• OD调试1--第一个win32程序


    OD调试一:第一个Win32程序的修改

      在软件开发的过程中,程序员会使用一些调试工具,以便高效地找出软件中存在的错误。而在逆向分析领域,分析者也会利用相关的调试工具来分析软件的行为并验证分析结果。由于操作系统都会提供完善的调试接口,所以利用各类调试工具可以非常方便灵活地观察和控制目标软件。在使用调试工具分析程序的过程中,程序会按调试者的意愿以指令为单位执行。

      调试逆向分为动态分析技术和静态分析技术。

      动态分析技术指的是使用调试工具加载程序并运行,随着程序运行,调试者可以随时中断目标的指令流程,以便观察相关计算的结果和当前的设备情况。

      静态分析技术是相对于动态分析而言的。由于在实际分析中,很多场合不方便运行目标(例如病毒程序,设备不兼容,软件的单独某一模块)。那么这个时候静态分析技术就该上场了!

      OD(OllyDbg)和IDA Pro这两款工具分别是调试逆向的倚天剑和屠龙刀。虽然两者都兼容动态和静态的调试方式,但就动态调试而言,OD更为灵活和强大,而静态调试工具的王者理所应当是功能极为强大的IDA Pro。

    1. 汇编代码对应的地址窗口

    2. 汇编代码对应的十六进制机器码窗口

    3. 反汇编窗口

    4. 反汇编代码对应的注释信息窗口

    5. 寄存器信息窗口

    6. 当前执行到的反汇编代码的信息窗口

    7~9. 数据所在的内存地址,十六进制,ASCII码

    10~12.栈地址,存放的数据,对应说明信息

     

    任务要求:通过OD将程序的标题“I love fishc.com”改为“Iam JiaYuntian”

     

    具体操作步骤:

      打开OD。按F3载入程序hello.exe.

      粗略浏览汇编代码,发现是一些乱七八糟的东西。Ctrl+F2重新载入程序回到入口点OEP。一直按F8单步步过,注意观察窗口各处信息的变化,一直按到出现对话框。此时停在下图的这个call上。

     

      在此行按F2设下断点(或者双击该行),Ctrl+F2重新载入,直接按F9运行到断点处,按F7单步步入这个call里。

     

      进入到这里后,继续按F8单步往下执行。

     

      此处就找到了我们要修改的地方。

      在左下方的数据窗口里按Ctrl+G,键入地址00422030,确认

     

      在第一行的地方按空格,修改标题内容:此处应注意,16进制数字末尾处应加上00(因为字符串是以0结尾的,C语言编程里有学到。)

     

      点击确定,修改完成。按F9继续执行程序。

     

      修改到此成功。

      

  • 相关阅读:
    【微信开发】【Asp.net MVC】-- 微信分享功能
    利用JS-SDK微信分享接口调用(后端.NET)
    C# ThreadPool类(线程池)
    C#多线程--线程池(ThreadPool)
    MongoDB允许其它IP地址访问
    解决ASP.Net第一次访问慢的处理(IIS8)
    GitLab版本管理
    基于句子嵌入的无监督文本摘要(附代码实现)zt
    简约机器学习复习笔记/速查手册(缺点是2018年1月的旧了)
    CRF学习的文章
  • 原文地址:https://www.cnblogs.com/yunji5566/p/4249927.html
Copyright © 2020-2023  润新知