小甲鱼 OllyDbg 视频教程:https://www.bilibili.com/video/av6889190?p=21
程序下载地址:https://pan.baidu.com/s/1A4-BDgbdUgy-cmI4IMMzYw 提取码:jsdv
开始,按照惯例,首先用 PEiD 打开,看下是什么语言编写的程序:
可以看到是 VC6.0 。载入程序,然后运行程序,当出现 neg 窗口时,暂停程序,然后查看调用堆栈:
对应代码位置打上断点:
重新载入程序,运行,发现程序断点到断点位置,按 F9 运行,neg 窗口出现,等一会消失,发现程序运行到断点位置的下一行,说明断点位置正确,这个就是出现 neg 窗口的位置。
现在既然找到断点位置,常规做法是 直接 nop 掉这个call 调用,现在可以 nop掉保存程序,然后运行,发现不是想要的结果,说明不能直接 nop。
再重新载入原来的程序,按 F9 发现程序的三个窗口都是通过这个 call 调用来显示的,然后往上看,发现一个 je 跳转,这个可以控制 call 调用是不是显示窗口,所以就相当于一个 if else ,这里要显示最后一个窗口 所以就相当于等于 2 时跳转,
可以找一块程序自身不用的内存空间来写入内联补丁。点击 m ,查看程序的 PE 映射:
双击 data 段,进入 data 段,找到没有使用位置,下一个硬件写入断点,测试要是用的位置在程序运行时有没有使用,如果在程序运行 的时候使用的那个位置,就按上面方法再找一个位置。然后继续测试,直到找到程序在运行时不会使用的位置:
下完 硬件写入断点后,重新载入程序,测试要写入数据的位置是否可用( 也就是程序在运行的时候不会往这个位置写入数据 ),这个示例中程序不会写入数据,这个位置可用。
找到要写入 内联补丁的位置:
在要写入的位置添加书签,方便通过 右键 -> 书签 直接跳转:
在 je 位置添加书签:
以前是通过手动跳来跳去直接改汇编代码,现在可以通过插件 NonaWrite 来写 内联补丁的 汇编代码:
开始写 内联补丁的汇编代码:
完成后,内联汇编 代码:
现在开始 改 je 跳转:
保存所有修改。然后运行修改后的程序,发现已经成功,只有 第二个 neg 窗口:
原程序运行后有3 个 neg 窗口
至此,逆向成功。
可以载入修改后的程序,按 F8 单步调试追踪修改后的程序执行流程
