反汇编修改Hello World程序

最新推荐文章于 2023-07-08 13:23:12 发布
最新推荐文章于 2023-07-08 13:23:12 发布
阅读量1.3k 收藏 8
点赞数
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39249347/article/details/107874731
版权

找到Hello World程序的main函数

  1. 编写HelloWorld.exe程序
#include "windows.h"
#include "tchar.h"

int _tmain(int argc, TCHAR *argv[])
{
	MessageBox(NULL, 
			   L"Hello World!", 
			   L"www.reversecore.com", 
			   MB_OK);
	
	return 0;
}
  1. 使用OllyDbg打开HelloWorld.exe程序。
    在这里插入图片描述
  • 调试器停止的地点即为Hello World.exe执行的起始地址(0x004011A0),它是一段EP代码,其中有CALL与JMP两个指令,即先调用0x0040270C地址处的函数,再跳转值(JMP)0x0040104F地址处。
  1. OllyDbg基本指令的使用方法
  • Ctrl+F2->重新开始调试
  • F7->执行一句OP code,若遇到call指令,将进入函数代码内部
  • F8->执行一句OP code,若遇到call指令,则执行函数自身,不跟随进入
  • Ctrl+F9->一直再函数代码内部运行,知道遇到RETN命令,跳出函数。
  1. 执行F7指令,进入被调用函数内部。
    在这里插入图片描述
  • 在注释部分红色字体就是被调用的API函数名称,它们并不是我们在源代码中调用的函数,这些函数是Visual C++为了保证程序正常运行而自行添加的Visual C++启动函数。
  • 4027A1地址处有一条RETN指令,它用于返回到函数调用者的下一条指令,一般是被调用函数的最后一句,即返回4011A5地址处。
  • 我们在RETN语句处下一个断点,然后执行F9,程序会到断点处停下来,然后单步F7执行指令返回。
  1. 执行4011A5地址处的跳转命令JMP 0040104F,跳转至0040104F地址处。
    在这里插入图片描述
  • 上述有很多代码产生了很多函数调用,碰到一个函数调用我们进去查看是否是我们要找的main函数,如果不是返回继续查找。
    在这里插入图片描述
    在这里插入图片描述
  • 在401000函数内部出现了调用MessageBoxW()API的代码,该API函数的参数为“www.reversecore.com”与“hello world”两个字符串,与源代码内容一致,由此可以断定,401000函数就是我们一致查找的main()函数。

使用打补丁方式修改Hello World字符串

  1. 代码逆向分析中,打补丁操作是不可或缺的重要主题,利用打补丁技术不仅可以修复已有程序中的Bug,还可以向程序中添加新功能,打补丁的对象可以是文件、内存,还可以是程序的代码、数据等。
  2. 我们将上述Hello World字符串更改为其他字符串,我们将main函数的起始地址401000处设置断点,然后F9执行程序,使程序停在这里。
  3. 修改字符串的两种办法。
  • 直接修改字符串的缓冲区。
    在这里插入图片描述

    1. MessageBox函数的字符串参数“Hello World”保存在地址4092A0处的一段缓冲区中,只要修改这段内容,就可以修改MessageBox显示出的字符串,在Dump窗口中按Ctrl+G快捷键执行Go to命令,在弹出窗口中输入4092A0进入字符串缓冲区,然后使用鼠标选择4092A0地址处的字符串,按Ctrl+E快捷键打开编辑窗口。
      在这里插入图片描述

    2. 在弹出的编辑窗口的UNICODE文本框中输入“Hello Reversing”字符串,修改只能在HEX文本框中进行,若新字符串的长度大于原有字符串,执行覆盖操作时可能损坏字符串后面的数据,所以一定要小心,特别时字符串后面又非常重要的数据时,覆盖操作导致数据损坏就会引发程序内存引用错误。

    3. 返回到Main函数中,查看结果。
      在这里插入图片描述

    4. 虽然指令不变,但原字符串已经被新字符串取代,用作MessageBox()函数的参数,并且参数地址仍为4092A0,只是该地址空间中的内容发送了改变,按F9键运行程序。
      在这里插入图片描述

    5. 这种方法的优点是使用起来十分简单,但缺点是它对新字符串的长度有限制,新字符串的长度不应该比原来字符串长。

    6. 上面的调试中,我们通过修改字符串缓冲区更改了程序显示的消息内容,但是这种更改只是暂时的,终止调试后,程序中的原字符串仍然没有改变,如果想要把这种更改保存下来,就要把更改后的程序另保存一个可执行文件。

    7. 在Dump窗口中,选中更改后的Hello Reversing字符串,点击鼠标右键,在弹出的菜单中选择Copy to executable file菜单。
      在这里插入图片描述

    8. 在弹出的菜单中再次单击鼠标右键,选择Save file菜单,在对话框种输入程序的名字,即可完成保存。

  • 在其他内存区域生成新字符串并传递给消息函数。

    1. 向MessageBox()函数传递字符串参数时,传递的是字符串所在区域的首地址,如果该变了字符串地址,消息框就会显示出变更后的字符串,在内存的某个区域新建一个长字符串,并把新字符串的首地址传递给MessageBox()函数,可以认为传递的是完全不同的字符串地址。

    2. 我们在方法1种修改字符串的地址为4092A0,再次在Dump窗口查看这部分,然后向下拖动滚动条,可以看到在末尾由NULL填充结束,最好将此处用作字符串缓冲区并传递给MessageBox函数,用快捷键Ctrl+E向结尾部分409F50开始写入字符串Hello Reversing World!!即可。
      在这里插入图片描述

    3. 应用程序被加载到内存时有一个最小的内存分配大小,一般为1000,即使程序运行时只占用100内存,它被加载到内存时仍然会分到1000左右的内存,这些内存一部分被程序占用,其余部分为空余区域,全部被填充为NULL。

    4. 新建了缓冲区后,接下来就应该把新的缓冲区地址(409F50)作为参数传递给MessageBox()函数,为此,我们需要在代码窗口种使用汇编命令修改代码,将光标置于地址401007处,按空格键打开Assemble窗口,然后输入PUSH 409F50.
      在这里插入图片描述

    5. 在OllyDbg中按F9键运行程序。
      在这里插入图片描述

OllDbg常用快捷键

在这里插入图片描述

云袖er
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(3)Hello World反汇编分析
wenjuliu25的专栏
04-08 2519
实验环境:visual c++ 6.0 实验目的:通过汇编语言分析一个简单的c程序程序执行时的内存分配情况 /*******mymain.cpp*********/ 1:    #include 2:     int main() 3:     { 4:         int x=1; 5:        printf("Hello Canney\n"); 6:
Ollydbg逆向分析并修改helloworld程序
qq_35942306的博客
08-03 8563
ollydbg逆向分析并修改helloworld程序素材来源实验内容步骤1:VS2017生成需逆向的文件步骤2:ollydbg中打开该程序的exe文件,找到需修改的位置方法一:通过字符串查找方法二:通过调用模块查找步骤3:修改修改一:修改指令修改2:修改字符串 素材来源 来自于书籍《软件逆向工程原理与实践》。第一章的1.5节逆向分析并修改Hello World程序。本文主要是对自己走一遍该流程的记...
熟悉x64dbg调试器
最新发布
2301_78834737的博客
07-08 2264
x64dbg 是一款开源、免费、功能强大的动态反汇编调试器,它能够在Windows平台上进行应用程序反汇编、调试和分析工作。与传统的调试器如Ollydbg相比,x64dbg调试器的出现填补了Ollydbg等传统调试器的不足,为反汇编调试工作提供了更高效、更可靠的解决方案。正是因为有了这些优点,才能使其成为当今最受欢迎的反汇编调试软件之一。x64dbg和Ollydbg虽都是Windows在学习使用该工具之前第一步则是要安装软件,x64dbg调试器的安装很容易,读者只需要前往x64dbg。
log.txt(hello_world程序反汇编代码)
05-15
hello_world程序反汇编代码.c语言代码#incldue int main(void){ printf("Hello,World!\n"); return 0; }
反汇编hello world
xiaozhi
01-07 467
#include <stdio.h> int main() { printf("hello world.\n"); return 0; } #if 0 /* * intel */ 0000000000000000 <main>: 0: f3 0f 1e fa endbr64 4: 55 push %rbp # 保存 rbp 5...
反汇编学习(1) -- HelloWorld
u012915288的专栏
11-21 1787
HelloWorld.cpp SourceCode: #include int main(int argc, char *argv[]) { printf("Hello world!"); return 0; } 对应反汇编代码为: push rbp //保存栈低,上一帧函数信息 mov rbp,rsp //保存栈顶 sub rsp,0x20 /
反汇编更改
weixin_30680385的博客
06-10 143
JNZ汇编指令对应的机器码 短跳转75 长跳转0F85 JZ汇编指令对应的机器码 短跳转EB 长跳转90E9 转载于:https://www.cnblogs.com/yuandaozhe/p/10998441.html
反汇编修改软件
06-20
反汇编修改软件,VB,BIN2MOT转换软件
初次汇编语言编写程序输出HELLO,WORLD!
rothschild666的博客
09-29 5008
初次汇编语言编写程序输出HELLO,WORLD! 初次编写汇编语言,其中遇到了很多困难和问题,下载了很多东西,也查阅了很多关于汇编的资料内容,最后为方便大家直接可以使用快速上手,我把自己花费大量时间和精力整理的配置的资源,免费分享给有需要的朋友,以及本篇文章也会提供基本操作过程,希望能够帮助到各位。 温馨提示:因为博主已经下载好的MASM编译汇编代码在64位windows中不兼容无法操作运行,所以...
C指针原理(43)-helloworld的C程序汇编剖析
The research on computer technolog
04-22 757
一、汇编基础 1、指令码与数据处理 当计算机处理应用程序运行指令码时,数据指针指示处理器如何在内存的数据区域寻找要处理的数据,这块区域也称为堆栈,指令码放在另外的指令区,此外,还有指令指针机制,当处理器完成一个指令码的处理后,指令指针指向下一条指令码。 IA-32指令码(INTEL、AMD公司的CPU使用)由一堆二进制码构成,其格式为: 指令前缀、操作码、可选修饰符、可选数据元素 指令前缀可包含1...
Foxit Reader V1.1 for WinCE6.0
weixin_34383618的博客
08-07 212
     今天终于整理清了PXA270上的WinCE6.0,为了方便给客户演示WinCE6.0的强大,定制了一个增强型的操作系统。但WinCE6.0中已经不支持PDF等阅读器了。于是从网站上找了一个PPC版的Foxit Reader,把它放到WinCE6.0的设备上面运行,竟然提示OS不支持,只能在PPC上面跑。看到这个提示有些失望,但也有一丝希望。这个提示似乎是Foxit Reader运行时的提...
android 反汇编修改,重新打包
Lxyer的专栏
09-23 1122
今天试了试汉化android软件,弄了点以前没有注意的东西。 主要步骤如下: apk-tools 把apk 反汇编成,资源+smali字节码的方式。dex2jar 把apk里面的classes.dex转换成classes_dex2jar.jar dex2jar -djd-gui 把classes_dex2jar.jar 反汇编成 java代码。修改java代码,导入android工程编
转——一个超级wince牛人使用反汇编工具修改程序的方法
hfdghjh的博客
11-14 6111
转——一个超级wince牛人使用反汇编工具修改程序的方法
反汇编入门试手 简单程序
热门推荐
宝G的博客
05-04 1万+
刚学汇编,第一次自己写博客,分享一下,人艰不拆哈~ 老师为了提高我们的学习兴趣,给了我们这些刚懂寄存器是什么的菜鸟一个简单的exe文件让我们进行反汇编破解出正确的中断输入 也不懂什么反汇编工具,仅在dosbox下用debug.exe文件的u命令进行破解 听说高手都是在dos窗口下进行反汇编的,呵呵,其实是我们老师给的题目一下子就可以反汇编出语句来了,这篇博客只是用来记录一下分析过程 不废话了,上文件
病毒分析与防护实验3—— 反汇编工具(Ollydbg)的使用
郭同学如是说
04-02 1938
实验名称:病毒分析与防护实验3—— 反汇编工具的使用 实验目的 熟悉动态分析工具OllyDBG的界面和常用模块 熟悉静态分析工具IDA的界面和常用模块 掌握使用OllyDBG和IDA分析修改可执行文件的方法 实验原理 OD界面 窗口名称 作用 反汇编窗口 显示被调试程序反汇编代码,标题栏上的地址、机器码、反汇编代码、注释。 寄存器窗口 显示当前所选线程的 CPU 寄存器内容 信息窗口 显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等 数据窗口 显
IDA Pro 反汇编窗口基本操作
bcbobo21cn的专栏
10-16 5465
反汇编窗口也叫IDA-View窗口。 反汇编窗口有两种显示格式:默认的基于图形的视图,面向文本的列表视图。 在打开的反汇编窗口中,可以使用空格键在图形视图与列表视图之间切换。 图形视图将一个函数分解成许多基本块,以显示该函数由一个块到另一个块的控制流程。 IDA使用不同的彩色箭头区分函数块之间各种类型的流。 在图形模式下,IDA一次显示一个函数。使用 CTRL + 加号键、CTRL + 减号...
x64dbg2020(反汇编修改程序) v2020 32/64位
qq_43293214的博客
11-16 2430
x64dbg2020是一款免费开源的x64/x32位反汇编修改程序,支持中文界面和插件使用,界面及操作方法与OllyDbg调试工具类似,支持类似C的表达式解析器、全功能的DLL和EXE文件调试、IDA般的侧边栏与跳跃箭头、动态识别模块和串、快反汇编、可调试的脚本语言自动化等多项实用分析功能,可以满足了用户各方面使用需求。同时,软件采用QT平台编写,可以调试x64和X32的应用程序,具有直观和熟悉的用户界面,提供可执行文件和源代码,随时供您使用,以及还具备集成的、可调试的、类似于ASM的脚本语言等等。此外,x
linux下反汇编命令,Linux下反汇编指定的函数
weixin_39843151的博客
04-28 635
夜影驱动编程小编今天和大家分享问,代码注入器注入汇编没有问,然后我在od里找夜影驱动编程小编今天和大家分享问,代码注入器注入汇编没有问,然后我在od里找到的注入后的代码,用易语言是给小学生玩的。 还是用vs2013把有问题调试起来也方便用ce只能找到一个动态基址,查不到静态的。网游的...用ce只能找到一个动态基址,查不到静态的。网游的客户端加了VMP的壳。ODOD下断就崩溃。有哪位知道该怎么弄?...
汇编程序Hello world
weixin_33725126的博客
03-24 172
原文链接:http://www.orlion.ga/989/ 一、汇编程序Hello world   x86 AT&amp;T: .data   msg:       .ascii "Hello worldhello AT&amp;T asm!\n"       len = . - msg      .text   .global _start      _start...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值