日期:2014-05-16 浏览次数:20547 次
没有耐性学不好逆向!!! OD常用快捷键: f2:断点 f3:打开文件 f4:执行到光标 f5:窗体大小话 f6:窗体切换 f7:单步步入 f8:单步步过 f9:运行(到断点停下) 组合快捷键: ctrl+f2:重启调试程序 ctrl+f7:自动单步步入 ctrl+f8:自动单步步过(esc暂停) ctrl+G:转到地址 ctrl+N:找到调用的API地址 ctrl+f9:执行到返回(一般是RETN 指令) shift + f9 :忽略系统产生的异常, (也可以在设置的忽略异常中添加忽略范围0 - 88888888 全程忽略) alt+ f7 :转到上一个参考 alt+ f8 :转到下一个参考 alt+ f9: 返回到程序的领空(用户态) 空格:修改指令 分号(英文):写注释 { 以前没发现的调试技巧,当程序一闪而过的时候,很恼火是吧,特别是注册时候,一旦输入错误直接退出,没时间下断,如先弹框然后点击确定后直接退出, 我们可以让他先弹框,然后OD点击暂停,然后alt+f9返回到用户界面,单击确定,这样程序就(处理不了消息了,可以接收),然后就会回到暂停的位置,然后我们可以ctrl+f9 或者单步f8返回,返回到调用它的位置(一般是pop的位置) } (有一种取消息的死循环就是当程序调用GetMessageA() 或PeekMessage()时由于我们在调试,使程序得不到消息会一直在等系统给他的分派消息而死循环,这时只需要点击一下程序就行了 ) PE结构简介: 1.OD中可以查看PE头文件,通过Memory map 看他分为几个段 在其中的数据是从右向左读的,为什么呐?因为 windows是大尾的数据存法,高地址在右边, 如 004013c0 47 45 32 12 -----> asi(12,32,45,47) 其中 比如 004000E8 00 10 00 00 -----> 00 00 10 00 ---> 1000(H) ,记住,在每一个字节内的显示顺序是对的,但是是16进制的(这个在od 也可以调) 低 <----------------------> 高 低 | 高 的内存分布。所以嘛,栈是在高地址的,系统栈空间嘛,堆是在低地址的,系统管不着 004013c0 47 --- > 两位16进制就是一个字节(八位) 004013c1 45 004013c2 32 004013c3 12 所以最高位是高地址,先读 之所以是横着排放,宽度只要看上下两个地址的差就行了,这个可以自己调在OD里面 004013c4 78 43 34 55 一般的exe文件是在0x00400000 的基址开始载入内存的 一般代码段是在0x004001000 开始的 ,前一千个字节是PE头 and 是汇编的与操作 add 是汇编的加操作 call 和 ret (ret n) 是成对存在的 sar: 算术右移,通常用在对带符号的数字减半,最高位符号位(最右边)不变,最低位右移到cf中(除2 , sar eax,5 就是除 32 在放入 eax) VA:是PE文件载入内存中的一片线性地址 RVA:就是在相对虚拟地址(relative Virtual Address ,相对于基址的偏移地址) EP: entry point 程序入口点 OEP: orgin entry point 原始程序入口点(相对于加壳后) 记住程序的PE头是在 00400000 开始的,而 dll 的地址一般是在73453535 以7开头的地址也就是系统领空的 一般正确的PE结构就是在memory中一个段占1000(或者2000 ,3000 ,但是不会是5000这莫大) 字节的如: 地址 大小 区段 00400000 1000 PE头 PE 文件头 00401000 1000 .text 00402000 1000 .rdata 00403000 1000 .data 00404000 1000 .rsrc 77D10000 1000 User32 PE 文件头 +1000 1000 .text +1000 1000 .rdata +1000 1000 .data +1000 1000 .rsrc 77EF0000 1000 GDI32 PE 文件头 +1000 1000 .text +1000 1000 .rdata +1000 1000 .data +1000 1000 .rsrc 7C800000 1000 Kernel32 PE 文件头 +1000 1000 .text +1000 1000 .rdata +1000 1000 .data +1000 1000 .rsrc 其中地址和大小都是16进制的,几个比较主要的PE文件地址映射关系,之所以都是1000的整数倍,是为例内存对齐 一般对于过大的PE头就是有问题的,并且做过修改后,用OD打开还会爆出缺少段的错误,没关系 这是常用的PE头数据 SizeOfCode = 400 (不会太大) ---> 40000400 SizeOfInitializedData = A00 + 4000000 (基址的大小) SizeOfUninitializedData = 0 + ---> 40000A00 AddressOfEntryPoint = 1000 BaseOfCode = 1000 ---> 40001000 BaseOfData = 1000 ---> 40002000 ImageBase = 400000 --->虚拟基址(一般不变) NumberOfRvaAndSizes = 10 (比较固定) 太大了会占用太多的内存 Export Table address = 0 (不是dll ,没有导出表) (可以随便改) Export Table size = 0 (不是dll ,没有导出表) (可以随便改) Import Table address = 0 (有导入表) Import Table size = 0 函数的入口点一般都是 55 H 就是push ebp 记住修改头文件后,保存的时候要注意,首先记住开始改的地方,然后转到数据窗口,往下选择一段(不要太长,否则有问题,太大放不下),选择保存到文件,后面的数据说明PE文件是可以动态的修改的,只要 只要把代码段的基地址,和数据段的基地址向后平移,当然code size 也要增大,就会得到新的反调试的程序,OD载入会报错,但是 windows 加载器就会智能的识别并正确运行 VC是禁止用寄存器传递参数的,一般delphi 是经常用寄存器传递参数的 遇到call 函数 不进入预览,可以按Enter 实现,看看 call 的内容 SEH (Structured exception handling )结构化异常处理,windows 操作系统提供的功能,跟开发工具无关,windows程序设计最重要的理念就是消息传递。也就是事件驱动,当程序触发一个消息时,系统将把该消息放在消息队列, 然后去查找调用窗体对应的消息处理函数(callback),传递的参数就是这个消息(前提是那个对应的应用程序在系统注册过消息处理函数的callback)(do not call me,i will call you ,等到有事的时候才发生函数执行) 实际上我们可以把异常也当做一种消息,当应用程序发生异常时就触发该消息并通知 系统(打小报告),系统在找这个异常的处理回调函数,也就是常说的异常处理例程,如果我们没有在程序中做异常处理,系统不会置之不理,会弹出“应用程序错误”的错误框,然后结束掉该程序,所以当我们用callback的思维来看待SEH就没啥神秘的了 一般程序的修改都是修改一个功能,然后dump一下,然后测试通过再进行下一个修改 (就像版本升级一样) 查找字符串一般是先打开内存窗口,然后 ctrl+b 查找 asc 或 Unicode 都要试试(这里搜索要把光标拉倒最上面,的大小写不要选中,因为系统有时候会故意把小写变大写,也可以两次都进行尝试,有的区分了大小写就搜不出来,要在指令处双击进去,不是在 ASC码的地方点进去),然后修改,注意修改的时候 要保证 字节对齐,就是没修改的也填充,这样不会有问题,然后在数据窗口保存(edit->save to exectutable ) 再内存中查看参考都是,就是找到那个字符串的时候,可以查看参考(find refere