吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 17641|回复: 84

[原创逆向图文] 【S03E02】Shark恒 零基础逆向教程之图文!【多处调用】

  [复制链接]
Shark恒 发表于 2014-10-27 23:40 | 显示全部楼层 |阅读模式

S03E01帖子,我真的没有想到会有将近200人加分,大家对我的热捧,让我受宠若惊啊!
我会用实际行动来感谢大家对我的支持,让新手走更远,让我们的逆向队伍更强大!

这次我们要讲到的内容是关键CALL被多处调用的问题。
我们先看下图,这个程序点击按钮时,他会判断条件,条件不符合的话,标题不会变动。
你是不是会问,什么条件?其实这是我写程序的时候随便写的一个条件。
这个条件模拟了软件的验证项,验证软件是否为已注册,也就是点击按钮,会进行验证。这种多处调用验证的方式在非常多的软件中都运用到了,这一课,我们就讲解这种验证的分析方法。
下图为点击“原创发布区”按钮时,标题没有任何变动。
1.png

其实这个软件是可以通过很多方法进行逆向的,看过我第一季和第二季的朋友,都会拿出不同的方法进行逆向。
比如说查找字符串,E-debug,等等方法都可以达到逆向。
但是今天我们学的技术,是全新的!大家不要跑题哈。
如果我们使用以前的方法进行逆向,肯定是在下图跳转的位置NOP掉,对吗?
但是这个软件需要NOP的地方有6处,如果另外一个软件需要NOP的地方有1000处呢?会不会累死?
3.png

所以,今天我们要寻找的是他的关键CALL,在我们前两季也提到过关键CALL的问题,这一次,我们就要利用到他了。
我们看下图,60%零基础的朋友,会认为下图红色圈圈内的CALL就是关键CALL,因为他距离关键跳最近,其实不对。
因为红色圈圈内的CALL上面有一个跳转,是可以跳过这个CALL的,你见过关键CALL是可以跳过的吗?不可能!
那红色圈圈内的CALL肯定不是关键CALL,所以我们认定,绿色圈圈内的CALL,99%的可能性是关键CALL。
4.png

然后我们选中关键CALL,右键,跟随,就可以看到这个CALL里面的代码了。如下图操作。
5.png

看下图,目前选中的行,就是段首,段首就是这个关键CALL的第一行。
然后看下面的本地调用来自 xxxxxx,有6个地址,因为我们的程序有6处调用了这个CALL来验证。
(选中第一行的情况下,下面才能显示本地调用,否则是看不到的。
也就是说,如果你用以前的方法逆向,那你就需要改6处的跳转NOP,
如果软件有1000处调用,那你就需要改1000处的跳转NOP,如果有10000处呢?难道你要去修改10000处???
今天我们学习的内容,就是修改1处,达到1000处被修改的效果!
6.png

我们在断尾的RETN处设置断点,然后运行程序,点击任意一个按钮,程序就会断在下图位置。
因为按钮会调用这个CALL进行验证,我们又在这个CALL的断尾处下了断点,所以点击按钮后会断在这里。
看下图是还要注意箭头方面,EAX=0,这是一个非常致命的赋值。
就像我们上一课讲到的内容一样,1代表真,0代表假,关键CALL复制了0给EAX,那就是验证为假!!
7.png

既然这个CALL通过计算后,最终的目的就是给EAX赋值,0代表假,1代表真。
那我们需要做的就是直接给EAX赋值1,然后退出这个CALL,也就是我们需要修改关键CALL内的代码。
该怎么做的?看下图!这是第二季汇编课程的内容,MOV就起到了赋值的作用,不明白的回看第二季。
在关键 CALL的段首,也就是进CALL后第一行代码进行修改。修改为MOV EAX,1 的意思,就是把1给EAX,然后EAX就变成了1了,而不是刚才的0
8.png

好,现在CPU执行到这个CALL就会直接给EAX赋值为1,然后我们就不需要这个CALL干其他事了。
我们只需要让这个CALL把1给EAX,然后出去就OK了。然后我们再输入retn 4达到退出这个CALL的效果。
有人可能会问,有的是retn,有的是 retn 4,有的是retn 8,这里为什么用 retn 4?
请看下图,因为这个CALL本身就是retn 4,所以就必须用retn 4 否则会出错。
9.png

OK,那接下来的事情就是保存修改了。
修改后怎么保存?如果有这个疑问,回看第一季第一集。
10.png

然后我们打开程序,点击任意按钮,看看是不是修改关键CALL可以解决6个按钮的限制?
如果已经解决了,请大家记住这种方法,关键CALL很重要。
即便软件有一万处需要逆向,只要找到关键CALL,修改一处就等于修改一万处!
敢不敢把你修改后的程序贴出来给大家看看?我给你加分哦~

S03E02.rar (273.58 KB, 下载次数: 295)



评分

参与人数 75HB +69 THX +56 收起 理由
lies + 1
学编程的闹钟 + 1
丝滑诗画 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
29590 + 1
花盗睡鼠 + 2 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
24567 + 1
Jawon + 1
shaokui123 + 1
邂逅涟漪 + 1
Wayne + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
娄胖胖 + 1
银河星光 + 1
后学真 + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
消逝的过去 + 1
飞刀梦想 + 1 + 1
temp + 1 + 1
消费不当 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
玖霊後 + 1
侠客行 + 1
贝吉塔 + 1
蛋蛋蛋 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
成丰羽 + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
baoyue + 2 【不符版规】您所发布的内容,不符合版规要求。5HB为系统默认发帖奖励,现已撤销。
我是好人 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
crosssss + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
PDWORD + 1
zxjzzh + 2 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
刻骨铭心 + 1 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
jaunic + 1
liugu0hai + 1 + 1 谢谢分享,积极评分
winnerishope + 1 这个比较棒,挑个优惠价准备入手。
君莫哈哈哈 + 1 + 1
没有伞的孩子 + 1
dtl52144 + 1 + 1 [快捷评语]--吃水不忘打井人,给个评分懂感恩!
alonegull + 1 + 1 [快捷评语]--你将受到所有人的崇拜!
1125833462 + 1 + 1
25106569571 + 1 + 1 [快捷评语]--吃水不忘打井人,给个评分懂感恩!
guggle + 1 + 1 [快捷评语]--吃水不忘打井人,给个评分懂感恩!
滴水穿石 + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
德国蚂蚁 + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
liqi5230 + 1 [快捷评语] - 2017,让我们17学破解!
Lemon蒙 + 1 + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
linearong + 1 [快捷评语] - 吃水不忘打井人,给个评分懂感恩!
紫色的温柔情 + 1 又学习了一种思路。谢谢分享
胖子 + 1 分享精神,是最值得尊敬的!
wyzlq999 + 1 + 1 吃水不忘打井人,给个评分懂感恩!
天青 + 2 + 1 评分=感恩!简单却充满爱!感谢您的作品!
773827986 + 1 + 1 集集是经典!
追梦 + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
tony2526 + 2 评分=感恩!简单却充满爱!感谢您的作品!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
帮助别人 发表于 2014-11-18 13:24 | 显示全部楼层

搜索字符串找不到啊,关键CALL下面的那个CALL都找不到呢。

怎么找到的不是关键Call的,是个问题,没字符串啊

怎么找到的不是关键Call的,是个问题,没字符串啊


点评

闪耀”点评说:
要会学活用 JE上面的是关键CALL  发表于 2015-2-13 09:04
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
菜刀 发表于 2014-11-29 12:56 | 显示全部楼层

学习了,感谢
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
这滋味 发表于 2014-12-27 00:27 | 显示全部楼层

搞定了。提示吾爱汇编论坛就到www.xuepojie.com 当前按钮是 原创发布区。其他的都提示的不一样。有的是以检测到论坛!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
头像被屏蔽
slwst 发表于 2014-12-28 23:45 | 显示全部楼层

提示: 作者被禁止或删除 内容自动屏蔽
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
刘鑫泉 发表于 2014-12-30 02:09 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
tyfjmll 发表于 2015-1-20 17:24 | 显示全部楼层

谢谢老师的教程,我会不断努力的 傲游截图20150120172213.png
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
shen1l 发表于 2015-2-15 00:40 | 显示全部楼层

非常谢谢,很不错!!!!!!!!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
love2233 发表于 2015-2-15 10:22 | 显示全部楼层

学习了,......
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
xdr 发表于 2015-2-15 17:00 | 显示全部楼层

学习了,谢谢   QQ截图20150215165734.png

S03E02.zip (335.12 KB, 下载次数: 3)
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表