|
列明學逆向之10P的經驗
本人新手,剛學逆向不久,現將近期所獲分享於諸位,其間必有錯漏,望海涵一二,請批評指正!
用OD調試軟件時,想必諸位定見過這10P:Pack,BP,PUSH,POP,ESP,EIP,Plus,OEP,JMP,NOP。
1.Pack
我稱其為包裹,意思就是Pack,即:軟件編成後,作者利用工具將軟件放入包裹當中封裝起來再行發佈,可理解為包裝,這樣做有很多好處:其一可以減小軟件所佔用存儲空間,一般情況下,包裹封裝(加殻)後的軟件要比原本小,而在用戶層面實際運行軟件則無任何不同。其二可以防止逆向反編譯,或者提高逆向反編譯的難度,以保護軟件數據不被非法篡改,不難想象,裝在籃子裏的鷄蛋要比空手拿着安全得多。
我沒有用查殻工具查殻的習慣,原因是脫殻可能引發一些不必要的冗餘過程的執行,比如眾所周知的暗樁,這是我聽@Shark恆在百集逆向教程裏面說的。
如何區分是否有殻呢,我的辦法是用OD開啓軟件,待進入到軟件主體(或者說是進入真正的OEP後),隨意修改一條指令,然後右鍵複製到執行文件,若能成功,則無殻或者有殻也不影響,否則,有殻。
此後9P均于OD中言。
2.BP
BP即為斷點(BreakPoint),可以說,斷點貫穿逆向反編譯調試的始終,沒有斷點,就沒有調試,任何人,都不能離開斷點而調試逆向成功(注:單步跟蹤,執行到返回,執行到用戶什麽的,其實也是利用了斷點而實現的快捷功能)。
斷點有硬件斷點、內存讀寫斷點、用戶自定義執行斷點(這個應當是不準確的,就是在反匯編窗口中雙擊指令行變紅的那類斷點)。
一般情況下,可以利用編程語言的各種(按鈕、窗體、讀寫文件、消息提示框等)事件的特徵值設置(下)斷點,從而調試程序,比如易語言的FF25,FF55FC5F5E等,C語言的sub eax,0a等。
3.PUSH
Push即為推,壓入的意思,就是將數據或者存儲數據的空間放入棧(一個口,單向進單向出的儲存容器)中,以備後用。
常見的有pushad等。
其中比較重要的一點是:push 0x10001 是易语言的窗体
4.POP
有壓入,就必須有釋出,那麽,有Push,就必須有Pop,Pop即為將棧中的數據釋出,釋放存儲空間。
一般情況下,(一個call(調用)內部)POP後會跟着RETN(return,返回),在部分情況下,根據我們的分析,必要情況下,如果要在段首就返回,那麽retn前的幾個POP就需要同retn一起替換上去。
5.ESP
ESP是什麽,我不知道,我只知道它是寄存器裏面的一行,用來存儲臨時數據。
昨晚,或者準確的說是在今天凌晨,我剛剛學了ESP定律,很幸運,恰好手邊有一個非常適合ESP定律脫殻的軟件,就用ESP定律隨手脫殻了,說實話,要是知道且會用ESP定律,那麽對於適合用ESP定律脫殻的軟件,脫殻就是幾秒鐘的事情!這個絶對不是我虛言,知道的人都知道,這是實話!
那麽,什麽是ESP定律呢?我記得有一個帖子裏面解釋得非常清晰明了詳細,這裏就不多說了,諸位有興趣可去搜搜看。
6.EIP
EIP即為OD中目前所運行到的匯編指令地址。
有時我們按minus(減號鍵,即:-,作用是將高亮指示返回到前一個指令)返回一個遠跳前所在位置去分析指令和數據後,欲回到當前運行到的指令,我們除了按下plus鍵,我們還可以嘗試另一種方法:雙擊寄存器中EIP所指示的地址。
7.Plus
Plus即為我們常說的加號鍵,即:+。
與之前所說的減號鍵作用相反,常將此鍵與減號鍵配合使用,用來在一個遠(長)跳(轉)之間來回觀察分析,一般情況下,減號鍵用來返回跳轉來源,加號鍵用來轉到跳轉去向。
8.OEP
OEP即為程序的入口點,對於無包裹(Pack)的軟件,OD調試之前,加載後的最開始的那一行指令即為OEP;而對於有包裹的軟件來說,真正的OEP在後續的指令當中隱藏着,需要用一些方法找出來,才能去包裹,當然,不去包裹也是可以調試的。
用ESP定律可以輕易找到一些有包裹的軟件的OEP,當然,並不是所有的軟件都適用ESP定律去包裹,只有一部分適用,而具體是哪些適用,我們應當仔細分析。
9.JMP
JMP(jump)即為跳轉,這個是強跳,無條件跳轉,而我這裏說的jmp,可不僅僅是指jmp.
在OD中,以j開頭的指令,或兩位如je,jz等,或三位如jnz,jge等,或四位,這些都與跳轉有關,他們都是有條件跳轉,在符合什麽條件下才跳轉,什麽條件下不會跳轉。
比如某jxx,軟件運行起來,OD跟蹤,在輸入錯誤的賬戶與密鑰後,它並不執行跳轉,而是繼續向下直行到提示錯誤的消息框那部分指令,那麽,我們就可以將這類jxx直接修改為jmp就好。
10.NOP
NOP(no operation)即為無指令之意,就是不執行任何指令,也沒有任何指令的意思,不嚴謹的說,可以理解為註釋掉,屏蔽的意思。
我們一般可以將jxx、call、任意指令替換為NOP。
如果jxx會跳轉到我們不希望執行的指令處,而緊隨jxx後的指令正是我們所想要執行的指令,那麽這時,我們就可以將jxx替換為nop,即nop掉。
如果call確認是調用暗樁或者錯誤提示等我們不想實現的功能,那麽,就可以nop掉。
如果有一段指令或者某一句指令我們不想它執行,而且確認不會對後續步驟指令有什麽影響,那麽,也可以將其nop掉。
小子不才,才疏學淺,淺薄之見,見笑於諸,諸位高德,德高於人,人人為我,我為人人,人人評論,論壇才成,成人之美,美于心靈,靈機一動,動手評分,分佈在多,多了也可。 個人淺見,可能錯漏,破神請路過,新手就看看,看完再評論,互惠你我與論壇,評分不評分,全憑一顆心,覺得有收穫,就去評一分,覺得有道理,就去評兩分,覺得瞎扯淡,不評也沒事,評分不扣B,放心去評分,不評白不評,評了再來評!
4734-09-14-申時由列明發佈 | 
[复制链接]
|RSS|手机版|小黑屋|帮助|吾爱汇编
( 
京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图
窥视卡
雷达卡
我想你的字体是不是要换一下!
楼主
