【原创】IDA+OD双剑合璧=逆向无敌-Article-IT企鹅

【原创】IDA+OD双剑合璧=逆向无敌

MrLee2016-4-10 4515

我这一周学<软件逆向>是薛老师讲课，大多挺深，我就列出一个典型的吧。
准备工具： ollydbg ida vs2012
---------------------------------我们先把目标程序winasm_0.exe拖入peid主界面

img (22)

那我们去输入表看看

img (1)

img (2)

也好像没什么特别值得关注的。
、那好简单测试下程序看有什么状况发生

img (3)

看弹出对话框那我们该想到什么？API断点！messagebox相关！
不急我们把它拖入OD 直接ctrl+A分析

【原创】IDA+OD双剑合璧=逆向无敌 - 看雪安全论坛

入口点：

img (4)

习惯性的我把它上下一翻、发现：

img (5)

这不是我们要找的字符串吗？（PS：如果我没翻到步骤应该会是：

搜索字符串
下API断点
其它...

）我们截取关键代码分析：

代码:

CPU Disasm地址        十六进制数据            指令                                       Profile  Comments    获取输入内容00401066  |.  E8 BF000000   CALL        ;           /USER32.GetDlgItemTextA0040106B      A3 13114000   MOV DWORD PTR DS:[401113],EAX            ;           MOV DWORD PTR DS:[401113],EAX比较eax00401070  |.  83F8 05       CMP EAX,5                                ;00401073  |.  75 13         JNE SHORT 00401088                       ;比较 fubar？00401075  |.  BE 2A334000   MOV ESI,OFFSET 0040332A                  ;0040107A  |.  BF 41304000   MOV EDI,OFFSET 00403041                  ;           ASCII "fubar"0040107F  |.  B9 06000000   MOV ECX,6                                ;00401084  |.  F3:A6         REPE CMPS BYTE PTR DS:[ESI],BYTE PTR ES: ;           看ZF标志以决定转移与否00401086  |.  74 19         JE SHORT 004010A1                        ;00401088  |>  6A 00         PUSH 0                                   ;           /Type = MB_OK|MB_DEFBUTTON1|MB_APPLMODAL0040108A  |.  68 1F334000   PUSH OFFSET 0040331F                     ;           |Caption = " try again"0040108F  |.  68 0F334000   PUSH OFFSET 0040330F                     ;           |Text = "no, not really."00401094  |.  6A 00         PUSH 0                                   ;           |hOwner = NULL00401096  |.  E8 95000000   CALL            ;           /USER32.MessageBoxA0040109B  |.  33C0          XOR EAX,EAX                              ;0040109D  |.  C9            LEAVE                                    ;0040109E  |.  C2 1000       RETN 10                                  ;[/cpp]

那好我们暂且就这样分析在地址00401066 处F2断点 F9运行！那此时肯定会弹出对话框我们随便输入点什么以”15PB“为例再点击check！会在刚刚所设断点处停下来：

img (6)

F8单步走走试试？

img (7)

首先肯定是获取我们输入的字符”15PB“而后继续F8单步会发现下不去了！！左下角有提示：”访问冲突正在写入到[00401113]....去跳过异常程序“首先根据提示我们就可以判断”内存访问异常“（这个没有标准按逆向经验及知识面有各自的判断

【原创】IDA+OD双剑合璧=逆向无敌 - 看雪安全论坛

）好办！暴力破解，这个个人最喜欢了不费脑子！

【原创】IDA+OD双剑合璧=逆向无敌 - 看雪安全论坛

左键选中

代码:

CPU Disasm地址        十六进制数据            指令                                       Profile  Comments0040106B      A3 13114000   MOV DWORD PTR DS:[401113],EAX            ;           MOV DWORD PTR DS:[401113],EAX[/cpp]

左键单击选中-右键-编辑-填充为NOP（有些OD可以直接DEL）
左键单击选中-右键-复制所有修改到可执行文件-”忽视所有警告“
在所弹出窗口-右键-保存文件-确定-重名为”1“（保存在桌面）

我们再点击”1.exe“，再次输入”15pb“ 点击check！依然出错！

img (8)

为什么？我们再重复拖入OD:附件 101838

img (9)

我们看红色选中框.这时估计就会有人提问了上面不就有吗为什么留在这儿说故意充版面？不不不！一步一步来我这篇逆向文章面向大部分人（普通人）大牛们当然可以一眼定乾坤！普通人可不一样所以我得一点一点来叙述要通俗易懂尽量营造出菜鸟思维如果我直接这样~这样~这样~这样！再这样~那还写什么啊

【原创】IDA+OD双剑合璧=逆向无敌 - 看雪安全论坛

废话不多说我们分析代码：

代码:

CPU Disasm地址        十六进制数据            指令                                       Profile  Commentseax与5相比较 00401070    83F8 05         CMP EAX,5                                ;判断ZF标志位   若zf=0  跳转至地址“00401088”  显然是错的00401073    75 13           JNE SHORT 00401088                       ;00401075    BE 2A334000     MOV ESI,OFFSET 0040332A                  ;0040107A    BF 41304000     MOV EDI,OFFSET 00403041                  ;           ASCII "fubar"ecx 一般做循环比较次数 6？ 等等 与上面那个5有什么关系？ 字符串自带反斜杠0 如果去掉呢？就是长度5 ！ 我们再往下分析0040107F    B9 06000000     MOV ECX,6                                ;esi与字符串“fubar”相比较   00401084    F3:A6           REPE CMPS BYTE PTR DS:[ESI],BYTE PTR ES: ;JE ? 结果很显然了00401086    74 19           JE SHORT 004010A1                        ;00401088    6A 00           PUSH 0                                   ;0040108A    68 1F334000     PUSH OFFSET 0040331F                     ;           ASCII " try again"0040108F    68 0F334000     PUSH OFFSET 0040330F                     ;           ASCII "no, not really."00401094    6A 00           PUSH 0                                   ;00401096    E8 95000000     CALL            ;           跳转至 USER32.MessageBoxA[/cpp]

关掉OD 我们用字符串”fubar“去试试为什么？你再想想看

【原创】IDA+OD双剑合璧=逆向无敌 - 看雪安全论坛

附件 101839

img (10)

OK ~ 成功！
看到这里估计就会有人说了就这么点也想混优秀精华？没什么好看的哼~！回帖嘲讽下楼主再右上角深藏功与名。
----------------------楼主为了保住节操亦为了不被嘲讽遂再花点时间

【原创】IDA+OD双剑合璧=逆向无敌 - 看雪安全论坛

那么我们再进入节奏我们从上面分析得到了那些关键信息？

”内存访问异常！在不可写处写数据“
”PEID导入表可疑函数：SetUnhandledExceptionFilter：设置异常处理函数“

那么我们把它拖入IDA分析此函数如何？

img (11)

选中函数”SetUnhandledExceptionFilter“回车-主窗口”空格“键

img (12)

我们再左键点击红色框选中处
来到

img (13)

依然左键点击上图红色框选中处
来到真正的异常处理回调函数

img (14)

我们左键单击此行

代码:

.data:0040334A TopLevelExceptionFilter db ',0        ; DATA XREF: DialogFunc+E1o[/cpp]

做如下操作：按”c“键将数据转换为代码按”d“键转换dword类型可得到：

img (15)

此时我们看见完整的反汇编代码可以开始真正的分析了。

【原创】IDA+OD双剑合璧=逆向无敌 - 看雪安全论坛

我们知道SetUnhandledExceptionFilter是设置异常处理函数那么我们自己制作一个demo如何？那我们又要获得那些信息呢？

获取异常中断值
获取esi 即第一条指令

代码:

.data:0040334E                 push    esi[/cpp]

说干就干（ctrl+F5运行）

代码:

long   __stdcall   callback(_EXCEPTION_POINTERS*   pexcp)   {       �;  printf("%p/n",pexcp->ExceptionRecord->ExceptionCode);    printf("%p/n",pexcp->ContextRecord->Esi);  �;  getchar();  return   EXCEPTION_EXECUTE_HANDLER;   }
int _tmain(int argc, _TCHAR* argv[]){  SetUnhandledExceptionFilter(callback);   unsigned ueax,uebx,uecx,uedx,uebp;  __asm �;  {   �;    mov ueax, eax        mov uebx, ebx      mov uecx, ecx      mov uedx, edx      mov uebp,ebp  }  printf("eax=%x/tebx=%x/tecx=%x/tedx=%x/nuebp=%x/n", ueax, uebx, uecx, uedx,uebp); �;  int *f =0;  *f = 9;  system("pause");  return 0;}[/cpp]

来我们回到IDA反汇编代码：

代码:

ta:0040334A                 enter   0, 0.data:0040334E                 push    esi        ;将结构体压入堆栈.data:0040334F                 mov     esi, [ebp+arg_0] ; 取结构体EXCEPTION_POINTERS pexcp.data:00403352                 lodsd                   ; 取pexcp->ExceptionRecord  此时esi+4.data:00403353                 mov     eax, [eax]      ; 将pexcp->ExceptionRecord->ExceptionCode内容给eax.data:00403353                                         ; 即EAX= C0000005 从demo得到.data:00403355                 and     eax, 0DEADFFh   ; EAX=5.data:0040335A                 shl     eax, 5          ; EAX=A0.data:0040335D                 mov     ebx, eax        ; EBX=A0.data:0040335F                 lea     eax, [eax+402FAEh] ; 40304E  即 magic.data:00403365                 mov     esi, [esi]      ; 取 pexcp->ContextRecord.data:00403367                 mov     [esi+9Ch], eax  ; 取pexcp->ContextRecord+9c 即pexcp->ContextRecord->edi.data:0040336D                 add     eax, 2DCh       ; eax=2ac.data:00403372                 mov     [ebx+esi], eax  ; pexcp->ContextRecord->esi=2ac.data:00403375                 mov     eax, 400FDFh    ; eax=400fdf.data:0040337A                 add     eax, ebx        ; eax=40107f.data:0040337C                 mov     [esi+0B8h], eax ;  pexcp->ContextRecord->esi+b8.data:0040337C                                         ; 即  pexcp->ContextRecord->eip=40107f 即做完异常处理函数后跳转到地址40107f .data:00403382                 xor     eax, eax.data:00403384                 dec     eax.data:00403385                 pop     esi[/cpp]

分析完毕那么此时根据所分析得到数据回到OD ctrl+G 地址”40107f“ ：

img (16)

得到

img (17)

耶~！我们分析得到极其有用的三条数据（惯例红色高亮！）

代码:

CPU Disasm地址        十六进制数据            指令                                       Profile  Comments00401073   /75 13           JNE SHORT 00401088                       ;00401075   |BE 2A334000     MOV ESI,OFFSET 0040332A                  ;0040107A   |BF 41304000     MOV EDI,OFFSET 00403041                  ;           ASCII "fubar"0040107F   |B9 06000000     MOV ECX,6                                ;00401084   |F3:A6           REPE CMPS BYTE PTR DS:[ESI],BYTE PTR ES: ;00401086   |74 19           JE SHORT 004010A1                        ;00401088   /6A 00           PUSH 0                                   ;0040108A    68 1F334000     PUSH OFFSET 0040331F                     ;           ASCII " try again"0040108F    68 0F334000     PUSH OFFSET 0040330F                     ;           ASCII "no, not really."00401094    6A 00           PUSH 0                                   ;00401096    E8 95000000     CALL            ;           跳转至 USER32.MessageBoxA0040109B    33C0            XOR EAX,EAX                              ;0040109D    C9              LEAVE                                    ;0040109E    C2 1000         RETN 10                                  ;004010A1    68 B90B0000     PUSH 0BB9                                ;004010A6    FF75 08         PUSH DWORD PTR SS:[EBP+8]                ;004010A9    E8 76000000     CALL             ;           跳转至 USER32.GetDlgItem[/cpp]

为什么？不说~！算是我留的作业吧不太难

【原创】IDA+OD双剑合璧=逆向无敌 - 看雪安全论坛

好好思考下

【原创】IDA+OD双剑合璧=逆向无敌 - 看雪安全论坛

我们将它提取出来更好地去分析

代码:

CPU Disasm地址        十六进制数据            指令                                       Profile  Comments循环比较5次 （忽视反斜杠0）0040107F    B9 06000000     MOV ECX,6                                ;与字符串magic相比较  我们刚刚不是分析出来了么？00401084    F3:A6           REPE CMPS BYTE PTR DS:[ESI],BYTE PTR ES: ;跳转至地址“004010A1”00401086    74 19           JE SHORT 004010A1                        ;[/cpp]

来我们把字符串”magic“输入试试

img (18)