小甲鱼 OllyDbg 视频教程

      尝试 1 ： https://www.bilibili.com/video/av6889190?p=17

      尝试 2 ： https://www.bilibili.com/video/av6889190?p=18

小甲鱼OD学习第13-14讲：https://www.bbsmax.com/A/QV5ZL1gZzy/

逆向常用 api ：https://pan.baidu.com/s/1dypI6la3Gj4i-G6exiCMkg    提取码：v6dq 



 

尝试 1：使用 查找模块间的调用 进行逆向

 

方法 1：

API 函数 GetWindowTextA 可以取得一个窗体的标题（caption）文字，或者一个控件的内容



可以通过 api 函数 GetWindowTextA 来进行逆向



搜索 API 函数 GetWindowTextA 函数



 按 Alt + b ，查看所有断点，可以看到 下了 3 个断点



 

把 这个 3 个断点删除，使用另外一种方法查找。

 

方法 2：

按下  Ctrl + n ，查找 getwindowa ，然后 右键 -> 在每个参考上设置断点。按下 Alt + b ，可以看到还是设置三个断点。



查看断点 Alt + b：



然后重新载入程序、运行，看程序有没有在断点处停下来。发现程序在断点处停下来，因为没有输入内容，所以这个断点是没有用的，删除这个断点，按 F9 继续。发现程序又在一个断点处停下来，同样没有输入内容，所以这个断点也是没有用的，删除这个断点，按 F9 继续。发现程序运行，出现界面。点击注册：



发现程序果断的在最后一个断点处停下，



然后开始 F7、F8 调试，寻找关键跳转：

可见是判断al值，那么上一个call可能就是计算加密的函数，下断点进入



神奇的发现有两处call地址相同，附近代码也相同，猜测这是程序怕被破解所以出现的二次验证程序

进入后找到两处retn

由经验得出第一个retn为true，第二个为false



将跳转实现的标志位修改成未实现（修改标志位Z）

修改后确实弹出了注册成功了的对话框，但是发现界面依然显示未注册的信息。



这时候我们就要考虑他的双重验证了，第二个验证call

也可以通过字符串查询方式，寻找关键位置



下断点进入，找到关键跳转关键call



进入函数 



找到关键跳转，mov bl，1   

后面直接 mov al，bl

我们修改代码 mov al，1



成功

总结：还是要锻炼寻找加密思路，寻找关键的上一个跳转及call是最关键的

 

 

尝试 2：查找关键字进行爆破

 

这次我们的任务是 PJ 这个需要注册码的软件，如下图所示



我们搜索上图相应的提示字符串，看看能找到什么线索，我们搜索  invalid  code  试试看，如下图



然后下断点，如下图所示



我们来到断点处的代码，如下图



观察代码，发现0041749C  JNZ SHORT XoftSpy.004174E3  能跳转到相应的成功注册的提示信息，如下图



我们干脆把代码改为 jmp  SHORT XoftSpy.004174E3，看看效果，如下图



用所有修改保存，运行程序并且注册，发现提示成功，如下图



但是我们又发现，软件还是没有注册成功，如下图所示



我们干脆换个方式，搜索另外一个标志字符串，下断点，如下图所示



观察 00401499 JE SHORT XoftSpy.004014AD,这行代码能跳转到软件注册成功的代码处，如下图



我们尝试着用NOP来代替这行代码看看效果，如下图



用所有修改保存，运行软件，发现已经破解成功！！



 

 

 

再Windows上运行，都遵循PE文件格式。
exe，dll，sys
      1，程序从哪里开始执行
      2，数据存在哪里
      3，程序存在哪里
          最终存储为0和1
字节（BYTE）：8位（两个十六进制数），     WORD（字）：16位，      DWORD（双字）：32位（BIT）
Windows操作系统存储从高位到低位 ：E8 00 00 00  ——> 000000E8
PE查看器—>找到代码段起始地址—>找到第一个函数
将16进制数转换成汇编的过程——反汇编
二进制—》汇编—》C语言——逆向
逻辑运算 —— 按位运算
    或（ or   | ）——有一则一定是一
    与（ and    & ）——有零则一定是一
    异或（xor  ^）——不一样的为一
    非（not   ！）——1是0，0是1
    左移（ << ）——0010  <<  0100
例题：CPU运行：2+3=？

CPU只能做加法运算，存储数据的容器：CPU里---寄存器，内存条---内存（慢）
32位通用寄存器：
EAX：       累加器
……
汇编指令：
mov  把后面的立即数放到前面的寄存器里
add   加数再放回
sub   减数再放回
客户端---密钥---服务器端
内存：
【编号】成为地址，
32位计算机：寻址宽度（编号最大不能超过32位）——存储最大数据：FFFFFFFF+1  —》 4G
(包括00000000)
内存单位大小（内存单元）是一个字节
内存的读写：(练习时:地址可用ESP的)

DS(段寄存器):后面是立即数,与内存属性有关
SS:后面是ESP/EBP
ES:后面是EDI
PTR:后面是地址
LEA:取地址编号





堆栈:ESP(栈顶),EBP(栈底)
PUSH,POP--->(+4/-4)

这不是一篇教程。
这是三篇教程的综合。
XSS高级培训、逆向工程、WINDOWS驱动开发综合教程。
怎么说，在万千教程里，我精挑细选的三篇教程，绝对超赞。
简单说一说他们的内容合适度。
老少皆宜，新手大牛都适用的教程。
为什么这样说呢？一般来说，教程的三六九等，（难度），新手看的，大牛就显得幼稚了。
大牛看的，新手看不懂。
非也。
它的起点的确是基于基础的，所以，知识给新手看，可以。
它的思维拓展绝对是卓越的。所以，即便是大牛，看了也没有问题。
再者，他的案例都是经典案例，温习温习绝对没有坏处的。
希望大家喜欢。
文章转自黑客内参

前言

　　一开始小白，学了些教程。

　　大多教程说了找功能的具体过程，但没说为什么要这么找。导致自己找新的功能时，容易不知道怎么下手。

　　也没找到把逆向分析这事说明白的资料，只能自己搜集零碎的信息，慢慢形成对逆向分析的整体认知 。

　　学习过程，也加入一些逆向的圈子。接触下来，交流的氛围不太理想。小白能百度的不百度，只会伸手要；大佬能分享的不分享，大多是炫耀。结果就是每个人花很多时间找相同的功能。

　　

　　接触逆向有段时间了，整理整理，把逆向这事理清楚，希望对后来者有所帮忙。会从原理说起，对逆向分析有个全局的认知。也会聊下找新功能的常用方法，这样自己找新功能的时候能有思路。最后会给出几个实战的过程，理论结合实践。

　　

　　PS：一开始说的是理论的，会比较枯燥，但能打好基础。文章也是环环相扣的，建议看仔细点。
目录

　　Windows逆向分析入门（一）——总篇

　　Windows逆向分析入门（二）——原理篇

　　Windows逆向分析入门（三）——方法篇

　　Windows逆向分析入门（四）——代码篇

　　Windows逆向分析入门（五）——工具篇

　　Windows逆向分析入门（六）——实战篇（用户信息）

　　Windows逆向分析入门（七）——实战篇（刷新二维码）

　　Windows逆向分析入门（八）——实战篇（收发文本消息）
工具和教程，放群里（163419350），方便交流。

实战代码放在github：https://github.com/KongKong20/WeChatPCHook