OllyDBG 入门系列（五）－消息断点及 RUN 跟踪

找了几十个不同语言编写的crackme，发现只用消息断点的话有很多并不能真正到达我们要找的关键位置，想想还是把消息断点和RUN跟踪结合在一起讲，更有效一点。关于消息断点的更多内容大家可以参考jingulong兄的那篇《几种典型程序Button处理代码的定位》的文章，堪称经典之作。今天仍然选择crackmes.cjb.net镜像打包中的一个名称为cycle的crackme。按照惯例，我们先运行一下这个程序看看：

我们输入用户名CCDebuger，序列号78787878，点上面那个“Check”按钮，呵，没反应！看来是要注册码正确才有动静。现在关掉这个crackme，用PEiD查一下壳，原来是MASM32/TASM32[Overlay]。启动OllyDBG载入这个程序，F9让它运行。这个程序按我们前面讲的采用字串参考或函数参考的方法都很容易断下来。但我们今天主要学习的是消息断点及RUN跟踪，就先用消息断点来断这个程序吧。在设消息断点前，有两个内容我们要简单了解一下：首先我们要了解的是消息。Windows的中文翻译就是“窗口”，而Windows上面的应用程序也都是通过窗口来与用户交互的。现在就有一个问题，应用程序是如何知道用户作了什么样的操作的？这里就要用到消息了。Windows是个基于消息的系统，它在应用程序开始执行后，为该程序创建一个“消息队列”，用来存放该程序可能创建的各种不同窗口的信息。比如你创建窗口、点击按钮、移动鼠标等等，都是通过消息来完成的。通俗的说，Windows就像一个中间人，你要干什么事是先通知它，然后它才通过传递消息的方式通知应用程序作出相应的操作。说到这，又有个问题了，在Windows下有多个程序都在运行，那我点了某个按钮，或把某个窗口最大化，Windows知道我是点的哪个吗？这里就要说到另一个内容：句柄（handle）了。句柄一般是个32位的数，表示一个对象。Windows通过使用句柄来标识它代表的对象。比如你点击某个按钮，Windows就是通过句柄来判断你是点击了那一个按钮，然后发送相应的消息通知程序。说完这些我们再回到我们调试的程序上来，你应该已经用OllyDBG把这个crackme载入并按F9键运行了吧？现在我们输入用户名“CCDebuger”，序列号“78787878”，先不要点那个“Check”按钮，我们来到OllyDBG中，点击菜单查看->窗口（或者点击工具栏上那个“W”的图标），我们会看到以下内容：

我们在选中的条目上点右键，再选择上图所示的菜单项，会来到下面这个窗口：

现在我们点击图上的那个下拉菜单，呵，原来里面的消息真不少。这么多消息我们选哪个呢？注册是个按钮，我们就在按下按钮再松开时让程序中断。查一下MSDN，我们知道这个消息应该是WM_LBUTTON_UP，看字面意思也可以知道是左键松开时的消息：

从下拉菜单中选中那个202WM_LBUTTON_UP，再按确定按钮，我们的消息断点就设好了。现在我们还要做一件事，就是把RUN跟踪打开。有人可能要问，这个RUN跟踪是干什么的？简单的说，RUN跟踪就是把被调试程序执行过的指令保存下来，让你可以查看被调试程序运行期间干了哪些事。RUN跟踪会把地址、寄存器的内容、消息以及已知的操作数记录到RUN跟踪缓冲区中，你可以通过查看RUN跟踪的记录来了解程序执行了那些指令。在这还要注意一个缓冲区大小的问题，如果执行的指令太多，缓冲区满了的话，就会自动丢弃前面老的记录。我们可以在调试选项->跟踪中设置：

现在我们回到OllyDBG中，点击菜单调试->打开或清除RUN跟踪（第一次点这个菜单是打开RUN跟踪，在打开的情况下点击就是清除RUN跟踪的记录，对RUN跟踪熟悉时还可以设置条件），保证当前在我们调试的程序领空，在反汇编窗口中点击右键，在弹出菜单中选择RUN跟踪->添加所有函数过程的入口：

我们可以看到OllyDBG把识别出的函数过程都在前面加了灰色条：

现在我们回到那个crackme中按那个“Check”按钮，被OllyDBG断下了：

这时我们点击菜单查看->内存，或者点击工具栏上那个“M”按钮（也可以按组合键ALT M），来到内存映射窗口：

为什么在这里设访问断点，我也说一下。我们可以看一下常见的PE文件，没加过壳的用PEiD检测是这样：

点一下EP段后面那个“>”符号，我们可以看到以下内容：

看完上面的图我们应该了解为什么在401000处的代码段下访问断点了，我们这里的意思就是在消息断点断下后，只要按F9键运行时执行到程序代码段的指令我们就中断，这样就可以回到程序领空了（当然在401000处所在的段不是绝对的，我们主要是要看程序的代码段在什么位置，其实在上面图中OllyDBG内存窗口的“包含”栏中我们就可以看得很清楚了）。设好访问断点后我们按F9键，被OllyDBG断下：

现在我们先不管，按F9键（或者按CTR F12组合键跟踪步过）让程序运行，再点击菜单查看->RUN跟踪，或者点击工具栏上的那个“…”符号，打开RUN跟踪的记录窗口看看：

我们现在再来看看统计的情况：

在地址401082处的那条指令上双击一下，来到以下位置：

现在我们在地址4010A6处的那条指令上按F2，删除所有其它的断点，点菜单调试->关闭RUN跟踪，现在我们就可以开始分析了：

004010E2|.8BFEMOVEDI,ESI;用户名送EDI
004010E4|.03F8ADDEDI,EAX
004010E6|.FCCLD
004010E7|.F3:A4REPMOVSBYTEPTRES:[EDI],BYTEPTRDS:[ESI]
004010E9|.33C9XORECX,ECX;清零，设循环计数器
004010EB|.BE71214000MOVESI,cycle.00402171;注册码送ESI
004010F0|>41INCECX
004010F1|.ACLODSBYTEPTRDS:[ESI];取注册码的每个字符
004010F2|.0AC0ORAL,AL;判断是否为空
004010F4|.740AJESHORTcycle.00401100;没有则跳走
004010F6|.3C7ECMPAL,7E;判断字符是否为非ASCII字符
004010F8|.7F06JGSHORTcycle.00401100;非ASCII字符跳走
004010FA|.3C30CMPAL,30;看是否小于30H，主要是判断是不是数字或字母等
004010FC|.7202JBSHORTcycle.00401100;小于跳走
004010FE|.^EBF0JMPSHORTcycle.004010F0
00401100|>83F911CMPECX,11;比较注册码位数，必须为十进制17位
00401103|.751AJNZSHORTcycle.0040111F
00401105|.E8E7000000CALLcycle.004011F1;关键，F7跟进去
0040110A|.B901FF0000MOVECX,0FF01
0040110F|.51PUSHECX
00401110|.E87B000000CALLcycle.00401190;关键，跟进去
00401115|.83F901CMPECX,1
00401118|.7406JESHORTcycle.00401120
0040111A|>E847000000CALLcycle.00401166;注册失败对话框
0040111F|>C3RETN
00401120|>A168214000MOVEAX,DWORDPTRDS:[402168]
00401125|.8B1D6C214000MOVEBX,DWORDPTRDS:[40216C]
0040112B|.33C3XOREAX,EBX
0040112D|.330582214000XOREAX,DWORDPTRDS:[402182]
00401133|.0D40404040OREAX,40404040
00401138|.2577777777ANDEAX,77777777
0040113D|.330579214000XOREAX,DWORDPTRDS:[402179]
00401143|.33057D214000XOREAX,DWORDPTRDS:[40217D]
00401149|.^75CFJNZSHORTcycle.0040111A;这里跳走就完蛋
0040114B|.E82B000000CALLcycle.0040117B;注册成功对话框

写到这准备跟踪算法时，才发现这个crackme还是挺复杂的，具体算法我就不写了，实在没那么多时间详细跟踪。有兴趣的可以跟一下，注册码是17位，用户名采用复制的方式扩展到16位，如我输入“CCDebuger”，扩展后就是“CCDebugerCCDebug”。大致是先取扩展后用户名的前8位和注册码的前8位，把用户名的前四位和后四位分别与注册码的前四位和后四位进行运算，算完后再把扩展后用户名的后8位和注册码的后8位分两部分，再与前面用户名和注册码的前8位计算后的值进行异或计算，最后结果等于0就成功。注册码的第17位我尚未发现有何用处。对于新手来说，可能这个crackme的难度大了一点。没关系，我们主要是学习OllyDBG的使用，方法掌握就可以了。

最后说明一下：
1、这个程序在设置了消息断点后可以省略在代码段上设访问断点那一步，直接打开RUN跟踪，消息断点断下后按CTR F12组合键让程序执行，RUN跟踪记录中就可以找到关键地方。
2、对于这个程序，你可以不设消息断点，在输入用户名和注册码后先不按那个“Check”按钮，直接打开RUN跟踪，添加“所有函数过程的入口”后再回到程序中点“Check”按钮，这时在OllyDBG中打开RUN跟踪记录同样可以找到关键位置。