菜鸟笔记
昨天晚上又拿起CrackMe 2007的一个CrackMe来玩(aalloverred做的znycuk's cracKme#3),发现那个PE根本无法用OD加载,一加载就说这个PE的格式错误了
破文上解释说是因为LoaderFlags和RvaAndSizes(数据目录项)被修改成了一个很大的数值。其实LoaderFlags并不影响OD的调试,只是RvaAndSizes影响而已。
以后可能也想写一个壳+顺便提升逆向能力,所以分析下OD是怎么被这个反调试trick欺骗的也好。
用OD来调试OD,感觉总有点怪怪的(被调试的OD打开反调试CrackMe)
在错误的信息框下暂停,然后在堆栈中找到调用位置,定位到关键跳之后一直回溯,看不出什么东西来
然后用C32把RvaAndSizes设置为AAAA, 再加载OD在内存里面搜索AAAA就知道其应该被存放的位置了,找到之后下个硬件断点就能找到OD读取RvaAndSizes的位置了
(但是当时我用的是傻瓜办法,在前面一些位置下int 3断点,然后盯着AAAA的位置,什么时候修改了就是在哪读取的)
现在再下一个内存访问断点,定位到了以下代码:
0045C653 . 0FB795 34FAFFFF movzx edx,word ptr ss:[ebp-5CC]
0045C65A . 81C2 80000000 add edx,80
0045C660 . 8B8D A0F9FFFF mov ecx,dword ptr ss:[ebp-660]
0045C666 . C1E1 03 shl ecx,3
0045C669 . 81C1 E0000000