OllyDBG 入门系列(2)-字串参考
日期:2014-05-16 浏览次数:20390 次
OllyDBG 入门系列(二)-字串参考
http://bbs.pediy.com/showthread.php?s=&threadid=24703
经检查才发现原来是写文章前曾用修改过的?Ultra?String?Reference?插件查找过字串,这个修改后的插件会把找到的字串自动添加到代码后面作为注释,且所有字母都一律小写,导致原来文章写的时候注释中的大小写分不清楚,比较混乱。这次把文章一些地方修改了一下,全部用OD自带功能进行操作,重新制作了几个图片。因为我自己的失误,在此对给大家造成了阅读中的困惑表示抱歉!
OllyDBG?入门系列(二)-字串参考
作者:CCDebuger
上一篇是使用入门,现在我们开始正式进入破解。今天的目标程序是看雪兄《加密与解密》第一版附带光盘中的?crackmes.cjb.net?镜像打包中的?CFF?Crackme?#3,采用用户名/序列号保护方式。原版加了个?UPX?的壳。刚开始学破解先不涉及壳的问题,我们主要是熟悉用?OllyDBG?来破解的一般方法。我这里把壳脱掉来分析,附件是脱壳后的文件,直接就可以拿来用。先说一下一般软件破解的流程:拿到一个软件先别接着马上用?OllyDBG?调试,先运行一下,有帮助文档的最好先看一下帮助,熟悉一下软件的使用方法,再看看注册的方式。如果是序列号方式可以先输个假的来试一下,看看有什么反应,也给我们破解留下一些有用的线索。如果没有输入注册码的地方,要考虑一下是不是读取注册表或?Key?文件(一般称?keyfile,就是程序读取一个文件中的内容来判断是否注册),这些可以用其它工具来辅助分析。如果这些都不是,原程序只是一个功能不全的试用版,那要注册为正式版本就要自己来写代码完善了。有点跑题了,呵呵。获得程序的一些基本信息后,还要用查壳的工具来查一下程序是否加了壳,若没壳的话看看程序是什么编译器编的,如?VC、Delphi、VB?等。这样的查壳工具有?PEiD?和?FI。有壳的话我们要尽量脱了壳后再来用?OllyDBG?调试,特殊情况下也可带壳调试。下面进入正题:
我们先来运行一下这个?crackme(用?PEiD?检测显示是?Delphi?编的),界面如图:
这个?crackme?已经把用户名和注册码都输好了,省得我们动手^_^。我们在那个“Register?now?!”按钮上点击一下,将会跳出一个对话框:
?
好了,今天我们就从这个错误对话框中显示的“Wrong?Serial,?try?again!”来入手。启动?OllyDBG,选择菜单?文件->打开?载入?CrackMe3.exe?文件,我们会停在这里:
?
我们在反汇编窗口中右击,出来一个菜单,我们在?查找->所有参考文本字串?上左键点击:
当然如果用上面那个?超级字串参考+?插件会更方便。但我们的目标是熟悉?OllyDBG?的一些操作,我就尽量使用?OllyDBG?自带的功能,少用插件。好了,现在出来另一个对话框,我们在这个对话框里右击,选择“查找文本”菜单项,输入“Wrong?Serial,?try?again!”的开头单词“Wrong”(注意这里查找内容要区分大小写)来查找,找到一处:
?
在我们找到的字串上右击,再在出来的菜单上点击“反汇编窗口中跟随”,我们来到这里:
见上图,为了看看是否还有其他的参考,可以通过选择右键菜单查找参考->立即数,会出来一个对话框:
分别双击上面标出的两个地址,我们会来到对应的位置:
00440F79?|.?BA?8C104400?????MOV?EDX,CrackMe3.0044108C?????????????;?ASCII?"Wrong?Serial,try?again!"
00440F7E?|.?A1?442C4400?????MOV?EAX,DWORD?PTR?DS:[442C44]
00440F83?|.?8B00????????????MOV?EAX,DWORD?PTR?DS:[EAX]
00440F85?|.?E8?DEC0FFFF?????CALL?CrackMe3.0043D068
00440F8A?|.?EB?18???????????JMP?SHORT?CrackMe3.00440FA4
00440F8C?|>?6A?00???????????PUSH?0
00440F8E?|.?B9?80104400?????MOV?ECX,CrackMe3.00441080?????????????;?ASCII?"Beggar?off!"
00440F93?|.?BA?8C104400?????MOV?EDX,CrackMe3.0044108C?????????????;?ASCII?"Wrong?Serial,try?again!"
00440F98?|.?A1?442C4400?????MOV?EAX,DWORD?PTR?DS:[442C44]
00440F9D?|.?8B00????????????MOV?EAX,DWORD?PTR?DS:[EAX]
00440F9F?|.?E8?C4C0FFFF?????CALL?CrackMe3.0043D068
我们在反汇编窗口中向上滚动一下再看看:
00440F2C?|.?8B45?FC?????????MOV?EAX,DWORD?PTR?SS:[EBP-4]
00440F2F?|.?BA?14104400?
标 题: 【原创】OllyDBG 入门系列(二)-字串参考
作 者: CCDebuger
时 间: 2006-02-14,13:34:43
链 接: http://bbs.pediy.com/showthread.php?t=21308
<!-- google_ad_section_start -->
引用:
感谢?chuxuezhe?朋友的反馈:http://bbs.pediy.com/showthread.php?s=&threadid=24703
经检查才发现原来是写文章前曾用修改过的?Ultra?String?Reference?插件查找过字串,这个修改后的插件会把找到的字串自动添加到代码后面作为注释,且所有字母都一律小写,导致原来文章写的时候注释中的大小写分不清楚,比较混乱。这次把文章一些地方修改了一下,全部用OD自带功能进行操作,重新制作了几个图片。因为我自己的失误,在此对给大家造成了阅读中的困惑表示抱歉!
作者:CCDebuger
上一篇是使用入门,现在我们开始正式进入破解。今天的目标程序是看雪兄《加密与解密》第一版附带光盘中的?crackmes.cjb.net?镜像打包中的?CFF?Crackme?#3,采用用户名/序列号保护方式。原版加了个?UPX?的壳。刚开始学破解先不涉及壳的问题,我们主要是熟悉用?OllyDBG?来破解的一般方法。我这里把壳脱掉来分析,附件是脱壳后的文件,直接就可以拿来用。先说一下一般软件破解的流程:拿到一个软件先别接着马上用?OllyDBG?调试,先运行一下,有帮助文档的最好先看一下帮助,熟悉一下软件的使用方法,再看看注册的方式。如果是序列号方式可以先输个假的来试一下,看看有什么反应,也给我们破解留下一些有用的线索。如果没有输入注册码的地方,要考虑一下是不是读取注册表或?Key?文件(一般称?keyfile,就是程序读取一个文件中的内容来判断是否注册),这些可以用其它工具来辅助分析。如果这些都不是,原程序只是一个功能不全的试用版,那要注册为正式版本就要自己来写代码完善了。有点跑题了,呵呵。获得程序的一些基本信息后,还要用查壳的工具来查一下程序是否加了壳,若没壳的话看看程序是什么编译器编的,如?VC、Delphi、VB?等。这样的查壳工具有?PEiD?和?FI。有壳的话我们要尽量脱了壳后再来用?OllyDBG?调试,特殊情况下也可带壳调试。下面进入正题:
我们先来运行一下这个?crackme(用?PEiD?检测显示是?Delphi?编的),界面如图:
这个?crackme?已经把用户名和注册码都输好了,省得我们动手^_^。我们在那个“Register?now?!”按钮上点击一下,将会跳出一个对话框:
?好了,今天我们就从这个错误对话框中显示的“Wrong?Serial,?try?again!”来入手。启动?OllyDBG,选择菜单?文件->打开?载入?CrackMe3.exe?文件,我们会停在这里:
?我们在反汇编窗口中右击,出来一个菜单,我们在?查找->所有参考文本字串?上左键点击:
当然如果用上面那个?超级字串参考+?插件会更方便。但我们的目标是熟悉?OllyDBG?的一些操作,我就尽量使用?OllyDBG?自带的功能,少用插件。好了,现在出来另一个对话框,我们在这个对话框里右击,选择“查找文本”菜单项,输入“Wrong?Serial,?try?again!”的开头单词“Wrong”(注意这里查找内容要区分大小写)来查找,找到一处:
?在我们找到的字串上右击,再在出来的菜单上点击“反汇编窗口中跟随”,我们来到这里:
见上图,为了看看是否还有其他的参考,可以通过选择右键菜单查找参考->立即数,会出来一个对话框:
分别双击上面标出的两个地址,我们会来到对应的位置:
00440F79?|.?BA?8C104400?????MOV?EDX,CrackMe3.0044108C?????????????;?ASCII?"Wrong?Serial,try?again!"
00440F7E?|.?A1?442C4400?????MOV?EAX,DWORD?PTR?DS:[442C44]
00440F83?|.?8B00????????????MOV?EAX,DWORD?PTR?DS:[EAX]
00440F85?|.?E8?DEC0FFFF?????CALL?CrackMe3.0043D068
00440F8A?|.?EB?18???????????JMP?SHORT?CrackMe3.00440FA4
00440F8C?|>?6A?00???????????PUSH?0
00440F8E?|.?B9?80104400?????MOV?ECX,CrackMe3.00441080?????????????;?ASCII?"Beggar?off!"
00440F93?|.?BA?8C104400?????MOV?EDX,CrackMe3.0044108C?????????????;?ASCII?"Wrong?Serial,try?again!"
00440F98?|.?A1?442C4400?????MOV?EAX,DWORD?PTR?DS:[442C44]
00440F9D?|.?8B00????????????MOV?EAX,DWORD?PTR?DS:[EAX]
00440F9F?|.?E8?C4C0FFFF?????CALL?CrackMe3.0043D068
我们在反汇编窗口中向上滚动一下再看看:
00440F2C?|.?8B45?FC?????????MOV?EAX,DWORD?PTR?SS:[EBP-4]
00440F2F?|.?BA?14104400?
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
