吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 28825|回复: 178

[原创逆向图文] 零基础也能完美逆向最新e4a

  [复制链接]
破天无名 发表于 2016-8-6 21:18 | 显示全部楼层 |阅读模式

大家好,我是破天无名,
今天给大家放一全面的e4a教程哦,方法是死的,希望大家能活学活用,如果感觉逆向有意思啊就看看某出的入门吧是几位大神出的,当然我是不时间看....
这个软件比较特别,不管你没运行他,他是找不到字符串的,或者你到他的401000处,我是不认这个地址的,我是点od的E,然后双击一个路径和我们逆向一样的,到40100处,这个地址不是绝对的,有的不是这个,用我说的也能到那里,可还是不能找字符串,那怕运行了也是一样,那么我们初步的想他,是全部武装了,可他再武装也有开枪打人的时候对吧,我们就利用回调的方法,把他给逆出来
好了,下面进入主题
第一步:打开od----把软件拖入,直接f9运行起来,如图
1.jpg
                              
这里是刚载入的,先提前给大家说下,标题上模块右边有一个e4a说明我们载入的是软件,可以在这里修改,如果不是这个,修改是没用的哦,这个是提醒
第二步,直接找软件要注册那里做突破口,随便注册下,会提醒对不起什么的,我们回到od给暂停下,如图
2.jpg
3.png
4.png
上图大家看看吧,这个就是系统领空和我刚开始说的,模块右边是ntdll,这个不是我们的软件,这里第二次强调,
第三步,调试-----执行到用户代码,如图
5.png
这时od上有返回到用户,如图
6.png
第四步,回到软件再点刚才提示说对不起什么的,那个确定,如图
7.png
第五步,这里软件是会被暂停下来的,回到od后发现这时还是系统领空,我们那怕改了也没用,改的不是软件本身,所以要一直f8的单步向下走...这里第三次强调下,要看标题上那里必须要处在逆向软件的名字才行,如图
8.png
Retn这个东东是事件调用结束的意思,通常这个就是返回,也就是出口,如图
9.png
经过无数次的单步,(手都单步抽筋了)如图,这是最后一个retn,再单步下就出来了
10.png
再来张我们回到软件上的图片吧
11.png
注意到没,标题上的模块右边已经是软件的名字了
第五步,接着我们可以搜索字符串了, 这个可不止是这个软件可以用哦,其他软件也是一样的,不管他加了多强的壳,vm了多少代码,或者加了多少花指令,都能多多少少能把其他字符串上的信息给我们报出来,(这废话也太多了!)
直接看我们搜索字符串的美图吧
12.png
经过我们强大的od漫长的分析与扫盲,终于出来了,看图
13.png
这也太多了吧,两万多个呀,......看到紫色的条条没,这个就是我们软件暂停下来的地址,我们是从注册错误那里进来的对吧,那么前面一定有注册成功的东东,这不在上面有个已注册的了,我们双击进入
14.png
我们要向上找,凡是有个j开头的都是个跳转我们就点一下他,看他是不是有跳过我们的已注册的,如图
15.png
经过无数次向上点击去查看,终于在写个程序不容易这里的上面有个大跳转,如图
16.png
在这条白线上双击下,下个断.....或者f2,前面会变红的了,如图
17.png
这时我们运行下软件,f9,如图
18.png
再点下注册
19.png
发现软件又停下来了,而且这个跳转变红了,就是实现跳过我们已注册,到了我们刚才那个对不起那里去了,所以我们不能让他跳啦,如图
20.png
我们就右键-----二进制----nop填充
21.png

22.png
再运行下,发现已经注册成功了,如图
23.png
这里我们已经算是半完美的PJ了,正版是能编译发布版的,可我们是注册的了,还是不能编译的,如图
24.png
25.png
下到了编译就又变成未注册了的,说明我们逆向只是表明,没有逆向对地方如图
26.png
那么我们找他提示出来的,正在等待用户验证,如图
27.png
Ctrl+f 搜索   正在等待用户进行验证,,,,,,,,,如图
28.png
29.png
果断双击在这里下断,f2,,如图
30.png
这里刚好是入口.....下好断后,再去点编译如图
31.png
32.png
又暂停下来了,我们单步的向下走,这里要看j开头的那些能跳转的,就是他的线变红了,如图
33.png
像上面的就是现实跳转的了哦,这个不管他,因为他不是关键跳转
34.png
这个已经跳转了哦,可是这个是加密狗校验成功了,可他跳过了,我们把他给干掉,如图
35.png
36.png
再运行,发现已经能正常编译了,如图
37.png
38.png
可是,当我们用比如编辑框后会闪退,,可我们能编译,也是注册版的了呀,这时我们猜测在验证成功下面还有一个跳转没有实现,或者实现,让这个软件没能正常使用,这个叫暗装.

我们回到查找字符串那里找下编辑框,如图
39.png
可这个不是,我们在英文输入法的状态下,按下b,找下一个
到了编辑框的属性那里如图,在图片我们看到在他的属性下面有个路径呀,其他的工具是没有的呀从这里的路径下个断,再编译下
40.png
41.png

这个是路径,我们看看别的是没有的呀,所以我们猜下是不是这出问题了,
下面来看看按钮的下面,发现没有这个路径呀,所以我们可以大胆的正确他有问题
42.png
那我们在双击进入后在上面看有没有大跳转,跳过这个的,没有就到最上一点下个断,好下一步确定下是不是我们猜的那样
43.png
看到没,有一个大跳,我们再编译一下,看会不会停下来
44.png
最后还是停下来了
这个没有跳
我们试一下让他跳吧
然后编译出来的软件看会不会闪退,记得这个是加了编辑框后编译生成出来的软件会闪退的地方,

我们双击下je,改为jmp如图
45.png
46.png
发现使用编辑框生成出来的软件居然不会闪退了,
好了,我们逆向调试的教程结束了,下面是制作补丁
用到的软件是pyg内存补丁  飘零的东西,使用比较方便
如图
47.png
先配置一下
在目标上选择我们要逆向的软件
1.png
接下来把我们改的复制下来生成补丁
按键盘上的减号,回退到我们之前修改的地方,或者在改的时候记下来,如图

第一处
50.png
51.png
先恢复下
然后按ctrl+c   复制下
00A170AD  /0F84 B9020000   je 00A1736C
把第一排的地址复制到补丁地址上
52.png
后面的这个给删除了
回到软件再nop掉第一处的跳转
53.png
54.png
发现有690
把他打到补丁上,如图
55.png
最后选择下软件,再点增加,如图
56.png
后面两人跳转补丁也是一样添加,如图,把原来的改成修改的就成了
57.png
最后点下生成,如图
58.png
补丁就这样被我们给做好了,这个补丁是放在这个补丁软件的根目录下的哦,到那里就能看到,
好了教程结束了,不懂的就留言


49.png

评分

参与人数 140威望 +1 HB +202 THX +54 收起 理由
longge188 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
sjtkxy + 1 + 1
花盗睡鼠 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
虚心学习 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
24567 + 1
zxjzzh + 2 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
yexing + 1
冷亦飞 + 1
禽大师 + 1
天山老童 + 1
ldljlzw + 1
forumvip2000 + 1
jaunic + 1
boot + 1
yuan2020 + 1 + 1 [吾爱汇编论坛52HB.COM]-吃水不忘打井人,给个评分懂感恩!
cai7381237 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
lies + 1
Klop1314 + 1 论坛的秩序需要大家共同监督与维护,感谢!
gwgirl + 1 [快捷评语]--积极评分,从我做起。感谢分享!
迷路的小星球 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
syzh802618 + 2 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
y_x_boy + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
王健林 + 1 [快捷评语] - 2017,让我们17学破解!
foxman + 1 [快捷评语] - 2017,让我们17学破解!
半世浮华 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
紫缘 + 1 [快捷评语] - 2017,让我们17学破解!
独一无② + 1 + 1 [快捷评语] - 2017,让我们17学破解!
hongge + 1 + 1 [快捷评语] - 2017,让我们17学破解!
peter_king88 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
守护神艾丽莎 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
唯美的帅哥 + 1 [快捷评语] - 2017,让我们17学破解!
雪花飘飘 + 1 + 1 [快捷评语] - 2017,让我们17学破解!
zwc123xyz + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
消逝的过去 + 5 + 1 [快捷评语] - 2017,让我们17学破解!
slg18 + 1 [快捷评语] - 2017,让我们17学破解!
米其林轮胎 + 2 + 1 [快捷评语] - 2017,让我们17学破解!
datonglu + 2 + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
列明 + 2 + 1 我竟然看懂了,非常感謝,很詳細,理解也容易
1786363325 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
绝情一醉 + 2 + 1 [快捷评语] - 2017,让我们17学破解!
ddx123 + 1 + 1 [快捷评语] - 2017,让我们17学破解!
woshuoxiang + 2 + 1 [快捷评语] - 2017,让我们17学破解!
CoolAg + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
zuohaoda + 1 [快捷评语] - 评分=感恩!简单却充满爱!感谢您的作品!
kioon + 1 [快捷评语] - 分享精神,是最值得尊敬的!
Xkiro + 1 [快捷评语] - 2017,让我们17学破解!
133288988 + 1 感谢大神分享!!给我们这么好的学习环境!
killer2017 + 1 2017,让我们17学破解!
知冷 + 1 2017,让我们17学破解!
pinsy + 1 楼下的叼毛讲的太对了!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| 破天无名 发表于 2016-8-6 21:20 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒 发表于 2016-8-6 21:46 | 显示全部楼层

楼主的风格我很喜欢,教程每个步骤讲解很细致,建议以后把假码1111111111111111改为www.xuepojie.com
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
hemingjun 发表于 2016-8-6 22:11 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
空白格 发表于 2016-8-6 22:50 | 显示全部楼层

感谢分享            学习学习
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
jianglinjian 该用户已被删除
jianglinjian 发表于 2016-8-6 23:19 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
3170216036 发表于 2016-8-6 23:44 | 显示全部楼层

谢谢分享!!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Bu弃 发表于 2016-8-7 00:06 | 显示全部楼层

这个貌似还有重启验证吧。我记得他好像就是一个Call验证这些,这样我们可以直接修改Call的返回值就行了。他的注册信息就保存在目录下的一个txt文件下。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
幸运008 发表于 2016-8-7 00:25 | 显示全部楼层

厉害。菜鸟去学习下
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
sun85226 发表于 2016-8-7 00:26 | 显示全部楼层

太深了,看不懂了哈
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表