指令类似C语言中的赋值符,即“=”;cmp指令表示比较,通过排除法就能知道***jz指令就是所谓的判断指令,该指令的运行方式为前面的结果为0则跳转,反之不会跳转(不跳转的结果就是执行jz指令的后一条语句)***,而两个红框就是它的分支。知道了这一点之后,这个程序也就没有分析的必要了。
Tips: 一个更好的找判断指令的方法
直接看最初的图形视图,会发现在下面其实就相当于将程序流程图画出来了,此处不再分析。
不管怎么分析,最终我们需要知道并记住的是在该程序中jz指令对应的虚拟内存地址(VA)。我这里是0x00401070,如下图:
步骤三: 使用OllyDbg破解程序
关闭IDA,如果你是在IDA中做的笔记请保存,否则如果想我一样在Typora中做的笔记可以直接不保存(对于大型软件的分析建议保存)。
打开OllyDbg,依次点击"文件" --> “打开"选择.exe文件并打开,如下图:
可以看到这时候的地址只有后四位是一样的了,前面都不一样了,这是为啥呢?这是因为在生成程序的时候选择了随机基址,使用VS打开源程序,将"属性” --> “链接器” --> "高级"中的随机基址设置为否,再次生成,之后用OllyDbg打开,这次和IDA中一样咯,如下图:
按Ctrl + G输入在IDA中找到的if语句地址,即可调转到目的地址。
双击汇编代码"je short xxx",修改前面的je为jne,之后点击"汇编",如下图:
仔细观察前面的机器码,之前是74 0F,在改完之后变成了75 0F,这一字之差即可改变整个程序走向,点击OllyDbg工具栏的"三角"按钮运行程序。你会发现此时程序完全不按照原先的逻辑运行了,输入正确的密码反而提示错误,输入错误的密码反而提示正确。如下图:
这是因为JNE指令在起作用,JNE指令恰恰与JE指令相反,如果上一步是0则不跳转,反之跳转。现在只是在OllyDbg上实现了这个功能,那么如何直接修改程序本身呢?这就需要用到神器UltraEdit(以后简称UE)。
步骤四: 从根本破解程序
首先使用UE打开.exe程序,当然在此之前也得关闭OllyDbg哦,如下图所示:
从步骤三可以知道,需要将一个74 0F改成75 0F,但是在这个里面想要找到这两个可不太容易~所以需要借助前面的公式来计算文件偏移地址,而计算它需要知道虚拟内存地址(VA)、转载基址(Image Base)、节偏移。
这里我们知道的有VA = 0x00401070,Image Base = 0x00400000,最后的节偏移地址需要使用LordPE进行查看,使用LordPE打开.exe文件,如下图:
节偏移 = 节在内存中的偏移量(VOffset) - 节在文件中的偏移量(ROffset)
= 0x00001000 - 0x00000400
= 0x00000C00
Tips: 这个地方需要注意的是因为在IDA中已经知道需要修改的if语句指令所在的节在.text中,所以才使用上图中"Section Table"窗口中的第一个VOffset和ROffset,请根据实际情况进行更改
直到此时我们终于凑齐了所有的数据,现在计算出结果:
文件偏移地址 = 虚拟内存地址(VA)−装载基址(Image Base)−节偏移
= 0x00401070 - 0x00400000 - (0x00001000 - 0x00000400)
= 0x00401070 - 0x00400000 - 0x00000C00
= 0x00000470
最后用UE打开.exe文件,按Ctrl + G输入上面计算出来的结果地址转到指定地点,如下图:
将上面的74改成75吧!之后保存,现在再次运行程序,如下图:
成功!
四. 总结
还记得自己两年前左右刚开始看这本书时自我膨胀,把环境搭建得特别新潮,结果愣是没复现出现这个,百度多时未果,也是一度想要放弃。现在慢慢学习之后也终于完成了当年的那个夙愿,终于把环境升级了,哈哈哈,如果想要详细的讲解可以去百度搜一搜关键词"SEVEN 漏洞",应该还能搜到这个小实验的详细讲解~
还请大佬们不喜勿喷,若有错误请指点~
520
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
