网站建设公司专业公司排名软文代发

        本来是不打算写文章了，因为懒，想以后通过录屏的形式保存一下自己学的路程。但奈何开学后一直没找到机会，在宿舍也不愿意大吼大叫的讲东西，只好再写写文章了

        最近学了一些汇编语言和逆向工程，所以就想通过这40给题目来看一看成效，这篇文章是第一题。博主很菜，半个月速学了一遍汇编语言，逆向工程刚开始学，只学到了IAT。

---------------------------------------------------------------------------------------------------------------------------------

        本题都是再Ollydbg下进行的 

        并且

博主会通过汇编语言来进行讲解 

         

第一题只有一个exe文件，打开这个文件

会弹出一个窗口， 提示我们要获得正确的许可证。

因为是以弹窗的形式，并且有相关的字符串提示，所以我们可以猜测那是不是就有对应的正确的字符串。

通过Ollydbg打开文件

 右键查看所有参考字符串

 可以看到有刚才错误的

字符串，也有正确的字符串。我们双击转到显示正确字符串的内存地址

 

观察可知 

MessageBox函数为弹出一个windows对话框，该函数可能为c语言也可能为VB语言

因为这几串指令的前后都是DB：0，即0数据，所有这几条语句可能是转移过来的，我们向上翻滚。

 

可以看到有这么一串指令，这也就是我们要调试的主要 内容

观察红字部分的Createfile和Readfile函数可以确定为c语言编写的程序。

这一步部分为检测是否有Keyfile.dat文件，如果没有的话就会打印出刚才出现的那一段字符串

 

这一段是读取Keyfile.dat文件 的内容

以上内容的汇编语言没什么可以说的，无非就是入栈出栈创建栈内空间。

后面的汇编语言比较重要，会详细说说

 

TEST EAX,EAX检测两个值是否相等

JNZ指令入对上面的TEST检测，如果TEST指令相等，则跳转到内存地址为004010B4

即XOR EBX,EBX指令，这个指令为异或指令，在这条命令下即为将EBX寄存器的值清零

然后下一条指令将ESI寄存器中的值清零

CMP DS:[402173],10指令，其中10为十六进制，转换为十进制为16。

内存地址4022173即将读取文件的内容存放到内存中的地址

所以上面的指令的意思即为比较文件中的数据的长度 

JL指令为如果小于则进行指定位置的跳转，在这个题目中跳转的位置为004010F7，我们看一下这个跳转位置的内容：

会给我们一个错误的弹窗，所以我们不因该进行这个跳转

所以我们创建文件里面的内容的字节数必须大于16

 

这样就会 跳转执行下一个命令

下一个命令为mov转移指令，将EBX+40211A的值传给AL值

这时候观察右边EBX寄存器中的值会发现为0

然后将AL中的值与0作比较，因为我们之前给40211A内存地址也就是文件的内容添加了至少16个字符，所以JE为等于则跳转，肯定不会跳转到对应内存地址，而是继续执行下一条指令，

这些指令是一串循环指令，其中47是16进制，转换为十进制再转换为ASCII值为G

INC是加一指令，综合下来来说就是让 文件中的内容中有8个或8个以上的G字符，因为当AL和G做比较相等才会执行ESP加一，而程序调试到这里时ESP的初始值为0，所以要满足ESP大于或等于8。

所以我们创建文件名为Keyfile.dat文件，里面填充内容为

然后我们调试文件或者直接运行exe文件

 

可以看到和我们第一次的弹窗不一样了。并且弹窗的内容为提示我们输入的正确

至此，程序调试结束

--------------------------------------------------------------------------------------------------------------------------------

后记：方法2

        同样的程序可以有不同的调试方法，这里只在另外介绍一种，实际情况可能还有很多种。

我们将Keyfile.dat的内容修改为

 

这样程序就会报错

 

这里是对ESP的内容做检测，还记得要想成功必须让ESP=或者>8吗？

那我们还记得前面 将ESP清零的指令吗？如果我们没有执行这条指令是不是就成功了？

 

将XOR ESP,ESP 

修改为NOP空指令填充

然后调试程序

 

 可以看到返回给了我们和刚才一样的正确信息