【不断更新中】解密基础知识入门II
第四课 静态分析技术 所谓静态分析即从反汇编出来的程序清单上分析,从提示信息入手进行分析。目前,大多数软件在设计时,都采用了人机对话方式。所谓人机对话,即在软件运行过程中,需要由用户选择的地方,软件即显示相应的提示信息,并等待用户按键选择。而在执行完某一段程序之后,便显示一串提示信息,以反映该段程序运行后的状态,是正常运行,还是出现错误,或者提示用户进行下一步工作的帮助信息。为此,如果我们对静态反汇编出来的程序清单进行阅读,可了解软件的编程思路,以便顺利破解。 常用的静态分析工具有W32DASM、C32Asm和IDA Pro等。 4.1 认识PE格式 在Win32平台上(包括Windows 95/98/ME/NT/2000/XP/2003/CE),可执行文件是PE(Portable Executable)格式。PE文件使用的是一个平面地址空间,所有代码和数据都被合并在一起,组成一个很大的结构。文件的内容被分割为不同的区块(Section,又称区段、节等),块中包含代码或数据。 刚接触这块的朋友只需要简单了解一下PE格式,更具体的PE格式请参考 脱壳基础知识入门(2006年版) PE相关名词解释如下: 1.入口点(Entry Point) 程序在执行时的第一行代码的地址应该就是这个值。 2.文件偏移地址(File Offset) PE文件在磁盘上储存时,各数据的地址称文件偏移地址(File Offset)。用十六进制工具(例如Hex Workshop、WinHex等)打开文件显示的地址就是文件偏移地址。 3.虚拟地址(Virtual Address,VA) 由于Windows程序是运行在386保护模式下,在保护模式下,程序访问存储器所使用的逻辑地址称为虚拟地址(Virual Address,VA)。与实地址模式下的分段地址类似,虚拟地址也可写成"段:偏移量"的形式,这里的段是指段选择器。 4.基地址(ImageBase) 文件执行时将被映像到指定内存地址中,这个初始内存地址称为基址(ImageBase)。在Windows NT中,缺省的值是10000h;对于DLLs,缺省值为400000h。在Windows 9x中,10000h不能用来装入32位的执行文件,因为该地址处于所有进程共享的线性地址区域,因此Microsoft将Win32可执行文件的缺省基地址改变为400000h。 5.相对虚拟地址 相对虚拟地址(Relative Virual Address,RVA)表示此段代码在内存中相对于基地址的偏移。即:相对虚拟地址(RVA)=虚拟地址(VA)-基址(ImageBase)。 4.2 虚拟地址和偏移量转换 在OllyDBG,IDA和W32Dasm下显示的地址值是虚拟地址(Virual Address,VA)。而十六进制工具里,如:Hiew、Hex Workshop等显示的地址就是文件地址,称之为偏移量(File offset) 。 其转换原理是因为PE文件在磁盘上的数据结构与在内存中的结构是一致的,如下图: 具体见: http://bbs.pediy.com/showthread.php...;threadid=18022 在实际操作时,使用 LordPE等工具很容易进行File offset与VA的转换。LordPE打开目标文件,点击FLC按钮,打开如下图的对话框,填入相应地址,点击DO按钮即可转换: 4.3 文件类型分析 文件分析是静态分析程序的第一步,通过相关工具显示欲调试文件的信息,如它是用什么语言写的,是否加壳等。常用的文件分析工具有 PEID , FileInfo 等。有关壳的相关知识等入门后,再参考相关教学,如 脱壳基础知识入门(2006年版) 。如果查到文件有壳,此时静态分析是没意义的,但可以用OD动态调试,分析程序算法。 1.PEiD PEiD的GUI界面操作非常方便直观。它的原理是利用查特征串搜索来完成识别工作的。各种开发语言都有固定的启动代码部分,利用这点就可识别出是何种语言编编译的。同样,不同的壳也有其特征码,利用这点就可识别是被何种壳所加密。下面PEiD识别出这个软件是用Asprotect 1.2x加的壳。 2.FileInfo FileInfo(简称Fi)另一款不错的文件检测工具。 FI的具体用法 4.4 W32Dasm简介 W32Dasm简介 4.5 IDA pro操作 IDA简易教程 IDA里的中文字串 第五课 常见保护的攻击 5.1 序列号方式 软件验证序列号的过程,其实就是验证用户名和序列号之间的数学映射关系。这个映射关系是由软件的设计者制定的,所以各个软件生成序列号的算法是不同的。这是最常见的一种保护方式。 5.2 警告(NAG)窗口 Nag的本义是烦人的意思。Nag窗口是软件设计者用来不时提醒用户购买正式版本的窗口。 5.3 时间限制 这类保护的软件一般都有时间段的限制,例如试用30天等。当过了共享软件的试用期后,就不予运行。只有向软件作者付费注册之后才能得到一个无时间限制的注册版本。 5.4 Key File保护 KeyFile(注册文件)是一种利用文件注册软件的保护方式。 5.5 功能限制的程序 这种程序一般是DEMO版或菜单中部分选项是灰色。有些DEMO版本的部分功能里面根本就没有。而有些程序功能全有,只要注册后就正常了。 5.6 CD-check 最简单也最常见的光盘保护就是程序在启动时判断光驱中的光盘上是否存在特定的文件,如果不存在则认为用户没有正版光盘,拒绝运行。在程序运行的过程当中一般不再检查光盘的存在与否。 给新手的一点建议: |