微慑信息网

[破解] 你用 OllyDbg 吗? 千万不要相信他也不要相信你的眼睛!

作 者: sessiondiy
时 间: 2008-07-28,04:45
链 接: http://bbs.pediy.com/showthread.php?t=69477
你常用OllyDbg吗? 千万不要相信他也不要相信你的眼睛!
睡不着,写个好玩的大家看看.练练你的心脏.
下列是一个很重要的注册号调用 :
你习惯性的在 00401003 按了二下, 设了软件断点 非常方便.
(以下将以 P1 代表 00401003)
00401000 31C9 xor ecx,ecx
00401002 40 inc eax
00401003 E8 F80F0000 call 00402000
00401007 C3 retn
很习惯性的事后你没有 delete或disable 掉P1
看准了你这坏习惯:
<千万不要相信你的眼睛>
 我在Call里面的深层有如下的程序码:
BE 00104000 mov esi,00401000
C706 8A023242 mov dword ptr [esi],4232028A
C746 04 90324202 mov dword ptr [esi+4],02423290
…….
…..
 主要将401000换上这个程序:
 00401000 . 8A02 mov al,[edx]
 00401002 . 3242 90 xor al,[edx-70]
 00401005 . 3242 02 xor al,[edx+2]
 00401008 ……
 当然了, 置换时你并不知道.
 若你突然去看 401000, 你会发现OD是显示这样: 跟放上去的不同
 00401000 8A02 mov al,[edx]
 00401002 32E8 xor ch,al
 00401004 90 nop
 00401005 3242 02 xor al,[edx+2]
 00401008 C3 retn
 没错. 那个你下断点的P1 E8 无法盖掉.
 至少OD的画面告诉我们这是"无法盖掉"的.
 OK. 你不管这个, 你继续在OD里F7'F8努力的分析code ' data
 突然..聪明的你执行到401000时发现Code被改了. 你就开始从401000单步
 假设 xor 前, AX=0102 , CX=8090
 第二行的 xor ch,al , ch 总会得到 80^02 = 82 吧
 你按了一下 F7, 哇靠… CX 还是维持在 8090 , 倒是 AX 变成了 0123 了
 这题有点难度, 我小心的用计算机算了一下 80^02=82 没错啊.
 打死我也想不通 AX 是如何由 0102 变成 0123 的.
 xor ch,al 竟然会跟 cx 无关.
 OK. F7 可能有问题. 我们换 F8 ' F9. 结果一样.
 现在我们将那个软件断点 Disable 试试.(请直接设回EIP=401000继续测试)
xor ch,al
nop
 CH=82 没错了.
 现在我们将那个软件断点再 Enable 试试.(请直接设回EIP=401000继续测试)
    哇靠…这次 xor ch,al 换成 CL=91
 学了一个多月的汇编, 用了一个多月的OD还没见过这等鸟事
 <整理一下>
  第一次: AX=0123
      你会发现 在 00401002 按 F7, 下一条不是停在 nop 而是停在 00401005
      经验告诉我们, 其实 OD 是执行了一条占用 3 个 byte 的指令
     OD 其实是正确的执行了 xor al,[edx-70]
     我这里 [edx-70]=21 , 02^21=23 , 所以 AL=23 没错,只是OD显示的Code不对.
      可见 OD 虽然显示不正确, 可是的确有正确的记录下P1那个 Byte
  第二次: 将断点 Disable 掉,结果跟眼睛所看到的跟程序码符合
      (实际上已算不出正确的注册号了)
  第三次: 将断点 Enable (变成 CL=91 了)
      大家都知道Enable一个软件断点会将其Byte改成 CC
      眼睛虽然看到 32E8 xor ch,al
      执行的却是  32CC xor cl,ah
OK. 这的确造成很大的困扰.
<更大的困扰>
经过了上列三回合, 我们EIP再设回401000, 并将P1断点 remove 掉.
这二行还是一样这样显示, 而且还真的是这样子执行. (跟上面的'第二次'一样)
 00401002 32E8 xor ch,al
  00401004 90 nop
Disable ' Remove 掉反而会导致算出来的注册码永远都不对.
这种方式也可运用在防OD方面, 适当的设置可变成: 有OD会引发例外, 没OD则不会.
或是有无载入 OD, 其 jmp 的地方会不一样.
不过得先大约猜测破解者会在那一范围内下软断.
(上面的程序码我是刻意的不想产生Exception所编排的)
若已弄到你很累 & 做手脚的地址不是在 401000 这么好识别的话…..
做注册机时,习惯中途从 OD 复制程序码的人也要小心一点了.
(弄到你生不出注册机)
所以…软件断点不要乱设一堆
在Debug自己写的小程序时, 发现我要的值怎么算都不对.
原来是重新Compile之后的Code移了1个byte, 之前的断点又没拿掉导致的.
写出来给同是新手的朋友們做个参考.
牛人常说: 若你不顺'有问题…先删了 udd 吧, 这不是没道理的.
不然就算你重新载入程序也没用.

本文标题:[破解] 你用 OllyDbg 吗? 千万不要相信他也不要相信你的眼睛!
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2009/0407_6976.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » [破解] 你用 OllyDbg 吗? 千万不要相信他也不要相信你的眼睛!
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们