好友
阅读权限10
听众
最后登录1970-1-1
|
3#
楼主|
独孤の宿命
发表于 2011-1-6 11:48
|楼主
本帖最后由 独孤の宿命 于 2011-1-7 11:39 编辑
回复 1# 独孤の宿命
【文章标题】: 我的断点心得——帮初学者进阶
【文章作者】: 书呆彭
【使用工具】: OD,MSDN,VC
【作者声明】: 本文完全是个人的心得与体会,看到许多初学者还在苦苦寻找“字符串”和“关键跳”,特写此文,其中错误和不当之处,欢迎大家多多批评指正。
------------------->8-------------------------------------------------------------
【详细过程】
在正文开始之前,先说几句。
要写一篇文章是很累的,要打字,为了效果好还要截图、排版等。
而且写这些东西是没有报酬的,属于义务劳动。
我只希望能对出学者有所帮助,为论坛做点贡献。
我也希望读者能仔细地把文章看完。
看完后有什么意见就说什么。
我不希望看的人随便把网页往下一拉,顺手回复个“好”,“顶”,“支持”之类的。
对了,还有“先顶后看”的。
我觉得,要先看过了,再回复。有话要说就回,没什么说的可以不回。
我的意思就是,技术不同于灌水。
---------------->8------------------------------------------------------------
开始。
本文不讲脱壳,不讲算法,也不讲anti-anti,主要讲一讲如何用OD定位到一个程序的关键代码位置。
由于解密技术的发展,带动了软件加密的发展。现在已经很难像两年前,或者更早,那样,用“W32Dsm->参考->字符串参考”的方法来定位程序的关键代码点了。
但是还是有很多人抱着“字符串”这个“法宝”不放。不愿意,或者也可能没有找到方法,去学习一下更有效的定位关键代码的动态方法:断点。
甚至有时根据别人的指点用API断点已经到达关键代码了,却又习惯地去寻找“字符串”。
本人不才,算不上什么高手,但是我在逆向研究程序时,几乎没有使用过字符串的方法来定位关键代码。
我记得两年前,很多流行的破文中都说,先静态,后动态。
但我恰恰相反。在跟踪代码时我总是先动态定位代码,然后再阅读静态的反汇编结果。
并且,在分析代码时,我常常是“动静结合,先猜后验证”的方法,以前我写过一个CRACKME的分析,讲过这个,就不说了。
断点,BreakPoint,顾名思义,就是要正在运行的程序break的点。在Intel x86体系中,大家都知道断点是一种异常,然后通过异常处理的机制,让调试器获得控制权。
下面我的描述,总是假设:
1.程序代码没有被加密,通常就是指加壳。
2.程序中没有anti-debug
3.程序是本机代码,不是虚拟机伪指令,如VB
首先,什么是关键代码?
我们知道一个完整的程序,所包含的代码是海量的,我们虽然有反汇编工具,但不可能把所有的代码都去看一下。
我们所说的关键代码,通常就是指包含有注册算法和有效性验证的程序代码。
我们下断点的目的,是找到关键代码“附近”的代码,从而定位到最终的关键代码。
通常,关键代码都具有这样的结构:
1.读取用户的输入
2.经过一定的计算、验证
3.显示(或不显示,仅存储)验证结果。
其中,2是“真正关键”的代码,而1和3就是我说的“附近”的代码。
在Windows下的应用程序,2完全自主的,我们没办法,但1和3(也就是输入和输出)无论如何也必须通过某种形式的操作系统调用才能实现。所以,API断点几乎是通用的办法。
而难点,就在于我们下断点的技巧。
先说思路1,从输入角度来下。学过一点C语言的人知道,在控制台下,获取用户输入是从stdin文件中读取的。而win32窗口应用程序怎么获得用户输入呢?
我们最常见的情况,是从编辑框(Edit)控件中输入信息。
这种情况下程序要获取用户的输入,也就是获取编辑框的文字。通过什么途径?这里就需要一些编程的基础知识了。(所以我总强调编程是逆向的基础)
GetWindowText()和GetDlgItemText()是最常用的两个API。至于A还是W,试试就知道了。
---------------->8------------------------------------------------------------
例1:
我们用OD载入,bp GetDlgItemTextA,F9运行。点check,被OD断下了。看下堆栈窗口中给出的提示:
代码:
0013FA48 004010B0 /CALL 到 GetDlgItemTextA 来自 010.004010AB
0013FA4C 002108A2 |hWnd = 002108A2 ('Pusillus Crackme 1.0',class='#32770')
0013FA50 00000BB8 |ControlID = BB8 (3000.)
0013FA54 00403044 |Buffer = 010.00403044
0013FA58 0000000A \Count = A (10.)
是不是我们要找的呢?你当然可以执行到返回,然后看缓冲区Buffer = 010.00403044的内容是不是自己输入的。
我给出另一种方法:ControlID == 0xbb8,在OD中转到“窗口”窗口(有点绕),看到
代码:
Windows
句柄 标题 父窗口 WinProc ID 风格 扩展风格 线程 ClsProc 类
002108A2 Pusillus Crackme 1.0 Topmost 94C800C4 00010101 主 7D96A3F2 #32770
K00140878 002108A2 00000BB8 50010080 00000204 主 7D9637BF Edit
K0019088A Default IME 002108A2 8C000000 主 7D9A0638 IME
IE0023085A M 0019088A 8C000000 主 FFFF08A1 MSCTFIME UI
E0020085C Check 002108A2 00000BB9 50010001 00000004 主 7D960F28 Button
我们看到ID为0xBB8的控件是唯一的一个Edit控件。
这个ID是程序作者定义的,对于一个程序,每个控件的ID是不变的。
这个CrackMe非常简单,所以返回到用户代码后就是“关键”代码了。
---------------->8------------------------------------------------------------
例2:
这个例子是VC7写的,unicode程序,所以这回我们下bp GetDlgItemTextW,随便输入,点确定。
咦,没断到,直接弹出了错误提示。如图:
我们换另一个试试,bp GetWindowTextW,结果发现我们无法切换到CrackMe的界面了,只要一切换就被OD断下来。
第一次中断时,堆栈参数:
代码:
0013F6FC 7DBF9A40 /CALL 到 GetWindowTextW 来自 COMCTL32.7DBF9A3A
0013F700 001500DC |hWnd = 001500DC ('确定',class='Button',parent=000E00AE)
0013F704 00269050 |Buffer = 00269050
0013F708 00000003 \Count = 3
F9,又中断到这里
代码:
0013F960 7DBF73F4 /CALL 到 GetWindowTextW 来自 COMCTL32.7DBF73EE
0013F964 000C00CA |hWnd = 000C00CA ('用户名:',class='Static',parent=000E00AE)
0013F968 00269050 |Buffer = 00269050
0013F96C 00000005 \Count = 5
再F9,
代码:
0013F960 7DBF73F4 /CALL 到 GetWindowTextW 来自 COMCTL32.7DBF73EE
0013F964 002C01DC |hWnd = 002C01DC ('注册码:',class='Static',parent=000E00AE)
0013F968 00269050 |Buffer = 00269050
0013F96C 00000005 \Count = 5
再F9,就运行了。我们看一下,为什么会中断呢?
原来是因为系统要绘制“确定”按钮。
不过,上面几次中断,并没有获取编辑框文字。
这就引出了今天要讲的另一个技巧:条件断点。
我们希望只有在读取用户输入内容时才中断。
先来到OD的“窗口”窗口:
代码:
Windows
句柄 标题 父窗口 WinProc ID 风格 扩展风格 线程 ClsProc 类
000E00AE MFc7 Topmost 94C800CC 00050101 主 7D96A3F2 #32770
000C00CA 用户名: 000E00AE FFFFFFFF 50020000 00000004 主 FFFF0743 Static
001500DC 确定 000E00AE 00000001 50010001 00000004 主 FFFF074B Button
002C01DC 注册码: 000E00AE FFFFFFFF 50020000 00000004 主 FFFF0743 Static
0036011E 000E00AE 000003E8 50010080 00000204 主 FFFF06AB Edit
004101E8 000E00AE 000003E9 50010080 00000204 主 FFFF06AB Edit
009E0104 Default IME 000E00AE 8C000000 主 7D9A0638 IME
002501F6 M 009E0104 8C000000 主 FFFF07D9 MSCTFIME UI
我们看到有两个Edit控件,我们随便取其中一个,比如0036011E,记下这个句柄。你可以根据你机器上显示的值来确定。
注意,这个窗口句柄是在窗口创建时由系统分配的,每次运行程序时的值可能不一样。但是窗口一旦创建,那么在它销毁前它的句柄是保挂不变的。
再回到反汇编窗口,在GetWindowTextW这行按Shift+F2,弹出如下条件断点对话框:
我们看一下堆栈,窗口句柄是第一个参数,位于[ESP+4],于是我们输入[ESP+4]==0x36011E,确定。
现在我们再运行程序,输入点什么,点确定,OD给断下来了。堆栈中看看,
代码:
0013F568 0040C544 /CALL 到 GetWindowTextW 来自 009.0040C53E
0013F56C 0036011E |hWnd = 0036011E (class='Edit',parent=000E00AE)
0013F570 00899980 |Buffer = 00899980
0013F574 00000005 \Count = 5
我们看到返回地址就在程序EXE模块中,所以直接返回,看一下,是这么一副模样。
代码:
0040C516 /$ 8BFF MOV EDI, EDI
0040C518 |. 55 PUSH EBP
0040C519 |. 8BEC MOV EBP, ESP
0040C51B |. 56 PUSH ESI
0040C51C |. 8BF1 MOV ESI, ECX
0040C51E |. 837E 50 00 CMP DWORD PTR DS:[ESI+50], 0
0040C522 |. 75 2F JNZ SHORT 009.0040C553
0040C524 |. FF76 20 PUSH DWORD PTR DS:[ESI+20] ; /hWnd
0040C527 |. FF15 20965200 CALL DWORD PTR DS:[<&USER32.GetWindow>; \GetWindowTextLengthW
0040C52D |. 8D48 01 LEA ECX, DWORD PTR DS:[EAX+1]
0040C530 |. 51 PUSH ECX ; /Count
0040C531 |. 8B4D 08 MOV ECX, [ARG.1] ; |
0040C534 |. 50 PUSH EAX ; |/Arg1
0040C535 |. E8 6BA2FFFF CALL 009.004067A5 ; |\009.004067A5
0040C53A |. 50 PUSH EAX ; |Buffer
0040C53B |. FF76 20 PUSH DWORD PTR DS:[ESI+20] ; |hWnd
0040C53E |. FF15 24965200 CALL DWORD PTR DS:[<&USER32.GetWindow>; \GetWindowTextW
0040C544 |. 8B4D 08 MOV ECX, [ARG.1]
0040C547 |. 6A FF PUSH -1 ; /Arg1 = FFFFFFFF
0040C549 |. E8 6693FFFF CALL 009.004058B4 ; \009.004058B4
0040C54E |. 5E POP ESI
0040C54F |. 5D POP EBP
0040C550 |. C2 0400 RETN 4
0040C553 |> 8B4E 50 MOV ECX, DWORD PTR DS:[ESI+50]
0040C556 |. 8B01 MOV EAX, DWORD PTR DS:[ECX]
0040C558 |. 5E POP ESI
0040C559 |. 5D POP EBP
0040C55A \. FFA0 8C000000 JMP DWORD PTR DS:[EAX+8C]
看来这是一个包装(Wrapper)函数,我们继续返回,就来到了“关键代码”了(不贴了)。
---------------->8------------------------------------------------------------
例3:
下载
再看这个,是某版本的易语言的。bp GetWindowTextA,同例2一样,我们切换不到程序界面了。按上面的方法,下个条件断点,OK,我们到了:
代码:
0013F110 100AE3BA /CALL 到 GetWindowTextA 来自 krnln.100AE3B4
0013F114 004701D8 |hWnd = 004701D8 (class='Edit',parent=001100CA)
0013F118 02367AF0 |Buffer = 02367AF0
0013F11C 00000005 \Count = 5
可是这个返回点是在krnln模块中,并不是EXE当中啊,怎么办?
我们先回来krnln领空。
下面我来讲今天的第3个技巧:RUN跟踪。不熟悉的人先去看看OD的说明书,照着说明书将相关选项设置好,否则可能不起作用。
使用工具之前阅读说明书是一个好习惯。
我们Alt+E,看一下EXE模块的地址:
代码:
Executable modules, 条目 0
基址=00400000
大小=0001F000 (126976.)
入口=00403831 015.<模块入口点>
名称=015
路径=F:\Debugee\Crack Me\015.exe
好,我们按Ctrl+T,选中“EIP位于范围内”,后面的范围就填整个模块的范围吧,无所谓,见图:
确定后,我们按Ctrl+F11(至于F11还是F12,视情况而定,这里本例仅为一个特例),看到什么了?OD停在了这里:
代码:
0040993E DD45 F4 FLD QWORD PTR SS:[EBP-C]
00409941 DC45 E8 FADD QWORD PTR SS:[EBP-18]
00409944 DC05 04914000 FADD QWORD PTR DS:[409104]
0040994A DD5D E0 FSTP QWORD PTR SS:[EBP-20]
0040994D 68 01060080 PUSH 80000601
00409952 FF75 E4 PUSH DWORD PTR SS:[EBP-1C]
00409955 FF75 E0 PUSH DWORD PTR SS:[EBP-20]
00409958 68 01000000 PUSH 1
0040995D BB 68010000 MOV EBX, 168
00409962 E8 9F010000 CALL 015.00409B06
00409967 83C4 10 ADD ESP, 10 ;我们停在了这里,刚从函数返回
0040996A 8945 DC MOV DWORD PTR SS:[EBP-24], EAX
0040996D 6A FF PUSH -1
0040996F 6A 08 PUSH 8
00409971 68 04000116 PUSH 16010004
00409976 68 01000152 PUSH 52010001
0040997B E8 92010000 CALL 015.00409B12
00409980 83C4 10 ADD ESP, 10
00409983 8945 D8 MOV DWORD PTR SS:[EBP-28], EAX
至于这里是不是关键代码,还用我说吗?
---------------->8------------------------------------------------------------
上面用3个例子,说了“输入”这个方面的API断点。
我拿这几个程序做例子完全是为了说明文中的方法。单说这几个CrackMe,由于本身都非常简单,很多人都有更加简单的方法直接定位关键代码。这不在本文讨论之列。
实际当中,还会遇到更复杂的,因为WIN32的API种类多而繁杂,要获取用户输入的方法还有很多种,不仅仅限于上面讲的两个API。
说回来,还是得具有一定的编程基础。我再公布一个常用API,那就是SendMessage,它也常用来获取窗口的文字。具体怎么用,我不详细说了,有编程基础的人应该知道。
本来还准备写点输出API函数方面的内容,一时没时间,先搁下,有时间再补上吧,对不住各位了。
不过,只要你开动脑筋,灵活应用,使用我上面讲的API断点+条件断点+RUN跟踪,就已经可以对几乎所有未加密的程序,快速地定位到关键代码。 |
|