《加密与解密》个人阅读笔记三

睡不醒的h同学

已于 2024-02-02 21:52:42 修改

阅读量894

点赞数 15

文章标签：笔记

于 2024-01-22 17:54:21 首次发布

本文链接：https://blog.csdn.net/xy_hzz/article/details/135702513

版权

文章目录

前言
开始逆向
后记

前言

本章介绍的ida静态分析和动态分析方法，作为ctf逆向选手应该已经掌握了。而且网上内容很多，所以这里不再详细记述
本文将对书中3.5.2逆向工程初步中的逆向过程进行详细记录:>

~~之前图片不知道为啥违规了，换一个~~

开始逆向

首先试着运行一下目标程序，观察运行结果
在这里插入图片描述
所以这个软件类似序列号验证软件，接下来看看要求：

按下按钮后，不显示"Okay , for now , mission failed"对话框
显示一个MessageBox对话框，上面显示用户输入的字符
显示一个对话框，用于告知用户输入的序列号是正确的还是错误的
将按钮标题由Not Reversed改为-Reversed-
使序列号为pediy

其实看到第二个要求和第三个要求的时候，我觉得有一点难办，因为这需要在程序中添加功能，可能需要自己写代码。。但是查看书中的做法后，发现程序其实已经写好这部分代码了，只是程序跳转到其他位置，导致这些代码没有执行。

在这里插入图片描述
查壳，发现是一个32位的exe文件，那么可以使用32位ida分析。

第一步，需要定位关键代码

由于第一个任务是要去除Okay , for now , mission failed 的对话框，所以要先定位相关的代码片段

因为函数比较少，所以可以先分析右侧函数窗口的白色函数
在这里插入图片描述
很容易就可以发现，在sub_4C110函数中有Okay , for now , mission failed字符串

或者我们也可以打开string窗口，直接搜索对应字符串。由于程序中字符串比较少，可以直接发现Okay , for now , mission failed字符串的位置

双击对应字符串
在这里插入图片描述
再双击132（即上图中黄色的位置），ida自动跳转到下图

之后右键–>Text View , 就能详细显示汇编语言了

不显示"Okay , for now , mission failed"对话框

书中提供了两种方法：一种方法是直接把0040123B到00401249的代码nop掉，另一种方法是将0040123B处的代码改为jmp，这样程序就不会调用MessageBoxA函数了。这里我演示一下两种方法

由于理论上ida的操作是不可撤销的，所以我们需要拍摄快照来记录当前数据库的情况
打开View->Database snapshot manager…
在这里插入图片描述
这样就打开了数据库快照的管理界面，添加快照

第一种方法：直接nop对应代码——使对应代码失效

将光标放在需要nop掉的行上，然后点击Edit ->Patch program->Change byte
在这里插入图片描述
输入90 ，点击ok，这行代码就被nop掉了

重复这段操作，直到把所有需要nop的代码都nop掉，下图为修改后的结果
在这里插入图片描述

接下来按下Exit ->Ratch program -> Apply patches to input file

注意：这一步可能会有一些坑，这里列出我曾经遇到的坑

ida里面没有Apply patches...的选项：这是因为汉化版有的地方没有汉化好，下英文原版就行了
按下Apply patches...按钮后，出现permission denied的提示。我是在windows系统上运行ida，并且在属性–>安全中确定了对应目录中有修改权限。解决方法：关闭正在运行的程序，重启ida

第二种方法： 跳过弹出对话框的函数
点击Exit->Patch program-> Assemble
在这里插入图片描述
输入 jmp near ptr 0040124Eh
Edit -> Patch program -> Apply… 完成修改

显示用户输入的字符

和书中的操作一样，先查找GetWindowTextA的使用位置
在这里插入图片描述
有两个地方调用了GetWindowText函数。第二次调用用于弹出Okay , for now , mission failed对话框，第一次调用有点可疑，点进去看看

00401211处的jmp指令直接把程序跳转到弹出Okay , for now , mission failed对话框的位置。那么这段代码nop掉，程序就能执行接下来的代码了。