OllyDBG简单爆破小记

1、OllyDBG简单爆破小记OllyDBG简单爆破小记一假期东逛逛西逛逛逛荡了好几天。总算是抽空干了点正事，看着教程试着用OllyDBG爆破了一个极简单的TraceMe小程序。东西不难，算是个基础吧。004013A0<模块入口点>PUSHEBP程序入口在004013A0处。按F9让程序跑起来：很清晰的看到这是一个验证用户名和序列号的小程序，那么我们要跟踪的当然是USER32.GetDlgItemText或者类似的API函数。我这里占个便宜，联系程序已经给出是32位ANSI版的，那很自然的我们要锁定USER32.GetDlgItemTextA这时，我们可以按Ctrl+N

2、来获取应用程序输入表，很容易我们就能找到我们要的东东之后按ENTER转入即可。当然，也可以用Ctrl+G来跟随这个函数总之我们的目的就是找到这个USER32.GetDlgItemTextA的入口，现在我们的目的达到了：MOV EDI,EDI76632AE1GetDlgItemTextA入口位置在76632AE1。当然这个位置不同系统是不一样的，不必在意。在这里用F2设置一个断点，再用Alt+F9返回TraceMe程序领空。按F9将程序跑起来。用户名和序列号我们随便输入一个即可：点击Check之后当然会卡在刚才设置的断点处，再用Alt+F9回到程序领空，我们很容易的就找到了调用USER32.Ge

3、tDlgItemTextA函数的位置。我们用Alt+B打开断点列表，禁用掉76632AE1处的断点，然后在程序调用API函数的地方设置一个新的断点：004011AEPUSH51;/Count=51(81.)004011B0PUSHEAX;|Buffer004011B1PUSH6E;|ControlID=6E(110.)004011B3PUSHESI;|hWnd004011B4CALLEDI;GetDlgItemTextA004011B6LEAECX,DWORDPTRSS:ESP+9C004011BDPUSH65;/Count=65(101.)004011BFPUSHECX;|Buffer004

4、011C0PUSH3E8;|ControlID=3E8(1000.)004011C5PUSHESI;|hWnd004011C6MOVEBX,EAX;|004011C8CALLEDI;GetDlgItemTextA我们就在这个004011AE处设置一个新的断点，然后再重新来过，把程序再跑一遍。到达这个004011AE处，程序会停住，然后我们就用F8单步执行这个程序。在004011B0处我们看到命令是PUSHEAX，那么就在旁边的寄存器窗口中右键点击EAX寄存器，选择“数据窗口中跟随”。这时下方的数据窗口中就会锁定EAX寄存器指向的位置。我们继续用F8单步跟踪，并注意观察下方的数据窗口。运行到00

5、4011B4时调用API函数，到004011B6时，下方的数据窗口显示出我们刚刚输入的用户名：同理，运行到004011CA的时候，序列号也会相应的显示出来：那么下面就应该是计算用户名和序列号的关键了：004011CAMOVAL,BYTEPTRSS:ESP+4C004011CETESTAL,AL004011D0JESHORTTraceMe.00401248004011D2CMPEBX,5004011D5JLSHORTTraceMe.00401248004011D7LEAEDX,DWORDPTRSS:ESP+4C004011DBPUSHEBX004011DCLEAEAX,DWORDPTRSS:ES

6、P+A0004011E3PUSHEDX004011E4PUSHEAX004011E5CALLTraceMe.00401340004011EAMOVEDI,DWORDPTRDS:<&USER32.GetDlgItem>USER32.GetDlgItem004011F0ADDESP,0C004011F3TESTEAX,EAX004011F5JESHORTTraceMe.0040122E根据上面的代码可看出，004011F5处如果不跳转，则注册成功。那么我们可以通过给标志寄存器ZF取反或者直接把004011F5处代码修改为控指令来实现我们的爆破。后面就是保存文件之类的事情了，不再赘述。而具体的算法分析，就真的是要靠读程序了，这次就不再发了。后面小附一个这回常用的OllyDBG快键功能表：OllyDBG快键功能F2在光标处设置断点/取消断点Ctrl+F2OllyDBG结束被调试程序并重新加载F7单步步进，遇到CALL跟进Ctrl+F7连续步进，遇到CALL跟进F8单步步进，遇到CALL路过，不跟进Ctrl+F8连续步进，遇到CALL路过，不跟进F9运行程序C