日期:2014-05-16  浏览次数:20547 次

动态分析工具OllyDbg学习笔记(一)-入门
没有耐性学不好逆向!!!

OD常用快捷键:

f2:断点
f3:打开文件
f4:执行到光标
f5:窗体大小话
f6:窗体切换
f7:单步步入
f8:单步步过
f9:运行(到断点停下)

组合快捷键:
ctrl+f2:重启调试程序
ctrl+f7:自动单步步入
ctrl+f8:自动单步步过(esc暂停)
ctrl+G:转到地址
ctrl+N:找到调用的API地址
ctrl+f9:执行到返回(一般是RETN 指令)

shift + f9 :忽略系统产生的异常, (也可以在设置的忽略异常中添加忽略范围0 - 88888888 全程忽略)

alt+ f7 :转到上一个参考
alt+ f8 :转到下一个参考
alt+ f9: 返回到程序的领空(用户态)
空格:修改指令
分号(英文):写注释
{
	以前没发现的调试技巧,当程序一闪而过的时候,很恼火是吧,特别是注册时候,一旦输入错误直接退出,没时间下断,如先弹框然后点击确定后直接退出,
	我们可以让他先弹框,然后OD点击暂停,然后alt+f9返回到用户界面,单击确定,这样程序就(处理不了消息了,可以接收),然后就会回到暂停的位置,然后我们可以ctrl+f9 或者单步f8返回,返回到调用它的位置(一般是pop的位置)
}

(有一种取消息的死循环就是当程序调用GetMessageA() 或PeekMessage()时由于我们在调试,使程序得不到消息会一直在等系统给他的分派消息而死循环,这时只需要点击一下程序就行了 )

PE结构简介:

1.OD中可以查看PE头文件,通过Memory map 看他分为几个段

在其中的数据是从右向左读的,为什么呐?因为 windows是大尾的数据存法,高地址在右边,
如
004013c0    47 45 32 12  -----> asi(12,32,45,47)   其中
比如
004000E8    00 10 00 00  -----> 00 00 10 00  ---> 1000(H)   ,记住,在每一个字节内的显示顺序是对的,但是是16进制的(这个在od 也可以调)

低 <----------------------> 高

低
 |
高

的内存分布。所以嘛,栈是在高地址的,系统栈空间嘛,堆是在低地址的,系统管不着


004013c0    47  --- > 两位16进制就是一个字节(八位) 
004013c1    45
004013c2    32
004013c3    12

所以最高位是高地址,先读
之所以是横着排放,宽度只要看上下两个地址的差就行了,这个可以自己调在OD里面
004013c4    78 43 34 55 

一般的exe文件是在0x00400000 的基址开始载入内存的
一般代码段是在0x004001000   开始的 ,前一千个字节是PE头

and 是汇编的与操作
add 是汇编的加操作
call 和 ret (ret n) 是成对存在的
sar: 算术右移,通常用在对带符号的数字减半,最高位符号位(最右边)不变,最低位右移到cf中(除2 , sar eax,5  就是除 32  在放入 eax)

VA:是PE文件载入内存中的一片线性地址
RVA:就是在相对虚拟地址(relative Virtual Address ,相对于基址的偏移地址)
EP: entry point 程序入口点
OEP: orgin entry point 原始程序入口点(相对于加壳后)
 
记住程序的PE头是在 00400000 开始的,而 dll 的地址一般是在73453535 以7开头的地址也就是系统领空的
一般正确的PE结构就是在memory中一个段占1000(或者2000 ,3000 ,但是不会是5000这莫大) 字节的如:
地址	        大小   区段
00400000		1000   PE头    PE 文件头
00401000		1000   .text
00402000		1000   .rdata
00403000		1000   .data
00404000		1000   .rsrc


77D10000        1000   User32   PE 文件头
+1000           1000   .text
+1000           1000   .rdata
+1000           1000   .data
+1000           1000   .rsrc

77EF0000        1000   GDI32   PE 文件头
+1000           1000   .text
+1000           1000   .rdata
+1000           1000   .data
+1000           1000   .rsrc


7C800000        1000   Kernel32 PE 文件头

+1000           1000   .text
+1000           1000   .rdata
+1000           1000   .data
+1000           1000   .rsrc


其中地址和大小都是16进制的,几个比较主要的PE文件地址映射关系,之所以都是1000的整数倍,是为例内存对齐
一般对于过大的PE头就是有问题的,并且做过修改后,用OD打开还会爆出缺少段的错误,没关系

这是常用的PE头数据
SizeOfCode = 400 (不会太大)    ---> 40000400
SizeOfInitializedData = A00    + 4000000 (基址的大小)
SizeOfUninitializedData = 0   + ---> 40000A00
AddressOfEntryPoint = 1000   
BaseOfCode = 1000            --->  40001000 
BaseOfData = 1000            --->  40002000 
ImageBase = 400000  --->虚拟基址(一般不变)
NumberOfRvaAndSizes = 10 (比较固定) 太大了会占用太多的内存
Export Table address  = 0 (不是dll ,没有导出表) (可以随便改)
Export Table size = 0 (不是dll ,没有导出表)   (可以随便改)

Import Table address  = 0 (有导入表) 
Import Table size = 0  

函数的入口点一般都是 55 H 就是push ebp 

记住修改头文件后,保存的时候要注意,首先记住开始改的地方,然后转到数据窗口,往下选择一段(不要太长,否则有问题,太大放不下),选择保存到文件,后面的数据说明PE文件是可以动态的修改的,只要 只要把代码段的基地址,和数据段的基地址向后平移,当然code size 也要增大,就会得到新的反调试的程序,OD载入会报错,但是 windows 加载器就会智能的识别并正确运行

VC是禁止用寄存器传递参数的,一般delphi 是经常用寄存器传递参数的
遇到call 函数 不进入预览,可以按Enter 实现,看看 call 的内容
 
SEH (Structured exception handling )结构化异常处理,windows 操作系统提供的功能,跟开发工具无关,windows程序设计最重要的理念就是消息传递。也就是事件驱动,当程序触发一个消息时,系统将把该消息放在消息队列,
然后去查找调用窗体对应的消息处理函数(callback),传递的参数就是这个消息(前提是那个对应的应用程序在系统注册过消息处理函数的callback)(do not call me,i will call you ,等到有事的时候才发生函数执行)
实际上我们可以把异常也当做一种消息,当应用程序发生异常时就触发该消息并通知 系统(打小报告),系统在找这个异常的处理回调函数,也就是常说的异常处理例程,如果我们没有在程序中做异常处理,系统不会置之不理,会弹出“应用程序错误”的错误框,然后结束掉该程序,所以当我们用callback的思维来看待SEH就没啥神秘的了


一般程序的修改都是修改一个功能,然后dump一下,然后测试通过再进行下一个修改 (就像版本升级一样)  

查找字符串一般是先打开内存窗口,然后 ctrl+b 查找 asc 或 Unicode 都要试试(这里搜索要把光标拉倒最上面,的大小写不要选中,因为系统有时候会故意把小写变大写,也可以两次都进行尝试,有的区分了大小写就搜不出来,要在指令处双击进去,不是在 ASC码的地方点进去),然后修改,注意修改的时候 要保证 字节对齐,就是没修改的也填充,这样不会有问题,然后在数据窗口保存(edit->save to exectutable )
再内存中查看参考都是,就是找到那个字符串的时候,可以查看参考(find refere