OD 实验(十七) - 对一个程序的逆向分析

程序:

运行程序

弹出一个对话框,点击 OK

来到主界面,点击 Help -> Register Now

这是输入注册码的地方

按关闭程序的按钮

会提示剩下 30 天的使用时间

用 Resscope 载入程序

在 Dialog 下找到程序要退出时的那个对话框

在 100 处找到该对话框

103 为 lpTemplateName 对话框模板

逆向:

用 OD 载入程序

右键 -> 查找 -> 所有命令

64 为 100 的十六进制

找到很多 push 0x64 的指令

右键 -> 在每个命令上设置断点

跑一下程序

程序停在该断点处,此时程序还没运行起来,而且那个对话框是在程序被关闭的时候弹出的

按 F9 继续运行

程序运行起来后,直接关闭程序

此时停在该断点处,该处就是要弹出对话框的地方,可以把其它断点都去掉了

这个 call 指令就是显示模态对话框的指令

往上拉一点

这里有个 je 跳转指令,如果执行跳转的话,将跳过那个 call 指令

je 指令上面的 cmp 指令把 eax 和 1 进行比较,如果 eax 等于 1,就能执行跳转

而 eax 的值是 call 指令调用的函数返回的值

在 call 指令下一个断点,跑一下程序

按退出程序的按钮之后,停在了 call 断点处

按 F7 步入

按 F8 往下走

在这里调用了一个 API 函数 RegOpenKeyEx,这个 API 函数用于打开一个注册表的键,注册表键值不区分大小写

该函数如果调用成功,则返回0(ERROR_SUCCESS)。否则,返回值为文件 WINERROR.h 中定义的一个非零的错误代码

按 F8 接着往下走

这条指令把 API 函数 RegQueryValueEx 的地址传给 esi

按 F8 接着往下走

这里有个 call esi,就是调用 RegQueryValueEx 函数

RegQueryValueEx 用于检索一个已打开的注册表句柄中,指定的注册表键的类型和设置值

函数调用成功的话返回 0,如果失败返回错误代码

函数原型:

LONG WINAPI RegQueryValueEx(
    HKEY hKey,            // 一个已打开项的句柄,或者指定一个标准项名
    LPCTSTR lpValueName,  // 要查询注册表键值的名字字符串,注册表键的名字,以空字符结束
    LPDWORD lpReserved,   // 未用,设为零
    LPDWORD lpType,       // 用于装载取回数据类型的一个变量
    LPBYTE lpData,        // 用于装载指定值的一个缓冲区
    LPDWORD lpcbData      // 用于装载lpData缓冲区长度的一个变量,一旦返回,它会设为实际装载到缓冲区的字节数
);

RegQueryValueEx 会把找到的键的值存放到数据缓冲区

它的参数按反依次对应

该函数要拿到 RegName3 键的值,把结果存到 edx 的地址中

edx 对应 lpData,ecx 对应 lpcbData

edx、ecx 分别为这两个地址

调用完该函数后,该函数返回 2,也就是调用失败,因为在注册表中找不到 RegName3

按 F8 接着往下走

走到一个跳转已实现的跳转指令

如果该跳转指令实现跳转的话就会跳到函数的末尾

如果该跳转指令不实现跳转,接着往下走

就会再一次调用 RegQueryValueEx 函数,这次是要查找 RegCode3 键的值

会存放到 edx 的地址中

按 F8 接着往下走

这个跳转指令也是跳转到函数的末尾

让其不跳转

这两句把这两个地址传给 edx 和 ecx,而这两个地址刚才都传给 edx 过,用来存放 RegName3 和 RegCode3 的结果

分别将 ecx 和 edx 入栈,然后通过 call 调用一个函数来验证他们

按 F7 步入

该函数有两个返回值

一个为 1,一个为 0

按 F8 往下走

有个已实现的跳转

如果跳转将跳过返回值为 1 的 retn

不让其跳转,接着往下走

接下来的三条跳转指令都是跟第一条语句一样的跳法,看来返回值为 1 才是我们想要的

让这三条语句不跳,继续往下走

这是最后一个跳转指令,让它不跳

接着往下走

函数返回了 1

接着往下走,一路默认

走到 retn 指令,此时 eax 的值还是为 1

eax 的值为 1,cmp 指令把 eax 的值 和 1 比较,如果相等,je 就执行跳转

跳转就跳过了调用对话框的那个 call 指令

posted @ 2018-10-06 16:11  Sch01aR#  阅读(1576)  评论(2编辑  收藏  举报