0x1:
调试前运行此程序
单击确定
单击确定
程序退出
0x2:
开始调试,使用OD载入该程序
EP代码非常短,这是因为abex'crackme程序是使用汇编语言编写出来的可执行文件。
使用VC++ VC Delphi等开发工具编写程序时,除了自己编写的代码外,还有一部分启动函数是由编译器添加的,经过反编译后,代码看上去就变得非常复杂。但是如果直接使用汇编语言编写程序,汇编代码会直接变为反汇编代码。观察图中的代码可以看到,main()直接出先在EP中。
0x3:
分析代码
调用GetDriveType()函数
返回值(EAX)是3
https://msdn.microsoft.com/en-us/library/windows/desktop/aa364939(v=vs.85).aspx
(0040101f 处的jmp指令 为无意义跳转 )
cmp eax,esi
je short 0040103D
比较eax和es1
如果两值相等,则跳转到40103D
如果两值不相等,则从401028继续执行
在40103D地址为消息框输出代码
跳转(到40103D)失败
执行00401028 处的 MessageBoxA()函数
终止进程 CALL ExitProcess
0x4:
破解:将00401026地址处的代码修改为 JMP 0040103D
选中右键复制到可执行文件,把修改后的代码保存为文件
ps:
栈的结构是先进后出,所以把参数压入栈时,只有按照逆序的方式压入,函数才能以正确的顺序接收到这些函数
若有在C语言中调用一个函数: fun( a , b ,c)
则有 push c
push b
push a
call fun
从右向左将参数压入栈,然后调用函数。