怎么解c语言逆向编码,逆向还原C语言代码 练习1

最新推荐文章于 2022-12-12 23:34:34 发布
最新推荐文章于 2022-12-12 23:34:34 发布
阅读量798 收藏 6
点赞数
文章标签: 怎么解c语言逆向编码

找了个C语言100列 用来练习OD还原C语言代码 至于C+的 以后也会写

我们先来看第一个程序,我们先分析Debug的 Debug为了方便调试,代码都是一对一的翻译 没做什么优化,还原起来比较好上手,

7846f29a95c812a6a3260d9f24e1bf56.png

先用OD载入,我们看到一个GetCommandLineA 我们知道 C语言真正的入口并不是main 而在main之前 会调用GetCommandLineA ,也就是说,我们往下面翻一下 可能会找到main函数,我们往下翻一下

bda89ba6829df33f933181869e9a545e.png

这段代码很可疑,可能传递了3个参数,前面的ecx edx也可能是参数,所以我说可能传递了3个, 然后 call下面 add esp,0xc 表示这个函数是外平栈,那么ecx edx应该不是参数,这个call很可能是main 我们进去看看 是个jmp 再跟过去 打个断点

看到如下的代码:

01b41ccad8e1d9a8213bf2ba673b4a27.png

我鼠标选中的(紫色背景)的代码 是debug版本初始化栈用的,先不管他,看箭头处 这里有个call push进去的参数是”\n” 我们看看这个call是什么,选中这行 按回车键跟过去

6b7b6a5760b626d2137a26010243b62a.png

看这代码 应该是C语言的printf函数没错了,我们加个标签,这样再调用这个函数的时候就能看出来是他了,我们选中这行代码的段首 然后 右键 –标签 或者按快捷键 : 在弹出来的对话框中输入 printf 如下图

718d11493ac2d5076376451061ee3c3b.png

这样 以后调用printf的地方就会显示出来了,看下面的效果

e993d07b7f106f2bd8ffe86a79a464ea.png

OK ~

我们看看Call的下面的代码

bc41cf6d340f0eeec035bd3f84618986.png

代码有点多,先不急,我们先简单的浏览下 我们知道 ebp+4是函数返回地址 ebp+8 +c ….是函数的参数,而ebp-4 -8 ……是函数的局部变量,简单的看一下,这一段代码里面 到retn之前有3个ebp- 也就是有3个参数咯~ 我们来简单规定下 ebp-4 我们叫他i -8 叫j -c叫k

00401035 |. C745 FC 01000>mov dword ptr ss:[ebp-0x4],0x1

0040103C |. EB 09 jmp short Test1_Dd.00401047

0040103E |> 8B45 FC /mov eax,dword ptr ss:[ebp-0x4]

00401041 |. 83C0 01 |add eax,0x1

00401044 |. 8945 FC |mov dword ptr ss:[ebp-0x4],eax ; kernel32.BaseThreadInitThunk

00401047 |> 837D FC 05 cmp dword ptr ss:[ebp-0x4],0x5

0040104B  |. /7D 67         |jge short Test1_Dd.004010B4

我们先看下这一段,先给i赋值1 然后立马就跳了,跳到和5比较的地方了,然后判断 如果大于5 又跳了,我们看看他跳过去的地方的代码

004010B4 |> \33C0 xor eax,eax ; kernel32.BaseThreadInitThunk

004010B6 |. 5F pop edi ; kernel32.7578336A

004010B7 |. 5E pop esi ; kernel32.7578336A

004010B8 |. 5B pop ebx ; kernel32.7578336A

004010B9 |. 83C4 4C add esp,0x4C

也就是说 大于5 就结束了 如果小于5的话 就执行

0040104D |. C745 F8 01000>|mov dword ptr ss:[ebp-0x8],0x1

00401054 |. EB 09 |jmp short Test1_Dd.0040105F

00401056 |> 8B4D F8 |/mov ecx,dword ptr ss:[ebp-0x8] ; kernel32.7578336A

00401059 |. 83C1 01 ||add ecx,0x1

0040105C |. 894D F8 ||mov dword ptr ss:[ebp-0x8],ecx

0040105F |> 837D F8 05 | cmp dword ptr ss:[ebp-0x8],0x5

00401063 |. /7D 4D ||jge short Test1_Dd.004010B2

也就说 如果小于5的话 就执行j=1 然后判断j是不是大于5 如果大于5的话 就跳转 看看跳到哪里去了

004010B2  |>^\EB 8A         \jmp short Test1_Dd.0040103E

调到一个jmp 我们再看看jmp跳过去的地方的代码

0040103E |> /8B45 FC /mov eax,dword ptr ss:[ebp-0x4]

00401041 |. |83C0 01 |add eax,0x1

00401044 |. |8945 FC |mov dword ptr ss:[ebp-0x4],eax ; kernel32.BaseThreadInitThunk

00401047 |> |837D FC 05 cmp dword ptr ss:[ebp-0x4],0x5

0040104B |. |7D 67 |jge short Test1_Dd.004010B4

是不是有点眼熟,刚才判断i小于5的地方么?而且在判断之前还对i+1了

那么我们就能确定了 最起码 j外面有个for循环 代码应该是这样

for (i=1;i<5;i++)

{

j = 1;

if(j<5)

{

}

}

我们再看看 刚刚判断j大于5的那里 如果小于5会怎么样

00401065 |. C745 F4 01000>||mov dword ptr ss:[ebp-0xC],0x1

0040106C |. EB 09 ||jmp short Test1_Dd.00401077

0040106E |> 8B55 F4 ||/mov edx,dword ptr ss:[ebp-0xC]

00401071 |. 83C2 01 |||add edx,0x1

00401074 |. 8955 F4 |||mov dword ptr ss:[ebp-0xC],edx ; Test1_Dd.

00401077 |> 837D F4 05 || cmp dword ptr ss:[ebp-0xC],0x5

0040107B |. 7D 33 |||jge short Test1_Dd.004010B0

嗯?如果j

004010B0  |>^\EB A4         |\jmp short Test1_Dd.00401056

又是一个jmp 看看跳过去的地址,我们分析分析

00401056 |> /8B4D F8 |/mov ecx,dword ptr ss:[ebp-0x8] ; kernel32.7578336A

00401059 |. |83C1 01 ||add ecx,0x1

0040105C |. |894D F8 ||mov dword ptr ss:[ebp-0x8],ecx

0040105F |> |837D F8 05 | cmp dword ptr ss:[ebp-0x8],0x5

00401063 |. |7D 4D ||jge short Test1_Dd.004010B2

这明显是比较j小于5的代码 而且是调到j+1的地方

那么 我们的更新刚才还原出来的代码了

应该是这样

for (i=1;i<5;i++)

{

for (j=1;j<5;j++)

{

k=1;

if(k<5)

{}

}

}

好,我们在看看 k如果不跳会怎么样

0040107D |. 8B45 FC |||mov eax,dword ptr ss:[ebp-0x4]

00401080 |. 3B45 F4 |||cmp eax,dword ptr ss:[ebp-0xC]

00401083 |. 74 29 |||je short Test1_Dd.004010AE

00401085 |. 8B4D FC |||mov ecx,dword ptr ss:[ebp-0x4]

00401088 |. 3B4D F8 |||cmp ecx,dword ptr ss:[ebp-0x8] ; kernel32.7578336A

0040108B |. 74 21 |||je short Test1_Dd.004010AE

0040108D |. 8B55 F8 |||mov edx,dword ptr ss:[ebp-0x8] ; kernel32.7578336A

00401090 |. 3B55 F4 |||cmp edx,dword ptr ss:[ebp-0xC]

00401093 |. 74 19 |||je short Test1_Dd.004010AE

00401095 |. 8B45 F4 |||mov eax,dword ptr ss:[ebp-0xC]

00401098 |. 50 |||push eax ; kernel32.BaseThreadInitThunk

00401099 |. 8B4D F8 |||mov ecx,dword ptr ss:[ebp-0x8] ; kernel32.7578336A

0040109C |. 51 |||push ecx

0040109D |. 8B55 FC |||mov edx,dword ptr ss:[ebp-0x4]

004010A0 |. 52 |||push edx ; Test1_Dd.

004010A1 |. 68 1C204200 |||push Test1_Dd.0042201C ; ASCII "%d,%d,%d\n"

004010A6 |. E8 55000000 |||call

004010AB |. 83C4 10 |||add esp,0x10

好吧~k如果不跳 执行的代码有点小多。。。先不管,我们看到k里面有3个跳转,跳转的目标地址都一样 我们看看跳过去会怎么样

004010AE  |>^\EB BE         ||\jmp short Test1_Dd.0040106E

跳过去又是一个jmp 难道k也是循环?我们过去看看

0040106E  |> /8B55 F4       ||/mov edx,dword ptr ss:[ebp-0xC]

00401071  |. |83C2 01       |||add edx,0x1

00401074  |. |8955 F4       |||mov dword ptr ss:[ebp-0xC],edx        ;  Test1_Dd.

00401077  |> |837D F4 05    || cmp dword ptr ss:[ebp-0xC],0x5

0040107B  |. |7D 33         |||jge short Test1_Dd.004010B0

果然,k也是循环 那么 我们目前还原出来的代码应该是这样

int i,j,k;

for(i=1;i<5;i++)

{

for(j=1;j<5;j++)

{

for(k=1;k<5;k++)

{

}

}

}

好了 接着 我们来看看k这个循环里面的代码

0040107D |. 8B45 FC |||mov eax,dword ptr ss:[ebp-0x4]

00401080 |. 3B45 F4 |||cmp eax,dword ptr ss:[ebp-0xC] ; Test1_Dd.00404270

00401083 |. 74 29 |||je short Test1_Dd.004010AE

00401085 |. 8B4D FC |||mov ecx,dword ptr ss:[ebp-0x4]

00401088 |. 3B4D F8 |||cmp ecx,dword ptr ss:[ebp-0x8] ; Test1_Dd.00422138

0040108B |. 74 21 |||je short Test1_Dd.004010AE

0040108D |. 8B55 F8 |||mov edx,dword ptr ss:[ebp-0x8] ; Test1_Dd.00422138

00401090 |. 3B55 F4 |||cmp edx,dword ptr ss:[ebp-0xC] ; Test1_Dd.00404270

00401093 |. 74 19 |||je short Test1_Dd.004010AE

00401095 |. 8B45 F4 |||mov eax,dword ptr ss:[ebp-0xC] ; Test1_Dd.00404270

00401098 |. 50 |||push eax

00401099 |. 8B4D F8 |||mov ecx,dword ptr ss:[ebp-0x8] ; Test1_Dd.00422138

0040109C |. 51 |||push ecx

0040109D |. 8B55 FC |||mov edx,dword ptr ss:[ebp-0x4]

004010A0 |. 52 |||push edx

004010A1 |. 68 1C204200 |||push Test1_Dd.0042201C ; ASCII "%d,%d,%d\n"

004010A6 |. E8 55000000 |||call

004010AB |. 83C4 10 |||add esp,0x10

看到这么多代码 先不要慌,我们先 一句一句来读 ,下面的代码跟上面一样 但是加了注释

0040107D |. 8B45 FC |||mov eax,dword ptr ss:[ebp-0x4] ; 把i放到eax

00401080 |. 3B45 F4 |||cmp eax,dword ptr ss:[ebp-0xC] ; 比较i和k

00401083 |. 74 29 |||je short Test1_Dd.004010AE ; 如果相等就调到4010ae

00401085 |. 8B4D FC |||mov ecx,dword ptr ss:[ebp-0x4] ; 取出i 放到ecx

00401088 |. 3B4D F8 |||cmp ecx,dword ptr ss:[ebp-0x8] ; 比较i和k

0040108B |. 74 21 |||je short Test1_Dd.004010AE ; 如果相等就跳到4010ae

0040108D |. 8B55 F8 |||mov edx,dword ptr ss:[ebp-0x8] ; 取出j

00401090 |. 3B55 F4 |||cmp edx,dword ptr ss:[ebp-0xC] ; 比较k和j

00401093 |. 74 19 |||je short Test1_Dd.004010AE ; 相等就跳转

00401095 |. 8B45 F4 |||mov eax,dword ptr ss:[ebp-0xC] ; 如果i不等于k 且i不等于j 且j不等于k就会执行这里

00401098 |. 50 |||push eax ; 上面那里是取出k 这一句把k压入栈中

00401099 |. 8B4D F8 |||mov ecx,dword ptr ss:[ebp-0x8] ; 取出j

0040109C |. 51 |||push ecx ; 入栈

0040109D |. 8B55 FC |||mov edx,dword ptr ss:[ebp-0x4] ; 取出i

004010A0 |. 52 |||push edx ; 入栈

004010A1 |. 68 1C204200 |||push Test1_Dd.0042201C ; ASCII "%d,%d,%d\n"

004010A6 |. E8 55000000 |||call ; 这里调用print函数

通过上面的注释可以得出一个结论,这里是判断如果 i j k互不相等 就输出 也就是说 能还原出如下代码

int i,j,k;

for(i=1;i<5;i++)

{

for(j=1;j<5;j++)

{

for(k=1;k<5;k++)

{

if(i != k)

{

if(i != j)

{

if(j != k)

{

printf("%d,%d,%d",i,j,k);

}

}

}

}

}

}

3个if我们可以用 && 优化一下 最终的结果如下

int i,j,k;

for(i=1;i<5;i++)

{

for(j=1;j<5;j++)

{

for(k=1;k<5;k++)

{

if(i != k && i != j && j != k)

{

printf("%d,%d,%d",i,j,k);

}

}

}

}

打赏作者

a41b0efb0576f688d1dd887f454189a9.png微信、支付宝扫一扫,鼓励一下作者吧~

yisac
关注
c语言程序怎么还原代码,逆向分析:如何一步步还原C代码
weixin_42399388的博客
05-17 1710
逆向实战应各位的建议,加了注释,喜欢的看官点个赞支持一下,哈哈!程序入口如何查找程序入口?main 函数被调用前要先调用的函数如下:GetVersion()_heap_init()GetCommandLineA()_crtGetEnvironmentStringsA()_setargv()_setenvp()_cinit()这些函数调用结束后就会调用main 函数,根据main 函数调用的特征,将...
exe文件如何还原c语言,逆向分析:如何一步步还原C代码
weixin_39595085的博客
05-19 3362
本帖最后由 shavchen 于 2019-10-22 15:44 编辑逆向实战逆向CallingConvention.exe,还原为C代码,记录过程。程序入口main函数通过Main函数识别出来程序大致框架如下:函数3为编译器自动添加的堆栈平衡检查函数void __fastcall func1(int a,int b,int c,int d,int e){}void__cdecl func2...
51反汇编C语言实现
03-29
两个C语言源码,实现C51反汇编和Hex转bin
PC逆向代码还原技术,第一讲基本数据类型在内存中的表现形式.浮点,指针寻址公式
eli的博客
02-11 700
目录 代码还原技术 一丶简介代码还原 二丶代码还原中的数据类型表现形式 1.整数类型 2.无符号整数 3.有符号整数 4.浮点数数据类型 5.浮点编码 4.Double类型析. 三丶浮点汇编 1.浮点栈 2.浮点汇编 3.使用内联浮点汇编实现加法 四丶布尔类型 地址丶指针丶引用表达形式 1.指针的寻址方式 常量 #define与const定义 总结: END 代码还原技术 一丶简介代码还原 例子一:我们很多人都学习过汇编.但是汇编的核心知识就是我能看
字符实现逆向输出(C语言)
BUXIU_L_C的博客
12-09 564
#include "stdio.h" void fun(char *x) { if(*x){ //若该字符型变量为0(ascii码值为0,不是数字'0')的字符则不进入 fun(x+1); //递归调用 printf("%c",*x); //输出单个字符 } } int main() { char str[100]; gets(str); fun(str); return 0; } ...
51单片机智能反编译软件
06-20
51内核单片机智能反编译软件,可反编STC,做的比较好,基本上反编译后可i汇编和原来一样HEX机器码的
关于 AirPlay 的一些逆向研究成果_C语言_代码_下载
07-02
iPhone手机可以把屏幕镜像和音频等投射到AppleTV上,中间走的是AirPlay协议,这个是苹果的私有协议并没有对外公开,所以如果要实现类似AppleTV的功能的话基本只能通过逆向分析和抓包分析,之前为了实现将iPhone手机...
Sha1算法c语言实现
03-20
在实际的C语言代码实现中,可能会使用结构体来保存中间状态,定义一系列内部函数来执行上述操作,并提供一个接口供用户输入数据并获取散列值。例如,一个简单的API可能包括`SHA1_Init()`来初始化状态,`SHA1_Update...
C语言练习代码4-1 do语句
qq_45098187的博客
11-17 272
4-1 /* 逆向显示输入的非负整数 */ #include <stdio.h> int main(void) { int num; do{ printf("请输入一个非负整数:"); scanf("%d",&num); if(num<0) puts("请不要输入负整数。"); } while(num<0); //当num大于等于0的时候 printf("%d逆向显示的结果是",num); do{ prin
c语言for循环逆向打印数组中的值
最新发布
08-03
在日常的c语言的学习中,数组是很关键的一节,在这一串代码可以帮助你了一下for循环的知识,以及数组的基本知识。 本串代码适合于一些刚接触代码的新人,小白。 通过这一串代码可以帮助你更好的理数组的一些知识...
c语言obj格式转exe,c语言读取obj文件转换数据的小例子
weixin_30666313的博客
05-21 701
// hello.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include "stdio.h"int _tmain(int argc, _TCHAR* argv[]){FILE *file1,*file2;file1=fopen("047facesmall.obj","r"); /...
INT 3 异常反调试
weixin_37740119的博客
01-22 962
代码转自https://bbs.pediy.com/thread-225740.htm #include"stdio.h" #include"windows.h" #include"tchar.h" voidAD_BreakPoint() { printf("SEH:BreakPoint\n"); __asm{ //installSEH pushhandler ...
c语言中的匿名函数,C++11新特性中的匿名函数Lambda表达式的汇编实现分析
weixin_36078354的博客
05-23 328
首先,让我们来看看以&方式进行变量捕获,同样没有参数和返回。intmain(){inta=0xB;autolambda=[&]{a=0xA;};lambda();return0;}闭包中将main中a变量改写为0xA。main中的关键汇编代码:int a = 0xB;mov dword ptr [ebp-8],0Bhauto lambda = [...
C/C++ 程序链接 与 万能反汇编工具objdump
wanglei_11的博客
12-12 2020
C/C++ 程序链接 与 万能反汇编工具objdump
C语言初学者自学整理了一天的函数栈帧的创建和销毁,求康康ヾ(^▽^*)))
weixin_62234287的博客
02-20 1236
连学再写真的弄了一天,5000字,求康康,求捞捞ヾ(≧▽≦*)o
反编译object文件c语言,Object类是如何成为所有类的“父亲”?
weixin_39565300的博客
05-18 305
前言也许大家在刚开始学Java的时候就听说过,Object类是所有的类的父类。但是有没有思考过,为什么我们自己创建的类,没有继承Object类,但是却能调用Object类的方法呢?正文下面直接看一下截图,分别是自定义类ObjectTest跟Object类。 既然我们没有显式继承Object类,也能调用Object类里的方法,那是什么机制可以达到“自动继承”呢?1.由于我们的Java是运行在JV...
线程第一次启动和异常的注册(UEF的一个特性)
被遗弃的庸才博客
07-18 613
找一个受害者(这里使用的是win 7 x32的) 这些都是之前做的现在出来上班怕到时又忘记了所以记录一下,这里是从r3开始记录的 首先需要找到一个进程用来观察它的线程的入口地址是多少,使用命令!process 0 0,如下图 最简单的方式就是挂靠到它,使用命令.process /i ,之后按g放行就挂上去了 之后使用!process可以找到ethread的地址,使用dt _ethread 875b9568命令查看当前ethread下的StartAddress 反汇编0x76..
调试DLL卸载时的死锁
CAir2的专栏
07-23 1040
转载原文:https://zhuanlan.zhihu.com/p/90591425 Dll死锁根本原因是因为FreeLibrary的时候会触发DllMain的DLL_PROCESS_DETACH,而线程退出的时候会触发DllMain的DLL_THREAD_ATTACH,由于对DllMain()的调用需要序列化,需要等待0号线程释放锁后,其它线程才能调用。而0号线程又在无限等待1号线程结束,故死锁。 前言 最近我们的程序在退出时会卡住,调查发现是在卸载dll时死锁了。大概流程是这样的:我们的dll在加
windows线程创建流程
zhuhuibeishadiao
12-23 1994
如果查看堆栈(正常的堆栈回溯) 所有线程的入口都是RtlUserThreadStart, 真正的流程如下. 包括远程线程 这里着重说明应用层,内核层不做具体描述. CreateThread->ntdll!NtCreateThread(Ex)->内核设置上下文->回到被创建线程对应进程上下文ntdll!LdrInitializeThunk->ntdll!LdrpIn...
c语言逆向超级素数代码
02-15
c语言逆向是指在没有源代码的情况下,分析和理一段已经编译好的c语言程序。超级素数代码是指一段用c语言编写的程序,用于寻找超级素数。在逆向过程中,您可以尝试分析程序的数据流,理它是如何判断一个数是否为超级素数的,以及如何对已知数据进行操作。 希望我的回答能帮助到您!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值