0x01 程序及其编译环境
程序如下,功能:我们必须输入正确的密码1234567才能得到密码验证的确认,跳出循环。否则程序提示密码错误再次输入。
#include <stdio.h>#define PASSWORD "1234567"int verify_password(char* password)
{int authenticated;authenticated = strcmp(password, PASSWORD);return authenticated;
}int main(void)
{int valid_flag = 0;char password[1024];while (1){printf("please input password: ");scanf("%s", password);valid_flag = verify_password(password);if (valid_flag){printf("incorrect password!\n\n");}else{printf("Congratulation! You have passed the verification!\n");break;}}
}
程序编译环境:
操作系统:win xp
编译器:VC++6.0
build版本:release版本
对于产生release版本,我们可以在编译时,选择下图内容
如果没上面的界面,我们可以右键空白区域,然后选择组建,就可以出现上面的界面。
程序的运行结果效果图如下:
0x02 分析程序
找到工程的文件夹,我们使用release编译时,会生成一个Release文件夹,在这个文件夹中,我们找到.exe文件
将exe文件直接拖到IDA中,IDA就会把二进制文件翻译成质量上乘的反汇编代码。默认情况下,IDA会自动识别main函数。
按F12会自动绘制出更加专业和详细的函数流程图。
用鼠标选择程序分支点,按空格键切换到汇编代码
这条指令就是我们要找的if分支,内存地址VA:40106E.
用OD打开文件,Ctrl+G,跳转到这个地址。
OD默认情况下将程序中断在PE装载器开始处,而不是main函数的开始。
我们在这个地址打上断点
密码验证函数的返回值存放在EAX中,if语句通过以下两条指令实现。
test eax,eax
JE XXXX
现在我们将je改成jne,现在当我们输入正确密码就会提示错误,输入错误密码就会正确
改过之后,原本JE对应的机器指令为74,改成jnz之后变为75,运行程序,单步执行就可以看到执行了正确密码才应该得到的指令。
0x03 破解程序
方法1
右键----复制到可执行文件-----所有修改
选择全部复制
右键----保存文件,就可以了
运行程序,当我们输入1234567,会让我们继续输入,输入其他会立即退出
方法2
这里我们要认识几个名词:
- 文本偏移地址(File Offset):数据在PE文件中的地址叫文件偏移地址,这是文件在磁盘上存放时相对于文件开头的偏移。
- 装入基址(Image Base):PE装入内存时的基地址。默认情况下,EXE文件在内存中的基地址是0x00400000,DLL文件时0x10000000.
- 虚拟内存地址(VA):PE文件中的指令被装入内存后的地址
- 相对虚拟地址:内存地址相对于映射基址的偏移量
- 节偏移:存储单位差异引起的节基址差
文件偏移地址=VA-装入基址-节偏移
节偏移=.text段的虚拟内存地址-文件偏移地址
文件数据在磁盘和内存中的存放:
- 磁盘:以0x200字节为基本单位进行存放。当一个数据节不足0x200字节时,不足的地方将被0x00填充;当一个数据节超过0x200,下一个0x200将分配给这个节使用。
- 内存:以0x1000字节为基本单位进行组织。类似的,不足将被补全,如果超出将分配下一个节为其所用。
节偏移就是这些基本单位造成的,也就是0x00填充的地方
用LordPE打开exe文件
我们可以看到.text的虚拟内存地址(Voffset)=0x1000,文件偏移地址(Roffset)也是这个。所以节偏移=0
40106E.这个地址的指令在PE文件中的文件偏移地址=40106E-400000-节偏移=0x106E
用编译器打开exe文件,这里我使用010Editor,Ctrl+G,输入0x106E直接跳转到JE指令的机器代码处,将74改成75
保存后执行,结果和方法1一样。