OllyDBG(破解入门教程 图文)
baojianzhijia
摘要:
大家好,小太来为大家解答以上问题。OllyDBG,破解入门教程图文这个很多人还不知道,现在让我们一起来看看吧!OllyDBG在一、OllyDBG的安装与配置的发布版本是一个ZIP... 大家好,小太来为大家解答以上问题。OllyDBG,破解入门教程图文这个很多人还不知道,现在让我们一起来看看吧!
OllyDBG在一、OllyDBG的安装与配置的发布版本是一个ZIP包,只需解压到一个目录下运行OllyDBG.exe即可。中文版的发布版本是RAR压缩包,只需要解压到一个目录就可以运行OllyDBG.exe脚本之家下载地址:OK:OllyDBG中各个窗口的功能如上图所示。简要说明每个窗口的功能。更多详情请参考TT集团翻译的中文帮助:反汇编窗口:显示被调试程序的反汇编代码。标题栏上的地址、十六进制数据、反汇编和注释可以通过右击菜单界面选项-隐藏标题或在窗口中显示标题来切换显示或不显示。用鼠标左键单击标注标签,切换标注的显示模式。寄存器窗口:显示当前所选线程的CPU寄存器内容。同样,点击FPU可以切换寄存器的显示模式。信息窗口:显示反汇编窗口中选中的第一条命令的参数,以及一些跳转目标地址、字符串等。数据窗口:显示内存或文件的内容。右键菜单可用于切换显示模式。堆栈窗口:显示当前线程的堆栈。要调整上面每个窗口的大小,只需用左键按住边框并拖动即可。调整完成后,重新启动OllyDBG以使其生效。启动后,我们需要将插件和udd的目录配置为绝对路径。点击菜单上的选项-接口,会弹出一个接口选项对话框。我们点击目录标签:由于我在这里解压了F:\OllyDBG目录中的OllyDBG,所以对应的UDD目录和插件目录都是按图配置的。另一个常用的标签是上图后面的字体,在这里可以更改OllyDBG中显示的字体。上图中的其他选项可以保留默认,必要时也可以自己修改。修改后点击确定,弹出一个对话框,说我们修改了插件路径,想重启OllyDBG。在这个对话框上点击OK,重启OllyDBG,然后看界面选项,你会发现我们设置的所有路径都已经保存了。有人可能知道插件的功能,但是他们不清楚那个UDD目录。让我简单解释一下:这个UDD目录的作用是保存你的调试工作。比如你调试一个软件,设置断点,添加注释,一次都没有完成,那么OllyDBG会把你的工作保存到这个UDD目录下,这样下次调试的时候你就可以继续之前的工作了。
如果不设置这个udd目录,默认情况下,OllyDBG会将这些文件以后缀UDD保存在其安装目录中。时间长了会很乱,建议设置专门的目录保存这些文件。另一个重要的选项是调试选项,可以通过菜单选项-调试设置进行配置:新手一般不需要更改这里的选项,默认已经配置好了,可以直接使用。建议在熟悉的情况下配置OllyDBG。上述异常选项卡中的选项经常用于脱壳。建议在有一定调试基础后,学习shell后在这里配置。除了直接启动OllyDBG进行调试,我们还可以将OllyDBG添加到资源管理器的右键菜单中,这样我们就可以直接在。exe和。dll文件,并选择“用Ollydbg打开”菜单进行调试。要将Ollydbg添加到浏览器右键菜单中,只需点击菜单选项-添加到浏览器,就会出现一个对话框。首先单击“将OllyDBG添加到系统资源管理器菜单”,然后单击“完成”按钮。从右键菜单中删除也很简单。在此对话框中,单击“从系统资源管理器菜单中删除Ollydbg”,然后单击“完成”。
OllyDBG支持插件功能,插件安装也非常简单。只需将下载的插件(一般是一个DLL文件)***到OllyDBG的安装目录下的插件目录中,OllyDBG在启动时会自动识别。注意OllyDBG1.10对插件数量有限制,最多不能超过32个,否则会出错。建议不要添加太多插件。至此,基本配置完成。OllyDBG将ollydbg.ini文件中的所有配置放在安装目录中。
二、基本调试方法OllyDBG加载程序调试有三种方式,一种是点击菜单文件-打开(快捷键为F3)打开一个可执行文件进行调试,另一种是点击菜单文件-附加,附加到一个已经运行的进程中进行调试。请注意,此处附加的程序必须已经运行。第三种是用右键菜单加载程序(不知道这个算不算)。通常情况下,我们选择第一种方式。比如我们选择一个test.exe进行调试,通过菜单file-Open加载这个程序,OllyDBG中显示的内容会是这样的:我们在调试中经常用到的快捷键如下:F2:设置断点,在光标位置(上图中的灰条)按F2就可以了,再按F2就可以删除断点了。(相当于SoftICE中的F9)F8:循序渐进。每次在反汇编窗口中按此键执行指令时,CALL等子程序都不会进入其代码。(相当于SoftICE里的F10)F7:一步到位。功能类似于步进(F8),不同的是遇到CALL之类的子程序就会进入。进入后,首先会停留在子程序的第一条指令上。(相当于SoftICE中的F8)F4:跑到选定的位置。该功能是直接运行到光标位置并暂停。(相当于SoftICE中的F7)F9:运行。如果按此键没有设置相应的断点,被调试的程序将直接开始运行。(相当于SoftICE中的F5)CTRF9:执行返回。这个命令在执行ret(返回命令)命令时暂停,常用于从系统空域返回到我们正在调试的程序空域。(相当于SoftICE中的F12)altF9:
好了,现在出来另一个对话框,我们在这个对话框里右击,选择“查找文本”菜单项,输入“WrongSerial,tryagain!”的开头单词“Wrong”(注意这里查找内容要区分大小写)来查找,找到一处:在我们找到的字串上右击,再在出来的菜单上点击“反汇编窗口中跟随”,我们来到这里:见上图,为了看看是否还有其他的参考,可以通过选择右键菜单查找参考->立即数,会出来一个对话框:见上图,为了看看是否还有其他的参考,可以通过选择右键菜单查找参考->立即数,会出来一个对话框:我们在上图中地址00440F2C处按F2键设个断点,现在我们按F9键,程序已运行起来了。我在上面那个编辑框中随便输入一下,如CCDebuger,下面那个编辑框我还保留为原来的“754-GFX-IER-954”,我们点一下那个“Registernow!”按钮,呵,OllyDBG跳了出来,暂停在我们下的断点处。我们看一下信息窗口,你应该发现了你刚才输入的内容了吧?我这里显示是这样:堆栈SS:[0012F9AC]=00D44DB4,(ASCII"CCDebuger")EAX=00000009上面的内存地址00D44DB4中就是我们刚才输入的内容,我这里是CCDebuger。你可以在堆栈SS:[0012F9AC]=00D44DB4,(ASCII"CCDebuger")这条内容上左击选择一下,再点右键,在弹出菜单中选择“数据窗口中跟随数值”,你就会在下面的数据窗口中看到你刚才输入的内容。而EAX=00000009指的是你输入内容的长度。如我输入的CCDebuger是9个字符。如下图所示:现在我们来按F8键一步步分析一下:00440F2C|.8B45FCMOVEAX,DWORDPTRSS:[EBP-4];把我们输入的内容送到EAX,我这里是“CCDebuger”00440F2F|.BA14104400MOVEDX,CrackMe3.00441014;ASCII"RegisteredUser"00440F34|.E8F32BFCFFCALLCrackMe3.00403B2C;关键,要用F7跟进去00440F39|.7551JNZSHORTCrackMe3.00440F8C;这里跳走就完蛋当我们按F8键走到00440F34|.E8F32BFCFFCALLCrackMe3.00403B2C这一句时,我们按一下F7键,进入这个CALL,进去后光标停在这一句:我们所看到的那些PUSHEBX、PUSHESI等都是调用子程序保存堆栈时用的指令,不用管它,按F8键一步步过来,我们只关心关键部分:00403B2C/$53PUSHEBX00403B2D|.56PUSHESI00403B2E|.57PUSHEDI00403B2F|.89C6MOVESI,EAX;把EAX内我们输入的用户名送到ESI00403B31|.89D7MOVEDI,EDX;把EDX内的数据“RegisteredUser”送到EDI00403B33|.39D0CMPEAX,EDX;用“RegisteredUser”和我们输入的用户名作比较00403B35|.0F848F000000JECrackMe3.00403BCA;相同则跳00403B3B|.85F6TESTESI,ESI;看看ESI中是否有数据,主要是看看我们有没有输入用户名00403B3D|.7468JESHORTCrackMe3.00403BA7;用户名为空则跳00403B3F|.85FFTESTEDI,EDI00403B41|.746BJESHORTCrackMe3.00403BAE00403B43|.8B46FCMOVEAX,DWORDPTRDS:[ESI-4];用户名长度送EAX00403B46|.8B57FCMOVEDX,DWORDPTRDS:[EDI-4];“RegisteredUser”字串的长度送EDX00403B49|.29D0SUBEAX,EDX;把用户名长度和“RegisteredUser”字串长度相减00403B4B|.7702JASHORTCrackMe3.00403B4F;用户名长度大于“RegisteredUser”长度则跳00403B4D|.01C2ADDEDX,EAX;把减后值与“RegisteredUser”长度相加,即用户名长度00403B4F|>52PUSHEDX00403B50|.C1EA02SHREDX,2;用户名长度值右移2位,这里相当于长度除以400403B53|.7426JESHORTCrackMe3.00403B7B;上面的指令及这条指令就是判断用户名长度最少不能低于400403B55|>8B0EMOVECX,DWORDPTRDS:[ESI];把我们输入的用户名送到ECX00403B57|.8B1FMOVEBX,DWORDPTRDS:[EDI];把“RegisteredUser”送到EBX00403B59|.39D9CMPECX,EBX;比较00403B5B|.7558JNZSHORTCrackMe3.00403BB5;不等则完蛋根据上面的分析,我们知道用户名必须是“RegisteredUser”。我们按F9键让程序运行,出现错误对话框,点确定,重新在第一个编辑框中输入“RegisteredUser”,再次点击那个“Registernow!”按钮,被OllyDBG拦下。因为地址00440F34处的那个CALL我们已经分析清楚了,这次就不用再按F7键跟进去了,直接按F8键通过。我们一路按F8键,来到第二个关键代码处:00440F49|.8B45FCMOVEAX,DWORDPTRSS:[EBP-4];取输入的注册码00440F4C|.BA2C104400MOVEDX,CrackMe3.0044102C;ASCII"GFX-754-IER-954"00440F51|.E8D62BFCFFCALLCrackMe3.00403B2C;关键,要用F7跟进去00440F56|.751AJNZSHORTCrackMe3.00440F72;这里跳走就完蛋大家注意看一下,地址00440F51处的CALLCrackMe3.00403B2C和上面我们分析的地址00440F34处的CALLCrackMe3.00403B2C是不是汇编指令都一样啊?这说明检测用户名和注册码是用的同一个子程序。而这个子程序CALL我们在上面已经分析过了。我们执行到现在可以很容易得出结论,这个CALL也就是把我们输入的注册码与00440F4C地址处指令后的“GFX-754-IER-954”作比较,相等则OK。
好了,我们已经得到足够的信息了。现在我们在菜单查看->断点上点击一下,打开断点窗口(也可以通过组合键ALT+B或点击工具栏上那个“B”图标打开断点窗口):为什么要做这一步,而不是把这个断点删除呢?这里主要是为了保险一点,万一分析错误,我们还要接着分析,要是把断点删除了就要做一些重复工作了。还是先禁用一下,如果经过实际验证证明我们的分析是正确的,再删不迟。现在我们把断点禁用,在OllyDBG中按F9键让程序运行。输入我们经分析得出的内容:用户名:RegisteredUser注册码:GFX-754-IER-954点击“Registernow!”按钮,呵呵,终于成功了:OllyDBG入门系列(三)-函数参考作者:CCDebuger现在进入第三篇,这一篇我们重点讲解怎样使用OllyDBG中的函数参考(即名称参考)功能。仍然选择crackmes.cjb.net镜像打包中的一个名称为CrackHead的crackme。老规矩,先运行一下这个程序看看:呵,竟然没找到输入注册码的地方!别急,我们点一下程序上的那个菜单“Shit”(真是Shit啊,呵呵),在下拉菜单中选“TryIt”,会来到如下界面:我们点一下那个“CheckIt”按钮试一下,哦,竟然没反应!我再输个“78787878”试试,还是没反应。再试试输入字母或其它字符,输不进去。由此判断注册码应该都是数字,只有输入正确的注册码才有动静。用PEiD检测一下,结果为MASM32/TASM32,怪不得程序比较小。信息收集的差不多了,现在关掉这个程序,我们用OllyDBG载入,按F9键直接让它运行起来,依次点击上面图中所说的菜单,使被调试程序显示如上面的第二个图。先不要点那个“CheckIt”按钮,保留上图的状态。现在我们没有什么字串好参考了,我们就在API函数上下断点,来让被调试程序中断在我们希望的地方。我们在OllyDBG的反汇编窗口中右击鼠标,在弹出菜单中选择查找->当前模块中的名称(标签),或者我们通过按CTR+N组合键也可以达到同样的效果(注意在进行此操作时要在OllyDBG中保证是在当前被调试程序的领空,我在第一篇中已经介绍了领空的概念,如我这里调试这个程序时OllyDBG的标题栏显示的就是“[CPU-主线程,模块-CrackHea]”,这表明我们当前在被调试程序的领空)。通过上面的操作后会弹出一个对话框,如图:对于这样的编辑框中输注册码的程序我们要设断点首选的API函数就是GetDlgItemText及GetWindowText。每个函数都有两个版本,一个是ASCII版,在函数后添加一个A表示,如GetDlgItemTextA,另一个是UNICODE版,在函数后添加一个W表示。如GetDlgItemTextW。对于编译为UNCODE版的程序可能在Win98下不能运行,因为Win98并非是完全支持UNICODE的系统。而NT系统则从底层支持UNICODE,它可以在操作系统内对字串进行转换,同时支持ASCII和UNICODE版本函数的调用。一般我们打开的程序看到的调用都是ASCII类型的函数,以“A”结尾。又跑题了,呵呵。现在回到我们调试的程序上来,我们现在就是要找一下我们调试的程序有没有调用GetDlgItemTextA或GetWindowTextA函数。还好,找到一个GetWindowTextA。在这个函数上右击,在弹出菜单上选择“在每个参考上设置断点”,我们会在OllyDBG窗口最下面的那个状态栏里看到“已设置2个断点”。另一种方法就是那个GetWindowTextA函数上右击,在弹出菜单上选择“查找输入函数参考”(或者按回车键),将会出现下面的对话框:看上图,我们可以把两条都设上断点。这个程序只需在第一条指令设断点就可以了。好,我们现在按前面提到的第一条方法,就是“在每个参考上设置断点”,这样上图中的两条指令都会设上断点。断点设好后我们转到我们调试的程序上来,现在我们在被我们调试的程序上点击那个“CheckIt”按钮,被OllyDBG断下:00401323|.E84C010000CALL;GetWindowTextA00401328|.E8A5000000CALLCrackHea.004013D2;关键,要按F7键跟进去0040132D|.3BC6CMPEAX,ESI;比较0040132F|.7542JNZSHORTCrackHea.00401373;不等则完蛋00401331|.EB2CJMPSHORTCrackHea.0040135F00401333|.4E6F77207>ASCII"Nowwriteakeyg"00401343|.656E20616>ASCII"enandtutandy"00401353|.6F7527726>ASCII"ou'redone.",00040135F|>6A00PUSH0;Style=MB_OK|MB_APPLMODAL00401361|.680F304000PUSHCrackHea.0040300F;Title="Crudd'sCrackHead"00401366|.6833134000PUSHCrackHea.00401333;Text="Nowwriteakeygenandtutandyou'redone."0040136B|.FF7508PUSHDWORDPTRSS:[EBP+8];hOwner0040136E|.E819010000CALL;MessageBoxA从上面的代码,我们很容易看出00401328地址处的CALLCrackHea.004013D2是关键,必须仔细跟踪。而注册成功则会显示一个对话框,标题是“Crudd'sCrackHead”,对话框显示的内容是“Nowwriteakeygenandtutandyou'redone.”现在我按一下F8,准备步进到00401328地址处的那条CALLCrackHea.004013D2指令后再按F7键跟进去。等等,怎么回事?怎么按一下F8键跑到这来了:00401474$-FF252C204000JMPDWORDPTRDS:[;USER32.GetWindowTextA0040147A$-FF2530204000JMPDWORDPTRDS:[];USER32.LoadCursorA00401480$-FF251C204000JMPDWORDPTRDS:[];USER32.LoadIconA00401486$-FF2520204000JMPDWORDPTRDS:[];USER32.LoadMenuA0040148C$-FF2524204000JMPDWORDPTRDS:[];USER32.MessageBoxA原来是跳到另一个断点了。这个断点我们不需要,按一下F2键删掉它吧。删掉00401474地址处的断点后,我再按F8键,呵,完了,跑到User32.dll的领空了。看一下OllyDBG的标题栏:“[CPU-主线程,模块-USER32],跑到系统领空了,OllyDBG反汇编窗口中显示代码是这样:77D3213C6A0CPUSH0C77D3213E68A021D377PUSHUSER32.77D321A077D32143E87864FEFFCALLUSER32.77D185C0怎么办?别急,我们按一下ALT+F9组合键,呵,回来了:00401328|.E8A5000000CALLCrackHea.004013D2;关键,要按F7键跟进去0040132D|.3BC6CMPEAX,ESI;比较0040132F|.7542JNZSHORTCrackHea.00401373;不等则完蛋光标停在00401328地址处的那条指令上。现在我们按F7键跟进:004013D2/$56PUSHESI;ESI入栈004013D3|.33C0XOREAX,EAX;EAX清零004013D5|.8D35C4334000LEAESI,DWORDPTRDS:[4033C4];把注册码框中的数值送到ESI004013DB|.33C9XORECX,ECX;ECX清零004013DD|.33D2XOREDX,EDX;EDX清零004013DF|.8A06MOVAL,BYTEPTRDS:[ESI];把注册码中的每个字符送到AL004013E1|.46INCESI;指针加1,指向下一个字符004013E2|.3C2DCMPAL,2D;把取得的字符与16进制值为2D的字符(即“-”)比较,这里主要用于判断输入的是不是负数004013E4|.7508JNZSHORTCrackHea.004013EE;不等则跳004013E6|.BAFFFFFFFFMOVEDX,-1;如果输入的是负数,则把-1送到EDX,即16进制FFFFFFFF004013EB|.8A06MOVAL,BYTEPTRDS:[ESI];取“-”号后的第一个字符004013ED|.46INCESI;指针加1,指向再下一个字符004013EE|>EB0BJMPSHORTCrackHea.004013FB004013F0|>2C30SUBAL,30;每位字符减16进制的30,因为这里都是数字,如1的ASCII码是“31H”,减30H后为1,即我们平时看到的数值004013F2|.8D0C89LEAECX,DWORDPTRDS:[ECX+ECX*4];把前面运算后保存在ECX中的结果乘5再送到ECX004013F5|.8D0C48LEAECX,DWORDPTRDS:[EAX+ECX*2];每位字符运算后的值与2倍上一位字符运算后值相加后送ECX004013F8|.8A06MOVAL,BYTEPTRDS:[ESI];取下一个字符004013FA|.46INCESI;指针加1,指向再下一个字符004013FB|>0AC0orAL,AL004013FD|.^75F1JNZSHORTCrackHea.004013F0;上面一条和这一条指令主要是用来判断是否已把用户输入的注册码计算完004013FF|.8D040ALEAEAX,DWORDPTRDS:[EDX+ECX];把EDX中的值与经过上面运算后的ECX中值相加送到EAX00401402|.33C2XOREAX,EDX;把EAX与EDX异或。如果我们输入的是负数,则此处功能就是把EAX中的值取反00401404|.5EPOPESI;ESI出栈。看到这条和下一条指令,我们要考虑一下这个ESI的值是哪里运算得出的呢?00401405|.81F653757A79XORESI,797A7553;把ESI中的值与797A7553H异或0040140B\.C3RETN这里留下了一个问题:那个ESI寄存器中的值是从哪运算出来的?先不管这里,我们接着按F8键往下走,来到0040140B地址处的那条RETN指令(这里可以通过在调试选项的“命令”标签中勾选“使用RET代替RETN”来更改返回指令的显示方式),再按一下F8,我们就走出00401328地址处的那个CALL了。现在我们回到了这里:0040132D|.3BC6CMPEAX,ESI;比较0040132F|.7542JNZSHORTCrackHea.00401373;不等则完蛋光标停在了0040132D地址处的那条指令上。根据前面的分析,我们知道EAX中存放的是我们输入的注册码经过计算后的值。我们来看一下信息窗口:ESI=E6B5F2F9EAX=FF439EBE左键选择信息窗口中的ESI=E6B5F2F9,再按右键,在弹出菜单上选“修改寄存器”,我们会看到这样一个窗口:可能你的显示跟我不一样,因为这个crackme中已经说了每个机器的序列号不一样。关掉上面的窗口,再对信息窗口中的EAX=FF439EBE做同样操作:由上图我们知道了原来前面分析的对我们输入的注册码进行处理后的结果就是把字符格式转为数字格式。我们原来输入的是字串“12345666”,现在转换为了数字12345666。这下就很清楚了,随便在上面那个修改ESI图中显示的有符号或无符号编辑框中***一个,粘贴到我们调试的程序中的编辑框中试一下:呵呵,成功了。且慢高兴,这个crackme是要求写出注册机的。我们先不要求写注册机,但注册的算法我们要搞清楚。还记得我在前面说到的那个ESI寄存器值的问题吗?现在看看我们上面的分析,其实对做注册机来说是没有多少帮助的。要搞清注册算法,必须知道上面那个ESI寄存器值是如何产生的,这弄清楚后才能真正清楚这个crackme算法。今天就先说到这里。
本文到此结束,希望对大家有所帮助。
作者:baojianzhijia本文地址:https://baojianzhijia.com/baojian/37076.html发布于 07-29
文章转载或复制请以超链接形式并注明出处保健之家