C++反汇编实战——OllyDBG分析简单C语言程序(以for循环语句为例)

最新推荐文章于 2024-04-17 22:32:02 发布
最新推荐文章于 2024-04-17 22:32:02 发布
阅读量556 收藏 4
点赞数
文章标签: 汇编 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61969032/article/details/134299957
版权

本文主要使用吾爱破解版OllyDBG对VS编译的C++程序进行反汇编分析

爱盘 - 最新的在线破解工具包

Ollydbg从以上网站选择“吾爱破解专用版Ollydbg.rar”下载

参考书籍是钱林松,赵海旭著《C++反汇编与逆向分析技术揭秘》(第一版)

笔者是刚开始学习逆向的小白,如有错误还望诸位大神不吝赐教

一、先写一个简单的C程序

这里创建了一个控制台应用,写了一个简单的for循环语句进行累加。

注意因为吾爱破解版Ollydbg只支持32位的,所以在红色画线的部分要改为x86,另外建议把Release改为Debug

以上修改都完成之后选择本地调试器的空心三角生成对应的exe程序

随后在项目的文件夹中会出现Debug文件夹,打开文件夹后有一个以项目名命名的exe。这个exe是我们待会放在Ollydbg里分析的对象。(项目名\Debug\项目名.exe)

二、打开Ollydbg

按照吾爱破解专用版Ollydbg压缩包里的使用说明完成路径修复,然后打开吾爱破解[LCG].exe

左上角选择文件——打开,选中刚才生成的exe文件

此时会同时生成程序窗口和加载汇编代码

程序窗口记得一定不要关,先最小化放在一边

Ollydbg基本操作介绍

以下是从吾爱破解论坛找的Ollydbg快捷键的介绍(原文:破解入门(二)-----认识OllyDBG - 『脱壳破解区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

下图两个按钮中左边两个三角是重新运行程序,右边叉号是清空窗口,回到刚打开文件时全黑的状态。

(就像打幽灵行者的时候会摁烂R键一样,以后会有无数遍重新运行的……)

F5键可以切换界面,变化为一个窗口占据整个屏幕或者多个窗口层叠排列

(在前文一个窗口占据整个屏幕时可以通过F6来切换显示窗口)

三、程序分析

不同的程序有不同的分析目的,前文写的程序的最重要的主体是for循环语句(也是唯一有意义下手的地方)故我们本次分析的主要目标就是找到for语句在哪里执行。进一步我们可以在仅有exe文件的基础上对一个执行程序进行修改。(但是本文暂不包括修改的部分,因为笔者还没学会)

穷举找主函数

对于新手来说比较直接且比较笨的一个办法就是,直接把程序中所有的call语句都进去看一遍……

F8可以执行单步步过,在遇到call语句的时候换成F7步入,然后一直运行到retn语句返回上一层(或者出现死循环的时候可以通过Ctrl+F9返回上一层)

尽管这不是一种应该被提倡的方法,但是笔者确实通过这种遍历的过程加深了理解……

关于主函数的特征此处引用另一篇博客的内容

代码逆向(一)——寻找main函数入口-CSDN博客

笔者个人总结规律如下,不完全适用(可能对于复杂的程序会完全不适用)列出来只是觉得实战时可以这般总结经验

在遇到以下语句之前只需要F8单步步过,直到到达这些语句进入执行操作

jmp for_test.mainCRTStartupr_initialize_mtapachdled >pper   (F7/F8)

call for_test.__scrt_common_mainrt_uninitialize_criticalhar>>::sentry::operator booly_base(F7)

call for_test.__scrt_common_main_sehr,std::char_traits<char> >::_Sentry_base::~_Sentry_base(F7)

call for_test.invoke_main_slow_path_check_os_handled >pper(F7)

(这里会有一个call语句,就是前面主函数特征中紧挨着三个mov和push语句的call语句)(F7)

jmp for_test.mainept_handler4_noexcepte_modetfaillength(F7/F8)

在单步步过时还要注意中间可能出现的黄底红字标识的跳转语句(jmp/jnz/je等等),可能摁着F8就不小心把该步入的call语句步过了……

根据教材上的说法对比,可以明确地发现红框里的代码就是for循环的代码了

善用搜索引擎

以上是普适的笨办法,相对而言效率更高的方法就是使用自带的搜索引擎搜索出现过的字符。

前面编写的程序,在结尾有一个很明确的输出字符串“累加结果为”的语句。或者在刚才笨办法找出来的代码里,可以很明确地看到右侧注释区有一个“累加结果为”。

不难确认这是一个在主程序里执行的语句。通过搜索引擎可以检索出字符串及所在位置

在代码区域右键,选中“中文搜索引擎——智能搜索”

这是检索结果

有很多结果,但是不难发现“累加结果为”的那一行

如果查出来的字符串极多,可以右键Find检索特定字符串

在Find框里输入检索词

如果想找的结果正好在首位,右键“Find Next”找下一个就行

另外检索词尽量不要输入完全的字符串,因为在程序中有时看起来连贯的字符串可能其实是几部分拼起来的,输入完整的反而导致可能搜不到。

总之我们找到了这条关键的字符串对应的语句,直接双击就会跳转到它在代码中的位置。

我们无论如何找到了for循环在代码中对应的位置,在对应段落单步步过的时候,也会发现很明显地循环了程序里对应的次数。

至此,我们的分析任务告一段落。

在写这篇的时候萌生了下一篇利用Ollydbg修改破解的思路,不过何时实现……就让笔者先挖个坑吧

DV_gottisttot
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
反编译OD工具OllyDbg2.01.zip
aeaxea43的博客
05-02 614
经典反编译工具,OD,啥都不用说了。懂得都懂。 http://kk04.cn/f-6256.html
od反编译c语言插件,Ollydbg反汇编工具
weixin_32601635的博客
05-27 4903
ollydbg反汇编工具是款专业的od反汇编工具,功能就是将目标代码转为汇编代码,内含118脱壳脚本和各种插件,拥有分析函数过程、循环语句、选择语句、表[tables]、常量、API调用、函数中参数的数目和import表等功能,这些分析增加了二进制代码的可读性,减少了出错的可能性,使得我们的调试工作更加容易。ollydbg反汇编工具功能介绍启动您可以采用命令行的形式指定可执行文件、也可以从菜单中选...
Windows系统下查看C语言文件反汇编
obstacle19的博客
04-17 1153
MinGW 的全称是:Minimalist GNU on Windows ,MinGW 就是 GCC 的 Windows 版本 。 MinGW-w64 与 MinGW 的区别在于 MinGW 只能编译生成32位可执行程序,而 MinGW-w64 则可以编译生成 64位 或 32位 可执行程序。 MinGW-w64是2005年为了将ObjectiveC程序移植到64位Windows问题,由OneVision Software根据 净室设计原则 (ReactOS是一个逆向工程Windows而净室实现的开源操
吾爱破解专用版ollydbg
12-09
吾爱破解专用版ollydbg
C/C++ 程序反调试的方法
CSDN
08-18 5954
C/C++ 要实现程序反调试有多种方法,BeingDebugged,NtGlobalFlag,ProcessHeap,CheckRemoteDebuggerPresent,STARTUPINFO,IsDebuggerPresent,父进程检测,TLS 线程局部存储,RDTSC时钟检测反调试,MapFileAndCheckSum,等都可实现反调试,这里我分别编写了一些案例,基本上一锅端了。 使用W...
c语言反汇编教程,ollydbg使用――反汇编入门
weixin_42309785的博客
05-20 4084
反汇编需要汇编语言的基础,感觉可以同时学,ollydbg快捷键:F2――下断点,也就是指定断点的地址;F3――加载一个可执行程序,进行调试分析;F4――程序执行到光标处;F5――缩小还原当前窗口;F7――单步步入;F8――单步步过;(Ctrl+F8可以自动步过并设置断点)F9――直接运行程序,遇到断点处,程序暂停;Ctrl+F2――重新运行程序到起始处,一般用于重新调试程序;Ctrl+F9――执行...
动态分析OllyDbg
AlienEowynWan的博客
07-11 1363
OllyDbg调试器 准备工作 使用之前要设置UDD文件和插件的路径,一般设置成绝对路径。 单击“Options”-“Appearance”打开界面选项对话框,单击“Directories”。 主界面: 在反汇编面板窗口的列中,双击可以完成如下操作。 ●Address列:显示被双击行地址的相对地址,再次双击返回标准地址模式。 ●Hex dump列:设置或取消无条件断点,对应的快捷键是“F2” 键。 ●Disassembly 列:调用汇编器,可直接修改汇编代码,对应的快捷键是空格键。 ●Comment 列
OllyDbg反汇编软件
07-09
通过反汇编程序安全专家可以定位可能导致安全问题的代码片段,比如缓冲区溢出、格式字符串漏洞等。此外,它还可以帮助研究人员测试防病毒软件的效果,模拟攻击行为,从而提高系统的防御能力。 OllyDbg的特色功能...
OD.rar_ollYdbg_反汇编
09-14
Ollydbg ,是反汇编工作的常用工具
ollydbg_30597_ollydbg和x64dbg_ollYdbg_od动态反汇编_od_反汇编_
09-29
ollydbg(od反汇编工具)是当前逆向工程主流的动态跟踪调试工具,ollydbg(od反汇编工具),过程直观简练,是反汇编工作必备的调试工具。
游戏安全反汇编分析开启取消自动攻击call
11-08
反汇编是指将机器语言转换为汇编语言的过程,而游戏安全反汇编分析则是指对游戏程序反汇编分析,以检测和防止游戏中的自动攻击行为。 在游戏安全反汇编分析中,我们需要对游戏程序进行反汇编,以便检测和分析...
吾爱破解专用版Ollydbg7周年
09-15
使用前将安装包解压到固定目录下,然后运行根目录下的”路径修复工具.exe“文件,这个文件会自动把ollydbg.ini中的“C:\吾爱破解专用版Ollydbg”路径全部替换成当前解压出来的文件夹路径,方便程序识别插件和一些功能,当你移动OD目录后,也要进行同样操作,更新配置中的路径。
C++反编译工具
12-02
一款好用的C++反编译器,让你轻松反编译出源代码
51反汇编工具集
10-15
我自己收集的一些51反汇编工具。对于要反汇编的同学们非常有帮助
Ollydbg动态反汇编工具V2.01版
01-09
Ollydbg是一款著名的动态反汇编工具,专为Windows操作系统设计,旨在帮助程序员和安全研究人员进行汇编级别的程序调试和错误排查。这款工具因其强大的功能和友好的用户界面,深受广大开发者和逆向工程爱好者的喜爱。...
二、C++反作弊对抗实战 (进阶篇 —— 18.如何检测与对抗各种调试器)
Koma的主页
04-16 1823
如何检测与对抗各种调试器 为了应对破解者调试我们的反作弊系统,所以我们需要检测各种调试器,以此来判断我们的游戏是否正在被调试。本文将非常详细的由浅入深的介绍ring3下面各种常见的检测方法(包括示例代码)
windows多线程没那么难
vpoet
06-25 2277
windows多线程没那么难 作者:vpoet mail:18200268879@163.com 上一博文中我们引入了CreateThread()多线程编程一个简单的例子,事实上我说windows 多线程没那么难,那是为了安慰你,但是不要怕,困难时让人克服的。再大的困难也难不 倒英雄的中国程序员。 下面我又要介绍一个多线程的问题: 我们首先看一个Demo,经典
OD+IDA动静结合反编译C++
qq_20031585的博客
04-27 8283
通过OD动态调试,内存查到定位程序代码,IDA静态反编译出来C/C++伪代码,本文完整走一遍逆向反编译的流程。
OllyDbg
cyynid的博客
02-25 2650
本文通过吾爱破解论坛上提供的OllyDbg版本为例,讲解该软件的使用方法。
devc++怎么进行反汇编
最新发布
04-18
DevC++是一个集成开发环境(IDE),用于C和C++编程。它提供了一个用户友好的界面,可以方便地编写、调试和运行代码。然而,DevC++本身并不提供反汇编功能,因为反汇编是一个与编程语言无关的过程,需要使用专门的工具来完成。 要进行反汇编,你可以使用一些专门的反汇编工具,例如IDA Pro、OllyDbg等。这些工具可以将二进制文件转换为汇编代码,以便你可以查看程序的底层实现和执行流程。 如果你想在DevC++中进行反汇编,你可以按照以下步骤操作: 1. 打开DevC++并创建一个新的C或C++项目。 2. 将你要反汇编的二进制文件添加到项目中。 3. 在项目设置中配置编译选项,以便生成可调试的二进制文件。 4. 使用反汇编工具(如IDA Pro)打开生成的可执行文件,并查看其汇编代码。 请注意,反汇编是一项高级技术,需要对计算机体系结构和汇编语言有一定的了解。在进行反汇编之前,请确保你具备足够的知识和经验,并遵守相关法律法规。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值