小甲鱼 视频教程（ 4、5 集 ）：https://www.bilibili.com/video/av6889190?p=4

实验程序 reverseME.exe 下载地址：https://pan.baidu.com/s/18NDV3rQ_yV_qzUrNRYmqjA    提取码：e91j 

http://www.360doc.com/content/16/0220/00/26186435_535858733.shtml

 

 

0. 前言

 

本系列为二进制破解科普系列教程。教程面向新手爱好者，欢迎大家探讨、建议，大牛轻喷。

 

 

1. 准备工作

 

在学习之前，我们需要了解以下的内容：

 

1.寄存器：

寄存器就好比是CPU身上的口袋，方便CPU随时从里边拿出需要的东西来使用。常见涉及到的九个寄存器：

 EAX : 扩展累加寄存器EBX : 扩展基址寄存器ECX : 扩展计数寄存器EDX : 扩展数据寄存器ESI : 扩展来源寄存器EDI : 扩展目标寄存器EBP : 扩展基址指针寄存器ESP : 扩展堆栈指针寄存器EIP : 扩展的指令指针寄存器

这些寄存器的大小是32位（4个字节），他们可以容纳数据从0-FFFFFFFF（无符号数），除了以下三个寄存器，其他我们都可以随意使用：

 EBP : 主要是用于栈和栈帧。ESP : 指向当前进程的栈空间地址。EIP : 总是指向下一条要被执行的指令。

 

2. 栈：栈是在内存中的一部分，它有两个特殊的性质：

1. FILO（Fisrt In Last Out，先进后出）
2. 地址反向增长（栈底为大地址，栈顶为小地址）

图示：

 

3. CALL指令

    call有以下几种方式：

1. call 404000h ;    直接跳到函数或过程的地址
2. call eax ;            函数或过程地址存放在eax
3. call dword ptr [eax]

 

4. 系统API

    Windows 应用程序运行在 Ring3 级别

API 函数，我们也称之为系统提供给我们的接口。因为系统只信任自己提供的函数，所以我们要通过 API 才能实现对内核的操作。

 

5. mov指令

mov 指令格式：mov dest, src。这是一个很容易理解的指令，mov 指令将 src 的内容拷贝到 dest，

mov 指令总共有以下几种扩展：movs/movsb/movsw/movsd edi，esi：这些变体按串/字节/字/双字为单位，将 esi 寄存器指向的数据复制到 edi 寄存器指向的空间。movsx符号位扩展，byte->word，word->dword （扩展后高位全用符号位填充），然后实现mov。movzx零扩展，byte->word，word->dword（扩展后高位全用0填充），然后实现mov。

 

6. cmp指令

cmp 指令格式：cmp dest, src。cmp 指令比较 dest 和 src 两个操作数，并通过比较结果设置 C/O/Z 标志位。

cmp 指令大概有以下几种格式：

1. cmp eax, ebx             ; 如果相等，Z标志位置1，否则0.
2. cmp eax, [404000]     ; 将eax和404000地址处的dword型数据相比较并同上置位。
3. cmp [404000], eax     ; 同上。

 

7. 标志位：在破解中起到的作用是至关重要的。

在逆向中，你真正需要关心的标志位只有三个，也就是 cmp 指令能修改的那三个：Z/O/C。

1. Z 标志位（0标志），这个标志位是最常用的，运算结果为0时候，Z标志位置1，否则置0。
2. O 标志位（溢出标志），在运行过程中，如操作数超出了机器能表示的范围则称为溢出，此时OF位置1，否则置0。
3. C 标志位（进位标志），记录运算时从最高有效位产生的进位值。例如执行加法指令时，最高有效位有进位时置1，否则置为 0 。

 

8. 逻辑运算

如图：

 

9.test 指令

test 指令格式：test dest, src。这个指令 和 and 指令一样，对两个操作数进行按位的 ‘与’ 运算，唯一不同之处是不将 ‘与’ 的结果保存到 dest。即本指令对两个操作数的内容均不进行修改，仅是在逻辑与操作后，对标志位重新置位。

 

10. 条件跳转指令

条件跳转指令，就是根据各种不同标志位的条件判断是否成立，条件成立则跳转。

 

 

2. 破解 ReverseMe

 

按 F3 载入程序：

首先，我们来看看程序图，我们先随便的走一次，顺便介绍对应的名词。

LoadIconA  : 图片的图标
CreateFileA: 创建文件

当 跳转不实现的时候，就执行下面的代码段：

然后弹出消息框，结束进程。

我们的目的是想让他跳转实现，那我们怎么办呢？就得跳过上面的代码段，我们如何来修改对应的代码段，来实现我们所要的效果呢？

要让他跳转实现的话，修改对应的 Z=0 就实现跳转。

这里已经实现跳转了，我们这节课肯定不像上面的课程那么简单了，直接一步到位，我们这节课的话，需要跳转几个位置，要不然我们怎么能突破障碍呢？

那接下来，我们继续走我们的调试文件！

ReadFile：读取一个文件

这里我们要明白为什么要去ReadFile呢？因为这里的话，要去读取一个密钥的文件，所以这里才需要ReadFile。

•  test 指令格式：test dest, src

•  test 指令和 and 指令一样，对两个操作数进行按位的‘与’运算，唯一不同之处是不将‘与’ 的结果保存到dest。

•  jnz条件跳转

•  jmp:无条件跳转

一般我们想让条件跳转判断的话，看如下图：

我们又遇到一个跳转未实现的值，其实在这里也是一个坑来的，那我们和上面一样，让他跳转的值实现。同样把寄存器区的Z值修改为 Z=0 从而达到跳转的效果。

ebx 的值等于 0 的话可以看看寄存器上的 ebx 的值。

这里看到的是xor的条件判断，对相应的值清0

下面我们走到的密钥区，如下图所示：

我们可以看到这里的跳转已实现，那想想这里是不是我们的第三个障碍呢？

分析到下面的语句，发现这里要是直接走下去的话，会误人程序的陷阱，那我们的目的只能让跳转不实现了，j1的跳转判断的话，可以看我们上面的跳转图。要让jl不实现的话，我们这里需要让SF!=OF，从而达到我们想要的效果。

就可以达到跳转不实现，我们跳过这个障碍之后，我们继续走，继续看我们的程序。

继续走我们的程序，我们又遇到一个跳转已实现的，分析到下面的代码，发现会跳转到密钥区，所以我们继续让他不实现。看他的条件语句：

让SF!=OF的值相等就行，那在这里修改S的值，让S=1变为S=0就可以达到所要的效果。

通过修改后，可以看到跳转未实现。

接下来，我们继续走我们的程序，走到jmp是无条件跳转，就让他跳吧。

我们跳转到这里的话，我们看到text里面的提示：You really did it! Congratz !!! 提示你破解已经成功咯。

是不是有点小小的激动呢？

 

 

以上都是 根据  [鱼C]小甲鱼主讲OD使用教程（第4、5集）：https://www.bilibili.com/video/av6889190/?p=4