使用OllyDbg从零开始Cracking第三十章PCODE

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

第三十章-P-CODE-Part2(本章CrackMe支持库MSVBVM50.DLL)本章我们继续讨论P-CODE。以下是我从JBDUC的教程里收集的一些操作码:6c→ILdRf将指定操作数压入堆栈1b→LitStr5将字符串压入堆栈fb→Lead030→EqStr比较两个字符串(与Lead0配合使用)2f→FFree1Str释放内存空间1a→FFree1Ad释放内存空间0f→VCallAd通过虚拟机运行操作码1c→BranchF条件跳转指令,如果栈顶的值为false则跳转(相当于汇编指令JNE/JNZ)1d→BranchT条件跳转指令,如果栈顶的值为true则跳转(相当于汇编指令JE/JZ)1e→Branch无条件跳转(嘿嘿,相当于汇编指令JMP)fc→Lead1c8→End终止程序(与Lead1配合使用)f3→LitI2将立即数压入堆栈f4→LitI2_Byte将指定数据转化为字节整型并压入堆栈70→FStrI2将栈顶的WORD型元素保存到内存单元中,然后执行出栈操作6b→FLdI2将WORD型参数压入堆栈a9→AddI2栈顶两个WORD型元素相加,相加的结果置于栈顶ad→SubI2栈顶两个WORD型元素相减,相减的结果置于栈顶b1→MulI2栈顶两个WORD型元素相乘,相乘的结果置于栈顶好了,以上列出了一些操作码以及相应的含义,这里还有一份P-Code_OPCODES文档,这份文档是关于VBP-CODE虚拟机的说明文档,其阐述了操作码的解析原理(但是并不全,嘿嘿)。如果大家遇到了不熟悉的操作码的话,可以参考一下该文档,可能有帮助。好了,这里我们首先来讲解clave2这个CrackMe,将其加载到ExDec看看都显示些什么。这里我们可以看到开始于401CC0处,这里不能完全依然于ExDec,因为有时候它的分析不怎么准确,所以我们还是像上一章节一样手工来定位第一个操作码吧。我们定位到入口点上面的API函数MethCallEngine。这里我们给JMPMethCallEngine这一行设置一个断点,为了防止还有其他地方调用MethCallEngine,我们在JMPMethCallEngine这条指令上面单击鼠标右键选择-Follow定位到MethCallEngine的入口点,在入口点处也设置一个断点。我们运行起来看看会不会触发刚刚设置的断点。我们可以看到弹出了注册窗口,但是并没有触发我们设置的断点,说明在执行P-CODE之前注册窗口就产生了,可能有的程序执行PCODE在窗口产生之前,而我们这里刚好相反,其实这无关紧要,现在我们随便输入一个错误的用户名和序列号。接着我们单击Registrar(注册)按钮,就会断在JMPMethCallEngine这一行,好,现在单击工具栏中的M按钮打开区段列表窗口定位到代码段(这里我们使用原版的OD,不用那个Patch过的OD,那个Patch过的OD对P-CODE应用程序并不奏效),对代码段设置内存访问断点。接下来我们多运行几次,直到断在读取第一个操作码的指令处为止。这里我们可以看到ESI指向了第一个操作码,并且该操作码将被保存到AL中。和ExDec中显示的第一个操作码是位于401CC0处的04一致。我们应该还记得上一章介绍过的04这个操作码是将后面紧跟的参数压入堆栈,这里该参数是EBP-8C。下面我们来看看P-CODE的说明文档中操作码是如何解析的,如下图:04567B0B8E212就是将一个参数压入堆栈,0B8E指的是对应参数的RVA(相对虚拟地址),第一个2指的是所有参数所占的总字节数,接下来的一个1指的是参数的个数,最后的一个2指的是单个参数所占的字节数,由于这个例子只有一个参数,所以最后只有一个2,如果具有多个参数的话,后面会依次显示各个参数所占的字节数。我们这里的第一个操作码所执行的操作即PUSHEBP-8C,继续看下面的操作码,但是本章我们不跟上一章那样从头到尾跟踪每个操作码,这里我们只跟踪关键的操作码。我们看到这两处VCALLHresult,都是读取文本框中用户输入的信息,第一个有可能是读取用户输入的用户名,第二个可能是读取用户输入的序列号,我们直接给401D4C地址处的操作码设置内存访问断点。接着我们运行起来。断了下来,继续往下跟踪直到读取下一个操作码的指令为止。这里我们跟到了读取下一个操作码的指令处。可以看到局部变量local_008C即EBP-8C,我这里EBP-8C等于12F454,一起来看看该地址处保存了什么。在堆栈窗口中看到12F454地址处保存了我们输入的用户名。至此我们就定位到输入的用户名,接下来就是要定位输入的序列号,同理,给下图中的操作码设置内存访问断点。运行起来,马上就断在读取该操作码的指令。跟前面一样,跟踪到读取下一个操作码的指令处为止。我们来看看输入的序列号是不是也被保存到了局部变量中。我们会发现跟之前一样输入的序列号也被保存到了EBP-8C中。至此我们又定位到了输入的序列号,我们不必跟踪每个操作码,只需要对关键的操作码设置内存访问断点,上一章,我们跟踪了每个操作码的执行过程,让大家可以更好的理解P-CODE的运行机制,本章的话,我们就没有像上一章那样赘述了,下面的跟踪步骤还是像刚刚那样定位关键点即可。这里貌似在进行比较,接着释放局部变量的内存空间,然后根据刚刚比较的结果来决定是跳转到401E59处调用rtcMsgBox弹出正确序列号提示框还是直接往下执行弹出错误序列号的提示框。根据ExDec显示的内容来看这里很可能是进行序列号的比较,然后根据比较的结果来决定是条件跳转到提示序列号正确的消息框处还是提示序列号错误的消息框,所以我们可以给下图中的两个操作码设置内存访问断点,看看会发生什么。运行起来。断在了读取第一个操作码的指令处,继续往下跟踪直到读取第二个操作码的指令处为止,然后看看执行些什么操作。第二个操作码是EF。接着查看一下操作码列表中关于FBEF的说明(见附件中的OPCODES.TXT)。操作码列表中并没有对FBEF进行相应的解释,但是根据ExDec中显示的内容ConcatVar字面意思可以理解为拼接变量值,一起来看一看ExDec中的描述。可以看到两个局部变量将进行拼接,其中一个是EBP-9C即字符串“CRK”,另一个是EBP-018C,接下来我们分别定位到这两个变量。第一个变量是EBP-9C,在我机器上为12F444。(PS:这里需要说明一下,这里的变量类型属于variant型,也是就传说中的变体类型,相信学习过COM组件的童鞋一定不会陌生,VB中的variant类型属于一种结构体,该结构体的前两个字节表示类型,后面有3个WORD是保留的,接下来才是其真正的值。关于variant的类型定义这里大家可以看jjnet大哥在以前的帖子中给出的一段定义,见附录),前两个字节为8,表示类型8(b_str),也就是字符串类型,其实际指向的字符串首地址为12F44C。接下来我们看下一个变量EBP-18C,也就是12F354,属于类型3(I4),即占4字节的整型数,其真实值为2EA。我们跟进这个操作码中。这里是读取参数并保存到EDI中。我们可以看到保存到EDI中参数值为12F434。接着我们到了__vbaVarCat这个API函数的调用处,堆栈中显示该函数有三个参数。我们来看看每个参数的具体情况。这是第一个参数。这是第二个参数,表示一个整型数,数值为02EA(十六进制)。接着是第三个参数,表示一个字符串,其实际指向的字符串首地址为401748,即CRK。好了,现在我们已经弄清楚了这几个参数的情况,接下来我们跟进到__vbaVarCat这个API函数内部,看到其内部调用的一些其他的API函数,就会明白拼接过程是如何实现的了。好,这里我们跟到了__vbaStrCat的调用处,从堆栈中可以看出将要进行拼接的两个字符串分别是CRK和746,而之前的那个数值02EA呢?02EA(十六进制)对应的十进制数值如下:正好是764,所以__vbaVarCat这个函数首先会将数字型变量转化为了字符串(PS:十六进制数值转化为十进制数值),我们跟踪到该函数的RET处。我们可以看到两个变量被拼接到了一起。和前面一样,我们继续往下跟直到下一个操作码读取第一个参数为止。这里我们可以看到第一个参数的前两个字节值为8,表示类型8(b_str),也就是字符串类型,其指向的字符串首地址为15D88C,这里我们可以看到就是刚刚拼接的字符串。好了,接下来马上要进行序列号的比较了,我们往下跟直到读取下一个操作码为止。这里是一个双操作码操作,继续往下跟直到读取FB40的第二个操作码为止。这里操作码列表中也没有FB40解释,我们继续跟踪看看该操作码都干了些什么,嘿嘿。这里我们可以看到该操作码快结束的地方有一个CALL指令,我们来看看这个CALL的参数。第一个参数为零,第二个参数为12F434,在数据窗口中定位到12F434。前两个字节值为8,表示类型8(b_str),即字符串类型,其实际指向的字符串首地址为15D88C。接下来我们在数据窗口中定位到另一个参数。前两个字节为8008,表示组合类型8000|8(VT_RESERVED|VT_BSTR),即字符串型和保留类型的组合,实际指向的字符串首地址为15CA94,也就是输入的序列号的首地址。这个CALL,OD中没有解析其函数名称,我猜测可能是比较以上两个字符串。我们在这个CALL这里设置一个断点,接着按F8单步执行这个CALL。可以看到EAX的结果为FFFFFFFF(PS:这里作者描述有误,该函数的结果是保存在EAX中,而并非堆栈中),很可能说明刚刚比较的两个字符串不相等,这里我们直接输入正确的序列号,接着按注册按钮看看会不会断在刚刚设置的这个断点处。单击Registrar按钮。断了下来,我们直接按F8键执行这个CALL。我们可以看到比较的结果为零(PS:这里这个函数的返回值是保存在EAX中,并非栈顶,作者描述有误,现已更正),说明两个字符串相等。正如大家所看到的,我们没有必要从头到尾把整个程序跟一遍,我们只需要观察一下有没有什么关键的操作码,直接跟关键的操作码就能够轻松的找到正确的序列号。下面是该CrackMe的详细的操作码注释清单:401CC0:04FLdRfVarlocal_008C401CC3:21FLdPrThis;[SR]=[stack2]401CC4:0fVCallAdtext;获取窗口句柄401CC7:19FStAdFunclocal_0088401CCA:08FLdPrlocal_0088401CCD:0dVCallHresultget__ipropTEXTEDIT;读取文本框中的内容401CD2:6cILdRflocal_008C;读取到的文本401CD5:1bLitStr:&;将字符串压入堆栈401CD8:Lead0/30EqStr;比较两个字符串401CDA:2fFFree1Strlocal_008C401CDD:1aFFree1Adlocal_0088401CE0:1cBranchF:401CE6;如果不相等则跳转401CE3:1eBranch:401e8c;无条件跳转401CE6:04FLdRfVarlocal_008C401CE9:21FLdPrThis401CEA:0fVCallAdtext;获取窗口句柄401CED:19FStAdFunclocal_0088401CF0:08FLdPrlocal_0088401CF3:0dVCallHresultget__ipropTEXTEDIT;读取文本框中的内容401CF8:6cILdRflocal_008C;读取到的文本401CFB:4aFnLenStr401CFC:f5LitI4:0x66(....);将占4个字节的立即数压入堆栈401D01:d1LtI4;是否小于(?)401D02:2fFFree1Strlocal_008C401D05:1aFFree1Adlocal_0088401D08:1cBranchF:401D3F;如果不成立则跳转(=6)40

1 / 22
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功