OD的简单使用以及一个小程序的破解


从这这篇博客开始开一个新坑:reverse 的入门

OD(OllyDbg)和IDA Pro这两款工具分别是调试逆向的两款重要工具。虽然两者都兼容动态和静态的调试方式,但就动态调试而言,OD更为灵活和强大,而静态调试工具的王者理所应当是功能极为强大的IDA Pro。

一、下载

建议下载地址 https://down.52pojie.cn/Tools/Debuggers/

诸多款式,任君选择
在这里插入图片描述

二、窗口

在这里插入图片描述

反汇编窗口
显示被调试程序的反汇编代码,标题栏上的地址、HEX 数据、反汇编、注释可以通过在窗口中右击出现的菜单 界面选项->隐藏标题 或 显示标题 来进行切换是否显示。用鼠标左键点击注释标签可以切换注释显示的方式。

寄存器窗口
显示当前所选线程的 CPU 寄存器内容。同样点击标签 寄存器 (FPU) 可以切换显示寄存器的方式。

信息窗口
显示反汇编窗口中选中的第一个命令的参数及一些跳转目标地址、字串等。

数据窗口
显示内存或文件的内容。右键菜单可用于切换显示方式。

堆栈窗口
显示当前线程的堆栈。

菜单窗口
顾名思义,一些命令以及操作、显示等都在这里。

命令行窗口
用来下断点等相关命令。

三、调试

打开方式

od开始调试方法一般有2种:
1.直接文件–打开(F3),进行调试
2.文件-附加 ,进行调试,附加必须是已经运行的程序才可以。

调试中我们经常要用到的快捷键有这些:

F2设置断点,只要在光标定位的位置(上图中灰色条)按F2键即可,再按一次F2键则会删除断点。

F8单步步过。每按一次这个键执行一条反汇编窗口中的一条指令,遇到 CALL 等子程序不进入其代码。

F7单步步入。功能同单步步过(F8)类似,区别是遇到 CALL 等子程序时会进入其中,进入后首先会停留在子程序的第一条指令上。

F9运行。按下这个键如果没有设置相应断点的话,被调试的程序将直接开始运行。

F4:运行到选定位置。作用就是直接运行到光标所在位置处暂停。

CTR+F9:执行到返回。此命令在执行到一个 ret (返回指令)指令时暂停,常用于从系统领空返回到我们调试的程序领空。

ALT+F9:执行到用户代码。可用于从系统领空快速返回到我们调试的程序领空。

上面提到的几个快捷键对于一般的调试基本上已够用了。要开始调试只需设置好断点,找到你感兴趣的代码段再按 F8 或 F7 键来一条条分析指令功能就可以了

附:破解(绕过)一个CRACKME.EXE

1、分析程序

现在有一个 CRACKME.EXE 程序,将其打开出现如下

在这里插入图片描述
发现需要注册登录
在这里插入图片描述
输入一个不正确的用户名和密码

在这里插入图片描述
显示发生错误。判断此处有一个MessageBoxA();

关闭EXE文件

2、使用OD打开

在这里插入图片描述

3、寻找 MessageBoxA()函数在何处被调用

在命令行输入

bp MessageBoxA

bp即breakpoint缩写

在这里插入图片描述

F9运行
.exe文件运行
再次随意输入

在这里插入图片描述

注意断点处的变化
在这里插入图片描述

在堆栈区—>选中------>右键---->反汇编 ,找到该函数的反汇编代码
在这里插入图片描述

找到了 MessageBoxA()函数在何处被调用,如下图所示

在这里插入图片描述

分析反汇编程序

可以判断出[0040 1362]处为判断调用什么函数的入口
在 [0040 1362]处下断点,并禁掉原先的断点
在这里插入图片描述
在这里插入图片描述

再次运行程序

在这里插入图片描述

点击OK后,在此处停下
在这里插入图片描述

查看堆栈窗口,反汇编跟随(单步步入)

在这里插入图片描述

通过分析反汇编代码,发现程序做了一个比较[0040 1241]je跳转[0040 1243]

此时程序运行到了此行

 0040124A    jmp short CRACKME.004011E6

可以判断出

00401245     call CRACKME.00401362         调用的是输入错误的函数

                                           而

0040124C      call CRACKME.0040134D        调用的才是我们想要的函数


如下图所示
在这里插入图片描述

接下来是重点操作(思路)

1、如果修改ZF的值,那么就可以使程序可以跳转到第二个call中

2、我们可以在在[0040 1243] 处打断点,待到运行到此处时,修改ZF的值

打断点
在这里插入图片描述
梅开三度。。。
在这里插入图片描述
在这里插入图片描述

成功!!!!!

在这里插入图片描述

另一种方法:直接修改程序汇编代码

双击此行,进行修改
在这里插入图片描述
保存…
在这里插入图片描述

相关推荐
但愿大家互相进修进修,大家对于破解都不是很了解,人们想学破解,可是去无从入手,所以决议为大家写1个破解初级读物的教程,但愿能大家了解破解有一些帮忙,但愿能有更多的人踏入破解的大门   1.低级,修改步伐,用ultraedit等东西修改exe文件,称暴力破解,略称爆破   中级,追出软体的注册码   高级,开具注册机   2.经常使用破解东西   (1)侦壳东西:PEiD   (2)消息联合的OllyDbg引领破解东西的新潮水   一,此刻咱们起首来进修下破解的开端,爆破~   1.侦壳   要破解1个软体起主要做的就是侦壳,要侦壳就要对壳有绝对似的了解,家喻户晓,软体作者用编程语言编著好软体后,是将它编译成扩展名为EXE的可执行文件编译为EXE的目的有两点:   (1)有一些版权信息需要掩护起来,不克不及让别人随心改动,如作者的姓名、软体名称等;   (2)需要给步伐"瘦身",从而利便存储、使用以及网上传道输送   为了编译,会用到一些软体它们能将可执行文件压缩以及对信息加密(图1),实现上面所说的两个功效,这些个软体称为加壳软体为软体加上的东东就称为"壳"加壳软体差别于一般的WinZIP、WinRAR等打包类压缩软体加壳软体是压缩可执行文件的,压缩后的文件可以直接运行   最多见的加壳软体有3个:ASPACK 、UPX、PEcompact终究它们是主流,据计数,用它们加壳的软体约占市面所有软体的90%!其它不经常使用的加壳软体有ASPROTECT、PETITE 、NEOLITE、TELOCK等软体最多见的编程语言是Delphello,Visual Basic(略称VB),Visual C++(略称VC)了解些编程的常识,会让破解更加轻车熟道   底下来讲侦壳,此刻比力经常使用侦壳软体就PeiD,他具备华美的图形界面外壳整合(新增到鼠标右键)功效令使用更加利便,撑持拖放操作配置时,务请将"扩展到鼠标右键"打上对号   其使用要领是,鼠标点住XX.exe,按鼠标右键,选"使用PEid扫描"便可;"壳"的信息就显示在底部   2.破解东西OD   有关OD的先容我把他放到附件里了,这个是看雪论坛的先容,是比力周全的,至少我感觉比我写的要好,所以大家根据他可以大好的了解OD   3.爆破实例   爆破是破解的开端,所说的爆破,就是指路程经过过程修改可执行文件的源文件,降临达相应的目的你半大白?呵呵,举个例子好了,好比说某同享软体,它比力用户输入的注册码,要是用户输入的,跟它路程经过过程用户名(或其它)算出来的注册码相等的话(也就是说用户输入的注册码不错了),那末它就会跳到注册乐成的处所去,不然就跳到堕落的处所去   大白过来了吧,咱们只要找到这个跳转指令,把它修改成咱们需要的"造型",如许,咱们是否就可认随心所欲了?   一,破解时经常使用的汇编指令如下,汇编较弱者可先强行违住,以后就可逐步理解了   cmp a,b //比力a与b   mov a,b //把b的值送给a,使a=b   ret //归回主步伐   nop //无效用,英文"no operation"的简写,意思是"do nothellong"(呆板码90) (解释:ultraedit打开编辑exe文件时瞅见90,等同于汇编语句nop)   call //挪用子步伐,子步伐以ret末端   je 或jz //若相等则跳(呆板码74 或0F84)   jne或jnz //若不相等则跳(呆板码75或0F85)   jmp //无前提跳(呆板码EB)   jb //若小于则跳   ja //若大于则跳   jg //若大于则跳   jge //若大于等于则跳   jl //若小于则跳   jle //若小于等于则跳   pop xx //xx出栈   push xx //xx压栈   更为具体的指令请查阅汇编册本   4.破解常见修改,参看表1   汇编指令修改 相应的呆板码修改(路程经过过程16进制编辑器实现)   jnz/jne->nop 75->90   jnz/jne -> jmp 75-> EB   jz/je->nop 74->90   jz/je -> jmp 74-> EB   jnz -> jz 75->74 或 0F 85 -> 0F 84   jz -> jnz 74->75 或 0F 84 -> 0F 85   jnz -> jz 75->74 或 0F 85 -> 0F 84   je-> jne 74->75 或 0F 84 -> 0F 85   表1
©️2020 CSDN 皮肤主题: 书香水墨 设计师:CSDN官方博客 返回首页