1.吾爱破解
l 按钮-程序运行的日志、插件加载的信息查看
e 按钮-模块信息,程序加载的所有模块、库 都可以看到路径等 双击就可以看到基地址
m 按钮-内存信息 对于 e按钮中 的各个模块的基地址等
t 按钮-线程信息
w 按钮-窗口信息
h 按钮- 一些句柄的信息
c 按钮-反汇编窗口 或者双击 从寄存器的 EIP shift+加号回到之前的位置
p 按钮-记录修改信息 可以在这做还原 恢复
k 按钮-调用堆栈
b 按钮-断点
ALT+F9 反回用户领空
F12 OD暂停
vc6编译特点: (rdata 只读数据段)
入口点代码是固定的代码,入口调用的API也是相同的,其中有的push地址不同程序可能不同,区段有四个 也是固定的.text .rdata .data .rsrc
一般调用的api:[<&MSVCRT.__set__app_type>][<&MSVCRT.__p__fmode>][<&MSVCRT.__p__commode>]等
vs编译特点:
入口点固定,一般第一个是call,第二个是jmp
区段:.text .rdata .data .rsrc .reloc(重定位)
易语言:
易语言独立编译是调用的vc编译,因为和vc相同(独立编译在Exeinfo PE 里 易语言会被识别成vc(因为是用微软的连接器))
区分vc6:找个call调用,点进去,看看是不是加载了一些易语言核心库(jmp dword ptr ds:[0x48DC6C] jmp dword ptr ds:[0x48DC70] jmp dword ptr ds:[0x48DC74] jmp dword ptr ds:[0x48DC64]等)
非独立编译:入口压栈之后,会加载运行库
例如:ascii “GetNewSock”,0 ascii “error”,0 等 也可以在 e按钮里查看加载库信息 fnr 和fne 都是易语言支持库文件
看不到代码,用ctrl+a 或者用数据分析 就可以看到上面这些ascii “xx” 等
Delphi编译特点:
区段: CODE DATA BSS .idata .tls .rdata .reloc .rsrc
.net
有时候打开就运行 插件-ILLY-RUN/stop ILLY 可以让.net可以中断
在 e按钮里 看模块信息,会加载一堆 .net库
VB和QT (VB语言的编码用的unicode)
和.net一样,在模块里加载的库来分辨
加壳:
UPX一般把区段压缩成三个区段,壳的区段是任意命名的
Themida 或WinLicense (一个是授权,一个是非授权,一个壳)壳 一般第一个区段是 空的,然后是 .rsrc 和 .idata 然后还有两个任意命名的区段
VMP壳 看区段,会把加密壳的段放在.data 和 .reloc .rsrc中间,额外添加三个区段,一般是 .XXX0,.XXX,.XXX1 这样来命名
shielden壳 分析代码 会显示 是 se加壳的
ns(北斗)壳 开始两个压栈 ( 可能 区段信息: 按顺序 X0 X1 X2 )
脱壳 一般壳的代码比较短,壳代码结束的地方就是OEP
1.找OEP (在Import REConstructor中 OEP=找到的地址-基地址 RAV)
2.Dump镜像文件
3.修复IAT
4.修复重定位表,修复资源,修复VMOPE等
FSG脱壳: RVA 怎么找: 在ope里进call 函数,然后查看内存 RVA=找到的起始地址 - 基地址 大小 是在call内存里 最后一个减去RVA的地址
在Import REC里,点显示无效的 ,有许多FFFFF的 删除指针
有时候xp上可以打开,windows7等无法打开,可能是ISA资源没有修复,也可能是因为ASLR (用CFF explorer打开程序,然后Nt Headers,然后File Header,然后点右下角,把 Relocation info stripped from file的勾选上(不勾选是支持))
OD载入每次入口不一样:我们可以把重定位勾上(关闭),就可以修复
简单排查崩溃问题
在od打开,在strongod中,把 忽略所有异常 去掉,然后 options中,在Exceptions中 把异常类型的钩全部去掉,然后点运行,崩溃了,看堆栈窗口,然后右键跟随到修复的地方,
在崩溃的地方下个断点,然后运行会发现 有地址指向空的地方,把地址复制下来,到有壳时候的这个地址去查看内容。(一般就是因为其起始位置和大小写错了)
修改:①retn,在函数开始的地方直接反汇 ②用nop填充
windows常用函数:
1.MessageBoxA/W
消息框
2.ShellExecuteA/W
3.WinExec
4.CreateProcessA/W
弹网页常用三个函数
5.CreateThread
6.RegCreateKeyExA/W
7.RegOpenKeyExA/W
8.RegDeleteKeyExA/W
注册表
explorer.exe http://www.52pojie.cn/thread-384195-1-1.html
CreateWindowExA/w 创建窗口
DialogBoxParamA/W
资源修改
1.利用资源编辑器修改版权
Restorator
ResEdit
ResHacker
2.利用API定位修改版权的地方
SetDlgItemTextW/A (DialogBox控件设置文本)
3.利用十六进制编辑器修改
C32Asm
Winhex
课外:给Exe程序添加弹窗
1.添加MessageBoxA的导入表并获取VA
MessageBoxA
MessageBoxA ord:0 rva: 001AA187 VA:005AA187
2.添加一个新的区段,并植入汇编代码(弹窗并跳回原来的EP)
push Style(0)
push Title
push Text
push hOwner(0)
call dword ptr ds:[0x5AA187]
3.修改EP到新的起始位置并保存
很多老壳的出口点是 401000
大小比较自校验:
有的软件脱壳后无法运行,可以查看是否进行了大小比较,从而判断是否进行了大小自校验
小知识:
一般关键跳的上面1-3个call 是关键call
je是根据上面的比较结果来选择跳不跳 test al,al 是比较上面call 的返回值 这种情况 call 就是影响跳不跳的关键(可以进入call函数内部,修改寄存器的值 使之可以跳转或不跳转)
除了通过字符串,还可以根据API来寻找,有时候call在里面,要跳出去当前call,回到上一层或者再上几层call ,然后查看上面比较 来修改
ini文件断点使用函数:GetPrivateProfileStringA
Alt+F9 反回程序领空 (系统领空是无法修改的!!!!! )(大地址是系统领空 小地址是程序领空)
查找不到字符串,也找不到函数时,可以 右键→查看→user32 进入user32模块,然后 右键→查找->二进制字符串 ,然后输入十六进制字符串(万能断点特征码) :F3 A5 8B C8 83 E1 03 F3 A4 E8
然后下完断点,输入注册码以后,回到程序领空,然后继续向下执行 多看堆栈 (万能断点在xp下比较好用)
对于vb程序来说,修改返回值,messagebox等都没有用,在断点里有vb用的 rtcMsgbox 是vb里的 消息类弹窗
提示注册的信息库,就叫做 NAG 举例:(运行程序,出弹窗,然后返回OD,F12暂停,然后查看调用堆栈(K按钮),然后选择系统领空的
user32.messageboxExA,右键,选择 显示调用,然后加断点,重载程序,然后运行,寻找关键条,注意寻找段首和断尾(一般retn为断尾)!!!!!!)
jnz 根据标志位跳转,zf=0则实现跳转,zf=1 则不跳转,一般根据返回值 或查看上面是否有比较等可以修改标志寄存器的值
BC++ 的程序脱壳后打不开,可能不是自校验,需要手动查找 ITA的地址
手动查找方法:到达OEP后,离OEP很近有一个call,我们选中后回车,跟踪call的里面寻找 IAT,然后向上翻动,到 段首 的位置,然后选中段首那一行,右键,
数据窗口中跟随->内存地址,然后在下面的数据窗口右键,(有可能是 Hex/ascii),然后右键, 长型 -> 地址 (更改回地址样式),然后再ImPrc里,输入OEP,
然后在RVA里输入 计算后的地址(数据窗口中的地址-基地址),然后在大小里输入1000(这个数比较随意,只要大过这个段就行),然后点 获取输入表,
然后点 显示无效函数,然后在无效函数那里 右键,删除指针,然后转存即可
使用Dark:假设注册页面三个按钮,把程序载入DD,然后点 过程,找到三个按钮的窗口,(可以先先右键,查看附件数据看一下信息,)然后双击,根据段首的地址,
在OD里载入程序,然后查找该地址,下断点然后 运行程序,在注册码那里的按钮断掉,其他的断点关掉。 然后按照对比,找到注册码就可以了。
程序破解也可以使用单步法,有时候某个call里跳出(注册类型)的窗口,而上面有跳转可以跳过这个call ,一般就修改这个跳转跳过这个call就可以了
F12 暂停法寻找注册码:载入od,运行程序,弹出注册失败等提示框后,反汇OD,F12,然后 执行到用户代码,关闭掉提示框,然后程序会返回到程序领空,
然后向上寻找关键跳 (一般关键跳上面就是关键call) ,一般需要修改标志位的话,需要进入关键call 里,在关键call里单步执行,如果遇到假码了,
F8别太快,慢慢来,里面可以找到注册码
制作内存补丁:先载入程序,找到关键跳,然后打开注册编写器,然后 选择 制作内存补丁, 选择程序,输入标题,然后点 添加数据:
修改地址(关键跳地址) 修改范围(可以不用写) 修改长度 (关键跳地址后面的一列,每2个数字算一个长度,假设 0F8489040000 这是6个长度)
原始指令(修改长度的那一个数据,地址后面的一列) 修改指令(NOP 是 90,根据在OD中NOP填充多少行 就填写多少个 90)
然后点击生成就行了。 然后运行破解补丁就可以
针对易语言的push窗体法(网络验证):程序载入od, 到地址 401000处,然后 右键->查找->二进制字符串->然后输入FF 25(找窗体事件。找按钮事件是FF 55),确定
到易语言体这里(上面有个 push 0x520...) ,然后点击右键->查找->命令 ,输入命令 :push 10001,点查找,然后下面有个 push 0x520.....复制下来,
然后把刚开始 通过FF 25那里的查找的push 覆盖掉(绕过掉开始主界面的窗口),然后点汇编,然后复制到可执行文件 。这样来回的重复,就可以了
退出暗装的解决办法:(这里以一个打开自动退出的暗装为例)载入od,先运行,发现自动退出,重新载入,在插件->常用断点设置->常用断点,勾选上
ExitProcess(程序退出)断点,确定。然后运行程序,在断点处,右下角堆栈窗口中,(在API下面)有个 返回到 (程序名) 来自(程序名),在这一行,右键,
反汇编窗口跟随,然后上面有个call(就是退出函数的call)。然后上面有个跳转,修改跳转,可以跳过这个call,然后复制到可执行程序即可
网络验证的本地突破:先把程序在dark里打开,过程,寻找那个按钮,有时候点一个按钮,弹出的界面才有那个按钮,那要先找外层的按钮。找到地址后,去od里
然后一直F8,然后F8不动了以后(可能是连接服务器或者弹错等),可以NOP尝试一下 ,然后继续向下找到关键条(一个错误提示后面一般有个跳转),一般
也跳向了失败,也NOP掉, 然后运行查看是否成功
VB的通用技巧:载入od,右键->运行脚本->打开,然后选择脚本文件 (需要脚本支持,比如 vb按钮事件.txt|.osc|.osc.txt)。之后会自动下断,然后运行,如果是
重启验证,可以运行一下,在断点下面,往下翻页查看找到 xx xx,0xFFFF(%85的VB程序用这个数值,和四个F作比较,影响下面的关键跳),在这里下断点,然后把其他
的断点删除,然后这就是关键比较,看看可以修改下面的关键跳,有多个地方显示注册点时,可以复制这条比较命令,然后 右键->查找->所有命令,然后在
查找到的命令,右键,在每个命令上设置断点,然后进行相应修改。
所有模块间的调用(VB运行之后自动退出):载入od,发现运行之后自动退出,右键->查找->所有模块间的调用,找到vb的退出函数 X__vbaEnd,全部下断,然后F9运行
程序,然后查找关键跳 (可以跳过call退出函数的地方)进行修改,有的地方没有跳过函数,就可以不用理他。 假如有关机指令等,可以搜索字符串,找到这
个字符串,然后段首下断,找到写入那句话,数据窗口中跟随,然后数据窗口中选中,空格键,然后 勾选上 保持大小,把指令用0填充,然后确定,然后保存就行了。
脱壳八法:
esp定律: 基本上第一个命令 是 pushad 就可以用esp定律 同时也可以看 右边寄存器窗口,只有esp是红色的,就可以使用esp定律
在esp 寄存器上点 右键 然后 数据窗口跟随,然后选择数据(只要是从esp跟随过去的,数据选多少都行),选中后点右键,然后
选择 断点->硬件访问->然后随便选一个 ,然后运行到断点处,然后单步执行,一般碰到 跳转 大跳转 跳过来 或者 retn
代码变成看不懂(也可能不变) 一般就到oep了
单步跟踪: 开始,先F8,然后看哪个call跑飞了,就F7进入这个call,继续F8,然后按照上面的循环,如果有往上跳转的,直接在下面按
F4(运行到所选,前提是跳转实现再这么做),一直F8,看到 popad ,一般就快到OEP附近了
两次断点:先设置od,在选项,调试设置,异常,把所有的都打上勾(全部忽略),确定。 然后 Alt+m 键,先在 第一个段(与程序名相同的段).rsrc那下F2断点,
然后按 shift+F9 ,然后在Alt+M,在 401000处下断,然后 shift +F9,然后按照单步跟踪法脱壳。
最后一次异常法:载入od,选项->调试设置->把所有的打上勾的全部取消(不勾选),然后 shift +F9,再一次 shift +F9 (看看 按几次程序能正常启动,假如
第二次启动,那么异常就只有一次),然后重新载入程序,按异常的次数按shift +F9,然后在右下角堆栈窗口,有一个SE(SE处理程序/SExx句柄等),在
上面 右键->反汇编窗口跟随(或者根据中间的地址去查找),然后F2断点,然后shift +F9,然后运行到断点处,然后取消断点,然后按照单步跟踪法,脱壳
SFX :载入od,选项->调试设置->异常,把所有的都打上勾(全部忽略),然后选择 SFX, 选择 字节方式跟踪真正入口处(单选的最后一个),然后重新载入,然后等待
它自动获取真正的入口
模拟跟踪法: 载入od后,可以查看内存,找到 SFX的地址(第一列),然后输入命令 (tc eip < SFX的地址)然后断下来就是 OEP(按e查看基址)一般不直接使用,而是:
先使用两次断点法,(第二次断点不一定是401000,根据基址来寻找,一般是 基地址+ 1000)到接近oep的位置,然后在使用模拟跟踪法。
出口标志: 载入od,假如有 pushad,可以右键,查找命令 ,输入相应的命 popad,取消 整个块 选项,然后查找,然后再popad处F4,然后F8,然后查看是
否到达oep,如果跑飞了,就继续向下寻找 popad,重复查找,一直到F4可以断下来,然后单步向下找到OEP即可
一步OPE: 载入od,直接运行程序,然后看右下角堆栈,先拉到最后,然后往上拉,找到 程序名.地址 那里,(如果(堆栈窗口)没有向上的括号)然后反汇编窗口跟随
(第二列地址跟随也可),然后反汇编窗口跟随(第二列地址跟随也可),删除分析,然后再看右下角堆栈,有向上的括号,找到 段首,找到
返回到 程序名.地址 ,然后 在反汇编窗口跟随地址,然后在 向上翻,查找他的oep(一般是段首),然后
右键,数据窗口中跟随,然后再下面的数据窗口中 右键,断点,硬件执行断点,然后重新载入,直接运行到断点,然后脱壳
如果OEP找对,又无法运行,就用loadpe ,先修正镜像,然后 完全脱壳。然后再用Import rec修复即可