本文介绍了如何破解一个简单的crackme程序,主要涉及ida静态分析来确定开始地址和跳转条件,然后在ollydbg中进行动态分析,通过寻找和理解跳转条件,特别是汇编指令中的比较操作,来推断程序逻辑。关键步骤包括找到判断点并分析赋值来源,如通过eax和edi的值比较输入序列号和预设字符串。
这个crackme很简单,接下来我根据它简单说下具体的流程,每一步做什么。
第一步:确定开始地址和找到跳转条件
首先用ida静态分析,就能找到大致确定这个crackme是从呢开始的,这个其实影响不大,找不到也没关系。每个crackme破解成功都会有提示,最主要的是找到这个提示在呢,找到后往上看代码肯定会有一个判断是否跳转(类似于jz、jnz、jgz...),这个跳转肯定是要么跳转到错误提示,要么跳转到正确提示,如果不是,就不是这个跳转,再找找其他的跳转。如下图:
现在就可以去ollydbg中进行动态分析了,找到相对应的位置,在找位置的时候可能会出现问题,因为ida是静态的,ollydbg是动态的,一个在内存中一个在内存外(这是我的理解,可能不正确),ida中的地址和ollydbg中的地址不一样,所以只能根据偏移地址找相应的位置,ida的基址一般是00400000,用指令的地址-基址(00400000)=偏移地址,就能算出偏移地址,然后去ollydbg中,用Alt+e快捷键查看程序的基址,基址+偏移地址=指令地址,用Ctrl+g快捷键进行跳转,找到位置后,进行下一步分析。
第二步:查看跳转条件,然后逆向推
Andrénalin.1是判断di和si中的值是否相等,相等就跳转到失败,不相等就继续执行,会有成功提醒。继续向上看,找到都是什么时候给di和si赋值的。如下图①,可以明显看出给si赋值;下图②,通过eax给edi赋值的,那么eax的值是从呢来的,通过单步执行(F8)可以看出是上一条指令返回的结果,上一条指令做的就是将输入的序列号和字符串‘SynTaX 2oo1’比较,相同的话,eax的值会变成0,不相同的话就不是-1,然后再对edi中的值进行一系列变化,会得到最终的值(自己单步执行进行分析,几条基本汇编指令而已)。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
