从零开始的程序逆向之路基础篇 第二章——用OllyDbg(OD)分析一个简单的软件

最新推荐文章于 2024-07-24 15:14:29 发布
最新推荐文章于 2024-07-24 15:14:29 发布
阅读量3k 收藏 21
点赞数 2
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoi123/article/details/81285914
版权
本文介绍了如何使用OllyDbg(OD)进行程序逆向分析,通过三种方法绕过一个判断explorer.exe进程的小程序的检查:1)修改进程名称字符串;2)更改jnz指令为jz或je;3)强制跳转。并以一个简单的数字判断程序为例,解析了OD分析程序的步骤,包括函数调用、参数传递等概念。
摘要由CSDN通过智能技术生成

作者:Crazyman_Army

原文来自:https://bbs.ichunqiu.com/thread-43469-1-1.html

 

0x00知识回顾 (由于笔者省事,没开XP虚拟机,而且没关闭ASLR,所以每次重载的内存地址会不一样)

在第一章的内容中,笔者已经讲了OllyDbg(简称OD)的界面介绍以及基础的操作,普及了常用的汇编指令


上次课在底下的附件中,我留下了一个演示样例,大家载入OD后搜索到字符串点击跟踪到反汇编窗口的时候会发现与第一章所讲的程序的框架不太一样.

 

image.png


尤其可见多出了很多的call指令,call指令在汇编中就是调用子程序,下面放出代码,各位同学可以比对一下与上篇文件所贴出代码的不同

代码如下:

 

#include <windows.h>

#include <tlhelp32.h>   

#include <stdio.h>

BOOL getProcess(const char *procressName);

BOOL getProcess(const char *procressName)

{

        char pName[MAX_PATH];                                

        strcpy(pName, procressName);                            

        CharLowerBuff(pName, MAX_PATH);                       

        PROCESSENTRY32 currentProcess;                       

        currentProcess.dwSize = sizeof(currentProcess);        

        HANDLE hProcess = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

        if (hProcess == INVALID_HANDLE_VALUE)

        {

                printf("CreateToolhelp32Snapshot()调用失败!\n");

                return FALSE;

        }

        _asm NOP;

        BOOL bMore = Process32First(hProcess, ¤tProcess);        

        while (bMore)

        {

                CharLowerBuff(currentProcess.szExeFile, MAX_PATH);        

                if (strcmp(currentProcess.szExeFile, pName) == 0)            

                {

                        CloseHandle(hProcess);                                

                        return TRUE;

                }

                bMore = Process32Next(hProcess, ¤tProcess);           

        }

        CloseHandle(hProcess);    

        return FALSE;

}

int main()

{

        char* process = "explorer.exe";

     

最低0.47元/天 解锁文章
张悠悠66
关注
  • 2
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[系统安全] 二十三.逆向分析OllyDbg动态调试复习及TraceMe案例分析
杨秀璋的专栏
02-22 6220
作者前文介绍了微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。这文章将详细讲解逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。
[系统安全] 四.OllyDbg动态分析工具基础用法及Crakeme逆向破解
杨秀璋的专栏
12-22 6607
系统安全系列作者将深入研究恶意样本分析逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文普及了IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。这文章将详细介绍OllyDbg基础用法和CrakeMe案例,逆向分析的“倚天屠龙”,希望对入门的同学有帮助。
ollydbg分析器的讲解 汉化知识
08-10
ollydbg分析器的讲解 汉化知识
从零开始的小白程序之路
feng75694的博客
07-25 2085
我是一名小白程序员,刚刚被培训出来,正在找工作,这是我的程序人生的第一天,我在考虑是否能夭折呢
逆向分析学习入门教程(非常详细)零基础入门到精通,看这一就够了!_逆向都要学啥
最新发布
小司机的奥拓
07-24 1292
jnz的十六进制码为75,jz的十六进制码为74,只需将可执行程序中的75改为74就可以。\n”压入栈,供printf函数使用,在反汇编程序代码中,如果调用的函数有参数,都是先将函数的参数先用push指令压入栈中,例如:add(int a,int b),调用add函数前,先将参数a和b压入栈,根据 __cdecl调用规则,先push b,再push a,最后再调用add函数。java,c,c++,C#,pascal,python,lisp,prolog,FoxPro,易语言等等 均属于高级语言。
从零开始算法之路 ---- 130. 被围绕的区域(self)
IT小白的博客
09-08 131
前言:小白入门题解,算法大佬可以直接跳过此博客(大佬轻喷哈) 题源: 力扣(LeetCode)https://leetcode-cn.com/problems/surrounded-regions/ 题目描述: 给定一个二维的矩阵,包含 ‘X’ 和 ‘O’(字母 O)。 找到所有被 ‘X’ 围绕的区域,并将这些区域里所有的 ‘O’ 用 ‘X’ 填充。 解决方案 一: 思路:    用一个和 boa...
从零开始的NLP之路
QQQQQQlt的转行之路
07-13 829
            这文章主要用来记录学习NLP过程中所需要的知识目录,不涉及知识细节,随时学习,随时补充。 一、数学基础 最优化 二、编程基础 Python Linux 三、机器学习 kNN 四、深度学习 CNN RNN LSTM 五、自然语言处理          ...
使用OllyDbg从零开始,全中文,教程所用实战程序均可下载,共58章。
12-08
使用OllyDbg从零开始,全中文,教程所用实战程序均可下载,共58章。这是一部从零开始的,完全可以零基础开始学习,所有的工具以及实战用的应用程序均可以在里边下载到,而且不会失效,建议喜欢的人赶紧下载。
从零开始程序逆向之路 第一章——认识OD(Ollydbg)以及常用汇编扫盲
xiaoi123的博客
07-23 1445
作者:Crazyman_Army 原文来自:https://bbs.ichunqiu.com/thread-43041-1-1.html   0×00 序言: 1.自从上次笔者调戏完盗取文件密码大黑客后,这激发了笔者的创作热情,就给大家带来程序逆向系列,当然有一些地方还是有所欠缺,请大家在私聊中指出我文中的错误,我会加以改正。   2.本教程每文章都会在附件中给出一个程序逆向例子,...
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6151
系统安全系列作者将深入研究恶意样本分析逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
逆向编程 OD破解之路:跳过加密狗验证.rar
04-25
逆向编程 OD破解之路:跳过加密狗验证
OD软件的详细说明演示
03-11
OD软件的详细说明演示。OD软件的详细说明演示。OD软件的详细说明演示。OD软件的详细说明演示
OllyDBG nooby 软件名称,简称OD
09-02
 软件名称,简称OD一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了.同时还支持插件扩展功能,是目前最强大的调试工具.   里面分为CPU窗口,LOG窗口,Execuable modules窗口,Memery窗口,Threads窗口,Windows窗口等,其中cpu窗口种还包括反汇编窗口,信息窗口,数据窗口,寄存器窗口和堆栈窗口,极大的方便了使用者。
OllyDbg笔记-暴力破解简单判断程序(TraceMe.exe与简单Qt程序
IT1995的博客
12-05 7164
目录 基本概念 代码与实例 打包下载 基本概念 分析一个程序,用什么API函数作为切入点十分关键。 设置OllyDbg中断在程序的入口: System breakpoint:系统断点,OllyDbg用CreateProcessA加载DEBUG_ONLY_THIS_PROCESS参数执行,程序运行之后会触发一个INT13,在系统空间里。 Entry point...
OD(Ollydbg)简介
am_03的博客
08-28 8567
ollydbg简介: Ollydbg 通常称作OD,是反汇编工作的常用工具,OD附带了200脱壳脚本和各类插件,功能非常强大,可以过SE,VMP3.0,深受逆向圈内人士的喜爱 OD,是一个反汇编工具,又叫OllyDebug,一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3 级的调试器,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。基本上,调试自己的程序因为有源码,一般用vc,破解别人的程序用OllyDebug。 这里面地
模型辨识读书笔记
业精于勤,荒于嬉
04-18 788
我们的计算方案相当于一种推理方法,该方法使用乘法作为AND运算符,根据规则的激发强度对每个规则的输出进行加权,并将输出值计算为每个规则的输出的加权平均。(4)和(5)以及径向基函数(Radial Basis Functions, RBF)建模方法(Powell,1987),这提出了将该模型解释为RBF模型的另一种形式。是具有M-N个元素的常量列向量。等价的IF-THEN规则则变成Takagi-Sugeno类型(Takagi and Sugeno,1985),其中每个规则的结果是输入变量中的线性方程。
c++类成员函数指针
寻梦&之璐
01-19 7650
提出疑问 首先问大家一句,什么是函数指针? 肯定有的人会这样回答,函数指针?不就是指向函数地址的一个指针吗?或者就是一个存放着一个函数首地址的变量? 当然,那些有点底层基础的肯定会这样说,函数就是一堆连续的机器码,而函数指针,就是存放了这堆连续机器码首地址的变量。 那么大家是不是回答的时候,考虑的地方是不是仅仅局限于 一般的函数????那么成员函数呢??? 为什么得强调成员函数呢?因为成员函数包括了虚函数和非虚函数(这里涉及虚表问题,可以先简单看看列出的虚函数系列,否则接下来问题会有点难以接受。) 虚函数
浅学软件逆向笔记(1)
m0_62063669的博客
08-07 1326
软件找oep把程序拖进OD,运行,ctrl+j就到了oepcall的介绍call就是程序调用,当程序执行到call,会做一系列的对比,对比完就做提示。
"OllyDbg 快捷键使用大全:详细介绍,游戏逆向分析必看
如果当前没有调试的程序OllyDbg会运行历史列表中的第一个程序。在程序重启后,所有内存断点和硬件断点都会被删除。需要注意的是,从实际使用效果看,硬件断点在程序重启后并没有移除。 2. Alt F2- 关闭程序,即...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值