这是我试图弄清楚如何分解exe的第四天。
仍然没有运气,文件在运行后立即发出调试器错误。我正在使用OllyDBG,它似乎是压缩文件或包含大量数据。 我认为它仅用于调试保护,但是我无法使其正常工作。
我正在努力学习装配,这是我在测试应用程序方面取得更好成绩的“新水平”成就。 我想要改变的是文件exe中的一个文本到另一个文本。所以这是一个变量变化。即使内部有简单的数字更改,我也会感到满意。只是想知道如何。
该文件在打开后可以运行其他exe文件,但这不是我想要触摸或编辑的任何内容。
这是文件打开的方式:
00401000 >/$ 68 01504400 PUSH tryme.00445001
00401005 |. E8 01000000 CALL tryme.0040100B
0040100A \. C3 RETN
0040100B $ C3 RETN
0040100C A9 DB A9
0040100D FE DB FE
0040100E 39 DB 39 ; CHAR '9'
0040100F B1 DB B1
00401010 30 DB 30 ; CHAR '0'
00401011 D8 DB D8
00401012 BB DB BB
00401013 A6 DB A6
00401014 45 DB 45 ; CHAR 'E'
00401015 23 DB 23 ; CHAR '#'
00401016 92 DB 92
00401017 AC DB AC
00401018 3D DB 3D ; CHAR '='
00401019 B3 DB B3
0040101A 9C DB 9C
0040101B 8C DB 8C
0040101C 90 NOP
0040101D 0E DB 0E
0040101E 26 DB 26 ; CHAR '&'
0040101F 3B DB 3B ; CHAR ';'
00401020 D3 DB D3
00401021 48 DB 48 ; CHAR 'H'
00401022 49 DB 49 ; CHAR 'I'
00401023 70 DB 70 ; CHAR 'p'
00401024 88 DB 88
00401025 07 DB 07
00401026 78 DB 78 ; CHAR 'x'
00401027 36 DB 36 ; CHAR '6'
00401028 7C DB 7C ; CHAR '|'
00401029 88 DB 88
下面有很多数据库调用,我试图断开每个其他的RETN,但是没有调用它们。有人可以给我一个提示,如何处理这种exe文件?
感谢您的时间,
答案 0 :(得分:4)
udis86 disassembler library有一个非常有用且方便的反汇编程序,名为udcli。
例如,我做了什么来理解你的代码:
首先,将所有十六进制代码字节复制到ASCII文件中。我复制了你的OllyDbg输出,然后用Vim切断了除二进制代码之外的所有内容,得到了这样的文本文件(比方说hexcode.txt):
68 01 50 44 00 E8 01 00 00 00 C3 C3 A9 FE 39 B1 30 D8 BB A6 45 23 92 AC 3D B3 9C 8C 90 0E 26 3B D3 48 49 70 88 07 78 36 7C 88
然后想知道这是16位,32位还是64位英特尔代码...通常你可以看到并感觉代码是否奇怪,在这种情况下它是错误的处理器,错误的处理器模式或代码可能是加密的,也可能是数据而不是代码。
让我们试试它是否是16位代码:
在Linux控制台中,$ cat hexcode.txt | udcli -x -16
0000000000000000 680150 push word 0x5001
0000000000000003 44 inc sp
0000000000000004 00e8 add al, ch
0000000000000006 0100 add [bx+si], ax
0000000000000008 0000 add [bx+si], al
000000000000000a c3 ret
000000000000000b c3 ret
000000000000000c a9fe39 test ax, 0x39fe
000000000000000f b130 mov cl, 0x30
0000000000000011 d8bba645 fdivr dword [bp+di+0x45a6]
0000000000000015 2392ac3d and dx, [bp+si+0x3dac]
0000000000000019 b39c mov bl, 0x9c
000000000000001b 8c900e26 mov [bx+si+0x260e], ss
000000000000001f 3bd3 cmp dx, bx
0000000000000021 48 dec ax
0000000000000022 49 dec cx
0000000000000023 7088 jo 0xffffffffffffffad
0000000000000025 07 pop es
0000000000000026 7836 js 0x5e
0000000000000028 7c88 jl 0xffffffffffffffb2
嗯。已经在开始inc sp,非常奇怪的指令。结论:不是16位代码。
也许它是32位代码?
$ cat hexcode.txt | udcli -x -32
0000000000000000 6801504400 push dword 0x445001
0000000000000005 e801000000 call dword 0xb
000000000000000a c3 ret
000000000000000b c3 ret
000000000000000c a9fe39b130 test eax, 0x30b139fe
0000000000000011 d8bba6452392 fdivr dword [ebx+0x922345a6]
0000000000000017 ac lodsb
0000000000000018 3db39c8c90 cmp eax, 0x908c9cb3
000000000000001d 0e push cs
000000000000001e 263bd3 cmp edx, ebx
0000000000000021 48 dec eax
0000000000000022 49 dec ecx
0000000000000023 7088 jo 0xffffffffffffffad
0000000000000025 07 pop es
0000000000000026 7836 js 0x5e
0000000000000028 7c88 jl 0xffffffffffffffb2
这看起来已经更好了。首先,您可以将断点设置为0x445001。由于dword在call dword 0xb后跟ret之前被推送,可能是ret之后的call 0xb实际上弹出了值0x445001从堆栈跳转到cs:0x445001。另一方面,如果有意图混淆代码,可能是使用call dword 0xb调用的函数可能会修改推入堆栈的值0x445001,以便ret在{{}之后1}}不会跳转到call dword 0xb,而是转移到其他地方。因此,将另一个断点设置为存储0x445001的堆栈地址。函数调用0x445001 call dword 0xb应指向值[ss:esp]之前,请在此处设置断点。它也可以在函数内部设置,但在这种情况下,地址将为0x445001([ss:esp+4]保存返回地址)。所以我首先尝试设置这两个断点,然后在[ss:esp]函数内单步执行跟踪代码。
最后一个想法:如果这是64位代码怎么办?
call dword 0xb
$ cat hexcode.txt | udcli -x -64以与32位代码相同的方式开始,但稍后会出现无效指令,因此可能不是64位代码(除非代码挂钩无效的操作码异常处理程序0000000000000000 6801504400 push dword 0x445001
0000000000000005 e801000000 call dword 0xb
000000000000000a c3 ret
000000000000000b c3 ret
000000000000000c a9fe39b130 test eax, 0x30b139fe
0000000000000011 d8bba6452392 fdivr dword [rbx-0x6ddcba5a]
0000000000000017 ac lodsb
0000000000000018 3db39c8c90 cmp eax, 0x908c9cb3
000000000000001d 0e invalid
000000000000001e 263bd3 cmp edx, ebx
0000000000000021 48497088 jo 0xffffffffffffffad
0000000000000025 07 invalid
0000000000000026 7836 js 0x5e
0000000000000028 7c88 jl 0xffffffffffffffb2
),或者从不执行该代码。