OllyDBG 入门系列（二）－字串参考

上一篇是使用入门，现在我们开始正式进入破解。今天的目标程序是看雪兄《加密与解密》第一版附带光盘中的crackmes.cjb.net镜像打包中的CFFCrackme#3，采用用户名/序列号保护方式。原版加了个UPX的壳。刚开始学破解先不涉及壳的问题，我们主要是熟悉用OllyDBG来破解的一般方法。我这里把壳脱掉来分析，附件是脱壳后的文件，直接就可以拿来用。先说一下一般软件破解的流程：拿到一个软件先别接着马上用OllyDBG调试，先运行一下，有帮助文档的最好先看一下帮助，熟悉一下软件的使用方法，再看看注册的方式。如果是序列号方式可以先输个假的来试一下，看看有什么反应，也给我们破解留下一些有用的线索。如果没有输入注册码的地方，要考虑一下是不是读取注册表或Key文件（一般称keyfile，就是程序读取一个文件中的内容来判断是否注册），这些可以用其它工具来辅助分析。如果这些都不是，原程序只是一个功能不全的试用版，那要注册为正式版本就要自己来写代码完善了。有点跑题了，呵呵。获得程序的一些基本信息后，还要用查壳的工具来查一下程序是否加了壳，若没壳的话看看程序是什么编译器编的，如VC、Delphi、VB等。这样的查壳工具有PEiD和FI。有壳的话我们要尽量脱了壳后再来用OllyDBG调试，特殊情况下也可带壳调试。下面进入正题：
我们先来运行一下这个crackme（用PEiD检测显示是Delphi编的），界面如图：



这个crackme已经把用户名和注册码都输好了，省得我们动手^_^。我们在那个“Registernow!”按钮上点击一下，将会跳出一个对话框：



好了，今天我们就从这个错误对话框中显示的“WrongSerial,tryagain!”来入手。启动OllyDBG，选择菜单文件->打开载入CrackMe3.exe文件，我们会停在这里：



我们在反汇编窗口中右击，出来一个菜单，我们在查找->所有参考文本字串上左键点击：



当然如果用上面那个超级字串参考＋插件会更方便。但我们的目标是熟悉OllyDBG的一些操作，我就尽量使用OllyDBG自带的功能，少用插件。好了，现在出来另一个对话框，我们在这个对话框里右击，选择“查找文本”菜单项，输入“WrongSerial,tryagain!”的开头单词“Wrong”（注意这里查找内容要区分大小写）来查找，找到一处：



在我们找到的字串上右击，再在出来的菜单上点击“反汇编窗口中跟随”，我们来到这里：



见上图，为了看看是否还有其他的参考，可以通过选择右键菜单查找参考->立即数，会出来一个对话框：



分别双击上面标出的两个地址，我们会来到对应的位置：

00440F79|.BA8C104400MOVEDX,CrackMe3.0044108C;ASCII"WrongSerial,tryagain!"
00440F7E|.A1442C4400MOVEAX,DWORDPTRDS:[442C44]
00440F83|.8B00MOVEAX,DWORDPTRDS:[EAX]
00440F85|.E8DEC0FFFFCALLCrackMe3.0043D068
00440F8A|.EB18JMPSHORTCrackMe3.00440FA4
00440F8C|>6A00PUSH0
00440F8E|.B980104400MOVECX,CrackMe3.00441080;ASCII"Beggaroff!"
00440F93|.BA8C104400MOVEDX,CrackMe3.0044108C;ASCII"WrongSerial,tryagain!"
00440F98|.A1442C4400MOVEAX,DWORDPTRDS:[442C44]
00440F9D|.8B00MOVEAX,DWORDPTRDS:[EAX]
00440F9F|.E8C4C0FFFFCALLCrackMe3.0043D068

我们在反汇编窗口中向上滚动一下再看看：

00440F2C|.8B45FCMOVEAX,DWORDPTRSS:[EBP-4]
00440F2F|.BA14104400MOVEDX,CrackMe3.00441014;ASCII"RegisteredUser"
00440F34|.E8F32BFCFFCALLCrackMe3.00403B2C;关键，要用F7跟进去
00440F39|.7551JNZSHORTCrackMe3.00440F8C;这里跳走就完蛋
00440F3B|.8D55FCLEAEDX,DWORDPTRSS:[EBP-4]
00440F3E|.8B83C8020000MOVEAX,DWORDPTRDS:[EBX 2C8]
00440F44|.E8D7FEFDFFCALLCrackMe3.00420E20
00440F49|.8B45FCMOVEAX,DWORDPTRSS:[EBP-4]
00440F4C|.BA2C104400MOVEDX,CrackMe3.0044102C;ASCII"GFX-754-IER-954"
00440F51|.E8D62BFCFFCALLCrackMe3.00403B2C;关键，要用F7跟进去
00440F56|.751AJNZSHORTCrackMe3.00440F72;这里跳走就完蛋
00440F58|.6A00PUSH0
00440F5A|.B93C104400MOVECX,CrackMe3.0044103C;ASCII"CrackMecrackedsuccessfully"
00440F5F|.BA5C104400MOVEDX,CrackMe3.0044105C;ASCII"Congrats!YoucrackedthisCrackMe!"
00440F64|.A1442C4400MOVEAX,DWORDPTRDS:[442C44]
00440F69|.8B00MOVEAX,DWORDPTRDS:[EAX]
00440F6B|.E8F8C0FFFFCALLCrackMe3.0043D068
00440F70|.EB32JMPSHORTCrackMe3.00440FA4
00440F72|>6A00PUSH0
00440F74|.B980104400MOVECX,CrackMe3.00441080;ASCII"Beggaroff!"
00440F79|.BA8C104400MOVEDX,CrackMe3.0044108C;ASCII"WrongSerial,tryagain!"
00440F7E|.A1442C4400MOVEAX,DWORDPTRDS:[442C44]
00440F83|.8B00MOVEAX,DWORDPTRDS:[EAX]
00440F85|.E8DEC0FFFFCALLCrackMe3.0043D068
00440F8A|.EB18JMPSHORTCrackMe3.00440FA4
00440F8C|>6A00PUSH0
00440F8E|.B980104400MOVECX,CrackMe3.00441080;ASCII"Beggaroff!"
00440F93|.BA8C104400MOVEDX,CrackMe3.0044108C;ASCII"WrongSerial,tryagain!"
00440F98|.A1442C4400MOVEAX,DWORDPTRDS:[442C44]
00440F9D|.8B00MOVEAX,DWORDPTRDS:[EAX]
00440F9F|.E8C4C0FFFFCALLCrackMe3.0043D068


大家注意看一下上面的注释，我在上面标了两个关键点。有人可能要问，你怎么知道那两个地方是关键点？其实很简单，我是根据查看是哪条指令跳到“wrongserial,tryagain”这条字串对应的指令来决定的。如果你在调试选项->CPU标签中把“显示跳转路径”及其下面的两个“如跳转未实现则显示灰色路径”、“显示跳转到选定命令的路径”都选上的话，就会看到是从什么地方跳到出错字串处的：



我们在上图中地址00440F2C处按F2键设个断点，现在我们按F9键，程序已运行起来了。我在上面那个编辑框中随便输入一下，如CCDebuger，下面那个编辑框我还保留为原来的“754-GFX-IER-954”，我们点一下那个“Registernow!”按钮，呵，OllyDBG跳了出来，暂停在我们下的断点处。我们看一下信息窗口，你应该发现了你刚才输入的内容了吧？我这里显示是这样：

堆栈SS:[0012F9AC]=00D44DB4,(ASCII"CCDebuger")
EAX=00000009

上面的内存地址00D44DB4中就是我们刚才输入的内容，我这里是CCDebuger。你可以在堆栈SS:[0012F9AC]=00D44DB4,(ASCII"CCDebuger")这条内容上左击选择一下，再点右键，在弹出菜单中选择“数据窗口中跟随数值”，你就会在下面的数据窗口中看到你刚才输入的内容。而EAX=00000009指的是你输入内容的长度。如我输入的CCDebuger是9个字符。如下图所示：



现在我们来按F8键一步步分析一下：

00440F2C|.8B45FCMOVEAX,DWORDPTRSS:[EBP-4];把我们输入的内容送到EAX，我这里是“CCDebuger”
00440F2F|.BA14104400MOVEDX,CrackMe3.00441014;ASCII"RegisteredUser"
00440F34|.E8F32BFCFFCALLCrackMe3.00403B2C;关键，要用F7跟进去
00440F39|.7551JNZSHORTCrackMe3.00440F8C;这里跳走就完蛋

当我们按F8键走到00440F34|.E8F32BFCFFCALLCrackMe3.00403B2C这一句时，我们按一下F7键，进入这个CALL，进去后光标停在这一句：



我们所看到的那些PUSHEBX、PUSHESI等都是调用子程序保存堆栈时用的指令，不用管它，按F8键一步步过来，我们只关心关键部分：

00403B2C/$53PUSHEBX
00403B2D|.56PUSHESI
00403B2E|.57PUSHEDI
00403B2F|.89C6MOVESI,EAX;把EAX内我们输入的用户名送到ESI
00403B31|.89D7MOVEDI,EDX;把EDX内的数据“RegisteredUser”送到EDI
00403B33|.39D0CMPEAX,EDX;用“RegisteredUser”和我们输入的用户名作比较
00403B35|.0F848F000000JECrackMe3.00403BCA;相同则跳
00403B3B|.85F6TESTESI,ESI;看看ESI中是否有数据，主要是看看我们有没有输入用户名
00403B3D|.7468JESHORTCrackMe3.00403BA7;用户名为空则跳
00403B3F|.85FFTESTEDI,EDI
00403B41|.746BJESHORTCrackMe3.00403BAE
00403B43|.8B46FCMOVEAX,DWORDPTRDS:[ESI-4];用户名长度送EAX
00403B46|.8B57FCMOVEDX,DWORDPTRDS:[EDI-4];“RegisteredUser”字串的长度送EDX
00403B49|.29D0SUBEAX,EDX;把用户名长度和“RegisteredUser”字串长度相减
00403B4B|.7702JASHORTCrackMe3.00403B4F;用户名长度大于“RegisteredUser”长度则跳
00403B4D|.01C2ADDEDX,EAX;把减后值与“RegisteredUser”长度相加，即用户名长度
00403B4F|>52PUSHEDX
00403B50|.C1EA02SHREDX,2;用户名长度值右移2位，这里相当于长度除以4
00403B53|.7426JESHORTCrackMe3.00403B7B;上面的指令及这条指令就是判断用户名长度最少不能低于4
00403B55|>8B0EMOVECX,DWORDPTRDS:[ESI];把我们输入的用户名送到ECX
00403B57|.8B1FMOVEBX,DWORDPTRDS:[EDI];把“RegisteredUser”送到EBX
00403B59|.39D9CMPECX,EBX;比较
00403B5B|.7558JNZSHORTCrackMe3.00403BB5;不等则完蛋

根据上面的分析，我们知道用户名必须是“RegisteredUser”。我们按F9键让程序运行，出现错误对话框，点确定，重新在第一个编辑框中输入“RegisteredUser”，再次点击那个“Registernow!”按钮，被OllyDBG拦下。因为地址00440F34处的那个CALL我们已经分析清楚了，这次就不用再按F7键跟进去了，直接按F8键通过。我们一路按F8键，来到第二个关键代码处：

00440F49|.8B45FCMOVEAX,DWORDPTRSS:[EBP-4];取输入的注册码
00440F4C|.BA2C104400MOVEDX,CrackMe3.0044102C;ASCII"GFX-754-IER-954"
00440F51|.E8D62BFCFFCALLCrackMe3.00403B2C;关键，要用F7跟进去
00440F56|.751AJNZSHORTCrackMe3.00440F72;这里跳走就完蛋

大家注意看一下，地址00440F51处的CALLCrackMe3.00403B2C和上面我们分析的地址00440F34处的CALLCrackMe3.00403B2C是不是汇编指令都一样啊？这说明检测用户名和注册码是用的同一个子程序。而这个子程序CALL我们在上面已经分析过了。我们执行到现在可以很容易得出结论，这个CALL也就是把我们输入的注册码与00440F4C地址处指令后的“GFX-754-IER-954”作比较，相等则OK。好了，我们已经得到足够的信息了。现在我们在菜单查看->断点上点击一下，打开断点窗口（也可以通过组合键ALT B或点击工具栏上那个“B”图标打开断点窗口）：



为什么要做这一步，而不是把这个断点删除呢？这里主要是为了保险一点，万一分析错误，我们还要接着分析，要是把断点删除了就要做一些重复工作了。还是先禁用一下，如果经过实际验证证明我们的分析是正确的，再删不迟。现在我们把断点禁用，在OllyDBG中按F9键让程序运行。输入我们经分析得出的内容：
用户名：RegisteredUser
注册码：GFX-754-IER-954
点击“Registernow!”按钮，呵呵，终于成功了：