OD 实验(二十一) - 对反调试程序的逆向分析(二)

程序:

运行程序

点击“Verify”

关闭该程序,启动 OD

再运行程序

逆向:

用 OD 载入程序

按 F8 往下走

执行完这个 call 指令就弹出了对话框

这个 call 指令调用了 DialogBoxParam 函数创建模态对话框

如果步入该函数的话,会跳到动态链接库中

如果按 Alt+F9 让程序回到执行区域的时候停下也不行

DialogBoxParam 函数具体实现什么样的操作由参数 IpDialogFunc 决定,IpDialogFunc 为指向模态对话框过程的指针

IpDialogFunc 参数指向的地址为 40108C

在该处下一个断点,运行程序

停在断点处

按 F8 往下走

执行跳转,一路默认往下走

到了动态链接库中,按 Alt+F9

程序又回到了起始处,继续往下走

这次的跳转没有实现

接着往下走

走到这个地方会响一声弹出对话框的声音,然后又回到原处

这个 call 处下一个断点,重新跑一下程序

停在这个地方后,按 F8

弹出了对话框

看来是这个 call 语句

步入这个 call 语句

这里先是调用了一个 API 函数 CreateToolhelp32Snapshot 来创建进程快照

这两个是它的参数

这个函数的第一个参数 dwFlags 用来指定“快照”中需要返回的对象,第二个参数 th32ProcessID 用来指定要获取哪一个进程的快照,当获取系统进程列表或获取 当前进程快照时可以设为 0

该函数如果调用成功,返回快照的句柄;调用失败,返回 INVALID_HANDLE_VALUE

eax 的值为 BC,函数调用成功

执行完这句,EDI 的值为 OLLYDBG.EXE

 

然后调用 Process32First 函数,前面两个是它的函数

当利用函数 CreateToolhelp32Snapshot 函数获得当前运行进程的快照后,可以用 Process32First 函数来获得第一个进程的句柄

接着往下走

[System Process] 为 Process32First 函数的结果

然后调用 lstrcmpi 函数对它的两个参数进行对比,前面两个是它的参数

如果两个的值相同返回 0,不同返回 1

值为 1,两个参数的值不同

这个跳转就没有实现,如果是 0 的话,跳转实现

接着往下走

接下来调用了 Process32Next 函数,前面两个为它的参数

Process32Next 函数用来获得下一个进程的句柄

接着往下走

Process32Next 获取的是 System

然后调用 lstrcmpi 函数进行字符串对比,两个值不一样,返回 1

跳转没有实现

往下走

这个跳转往上跳,是一个循环

通过 Process32Next 函数逐个地获取进程的句柄,并判断进程中是否有“OLLYDBG.EXE”
如果进程中存在 OLLYDBG.EXE 就会弹出错误的对话框

如果进程中没有 OLLYDBG.EXE,则调用 CloseHandle,然后返回,ollybug.exe 不区分大小写

posted @ 2018-10-19 23:11  Sch01aR#  阅读(670)  评论(0编辑  收藏  举报