x32dbg动态调试--内存断点

已于 2023-08-18 19:25:24 修改
阅读量2.2k 收藏 2
点赞数
分类专栏: 逆向分析技术 文章标签: python
于 2023-08-18 19:24:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42526849/article/details/132364823
版权

观察程序

  1. 使用Detect It Easy检测目标程序为PE32
  2. 运行程序,依次点击“Shift”–>“Try It”,发现有Crudd‘s Crack HeadSerial等字符串,只能输入数字,点击“Check It”按钮没有任何提示信息。

分析过程

  1. x32dbg载入目标程序,运行到目标程序空间,鼠标右键在“当前模块”搜索字符串
  2. 鼠标点击Serial字符串,x32dbg跳转到下列窗口界面。经过调试发现,程序调用SetWindowText函数设置静态文本框的内容为Serial,并且程序调用还调用GetWindowText函数获取Serial对应对话框中的数字字符串。
  3. 函数功能分析:具体见下图所示。
  4. crackhead.4013D2()函数功能分析如下图所示。
  5. crackhead.4013D2()函数功能对应的Python脚本源代码如下。
inBuf = "12345666"
v0 = 0
v1 = 0
k = 0
if(ord(inBuf[0])==45):
    v1 = -1
    k += 1
nEnd = len(inBuf) - k
for i in range(nEnd):
    v0 = (ord(inBuf[k+i]) - 48) + v0*10
    print(k+i,v0,hex(v0))

res = v1 ^ (v1 + v0)
print(res)
  1. 在x32dbg中重新启动目标程序,并在0x40339C处设置重复的“内存,写入”断点
  2. 多次按F9运行目标程序,直到出现如下界面,并使用x32dbg进行动态调试。
  3. 利用磁盘类型与卷名数据进行计算得到一个4字节数据(0x5A9678CA),这个数据再与0x797A7553进行异或(参考第6步图示)的值(0x23ec0d99),最后与序列号进行比较判断是否破解成功。
  4. 分析上面图中函数功能,编写实现其功能的Python脚本。
nType = 3             # GetDriveType
volName = "windows"   # GetVolumeInformation

ret = 0;
ebx = ord(volName[3])<<24|ord(volName[2])<<16|ord(volName[1])<<8|ord(volName[0])
for k in range(nType,0,-1):
    ret += ebx * k
ret &= 0xffffffff
print(hex(ret))
ret ^= 0x797A7553
print("Serial: ", hex(ret)," =====> ",ret)
  1. 验证

参考文献

x32dbg-And-x64dbg-for-windows逆向调试
12-04
使用x32dbg或x64dbg进行逆向调试时,研究者通常会从以下几个方面入手:首先设置断点,这允许程序在达到特定条件时暂停执行,断点可以是地址、内存值、寄存器值、指令等;其次是单步执行,通过逐步执行程序的每一条...
x32Dbg E-Event ver:0.1
03-16
OD是知名的16位和32位Windows程序的动态调试器,而x32Dbg则是其现代替代品,支持32位和64位系统,具有强大的调试功能。 E_Event插件是x32Dbg的一个扩展,它专注于事件处理。在逆向工程中,“事件”通常指的是程序...
x32/64dbg for Windows 使用说明
最新发布
gitblog_06744的博客
04-17 400
x32/64dbg for Windows 使用说明 【下载地址】x3264dbgforWindows使用说明 x32/64dbg 是一款专为 Windows 平台设计的程序开发调试工具,集成了 x32dbg 和 x64dbg 两个版本,支持 32 位和 64 位程序的调试。用户只需下载压缩包并解压,即可直接使用,无需繁...
高效调试利器:x64dbg 与 x32dbg 调试工具推荐
gitblog_09700的博客
10-22 1061
高效调试利器:x64dbg 与 x32dbg 调试工具推荐 【下载地址】x64dbgx32dbg调试工具资源下载 x64dbg / x32dbg 调试工具资源下载本仓库提供了一个资源文件的下载,该资源文件为 `x64dbg` 和 `x32dbg` 调试工具 ...
x32dbg动态调试-- 消息断点
工作学习笔记
08-20 2649
x32dbg动态调试——消息断点
x32dbg动态调试--字符串搜索&修补程序
工作学习笔记
08-16 4625
x32dbg调试入门——字符串搜索
x32dbg动态调试--API函数
工作学习笔记
08-17 1042
x32dbg动态调试——API函数
X32dbg-查找MFC窗口过程函数-跟踪直到满足条件-条件断点-查看窗口句柄
插件开发
08-06 4815
这时需要介绍下基础知识,在刚进入函数的时候,栈顶指针esp指向的是返回地址,esp+4指向第一个参数的地址(从左向右,右边先入栈),依次类推。逆向分析,添加文件应该是一个WM_COMMAND消息,它来自于窗口的消息函数调用,所以在调用堆栈下面应该有一个就是消息函数。所以调用之前,应该是在栈里压入了4个参数,逐步点击分析,如下所在位置就是MFC的窗口过程函数。然后暂停在目标区域,但是有时会暂停不下,暂时不知道什么原因,多试几次。接下来针对窗口过程函数,就需要介绍条件断点。如有疑问,敬请留言。...
x32dbg无法找到OEP(入口点)
男神的专栏
12-21 1024
‌:手动分析IAT(导入地址表)的范围,可以通过查看内存布局和反汇编代码来确定IAT的起始和结束地址。例如,手动分析IAT范围为0x00475000,或者使用工具如Scylla来自动搜索IAT‌2。‌:在寻找OEP过程中,可能会遇到一些问题,如自动搜索导致的VA和Size不同,这会影响get imports的结果。例如,通过设置内存断点和单步跟踪调试,可以找到OEP的具体位置‌。‌:确保你的调试环境配置正确,包括操作系统和x32dbg的版本。的测试中,通过设置内存断点和单步跟踪调试,可以找到OEP‌。
x32dbg x64dbgl_V2019_05
09-22
x32dbg是一款免费的、开源的32位Windows调试器,基于x86汇编语言,支持API Hook、反汇编、内存查看、堆栈跟踪等功能。它允许用户对程序进行单步执行、设置断点、查看变量值、分析内存操作等,极大地提高了调试效率。...
stringsx64dbg:x64dbg的字符串插件
04-03
用于x64dbg的插件。 更多信息: :
x32/64dbg for window
03-06
在实际使用中,x32dbg和x64dbg提供了一套完整的调试接口,包括断点管理(条件断点、硬件断点等)、堆栈分析、内存操作、线程管理等。这些接口使得开发者可以定制化调试流程,满足特定的调试需求。此外,它们都支持...
x96 Dbg ,包括32和64位的调试!!!!!!!!
04-05
调试功能方面,x96 Dbg提供了丰富的断点设置选项,包括指令断点内存访问断点、硬件断点等。这些断点类型可以帮助开发者精确地控制程序执行流程,以便更好地理解代码运行过程。此外,它还具备单步执行、跟踪变量...
android逆向终极版,x32dbg/x64dbg之条件断点生成器改良第三终结版
weixin_39635373的博客
05-30 1312
本帖最后由 冥界3大法王 于 2021-4-15 08:27 编辑image.png (503.65 KB, 下载次数: 0)2021-4-14 12:48 上传大家好接下来我们说的是条件断点。还不会用的同学们注意了,其实这个东西还是比较简单的。无论你之前是否使用过OllyDbg或x32dbg/x64dbg应该对这个东西并不陌生。当我们来到某个VA地址(虚拟地址时)此时你会对当前的寄存器的某个数值...
一个超简单的反编译任务(IDAPro、X32dbg
一个手掰橙的博客
12-01 7313
一个超简单的反汇编任务 所需工具 IDAPro、X32dbg、Visual C++ 6.0 实验步骤 首先,我们新建一个简单的程序并编译运行。 这里笔者建立了一个弹窗程序,运行结果如下: 进行IDA逆向分析,我们可以通过空格键来切换视图,这时可以看到HelloWorld这部分的地址为00401031 在X32dbg中打开test_hello.exe后,找到目标地址 同时在转储中跟随 这时我们可以对“Hello,world!”进行编辑更改 接下来生成补丁文件并保存 此时打开新文件soe
【逆向基础】三、x32dbg使用技巧随记
幸福之家的博客
04-07 6710
对于出入C/C++逆向领域的小伙伴,熟练使用x32dbg,x64dbg是很有必要的;本文章简单介绍了工具的使用情况,供大家一起学习;
x64dbg/x32dbg 界面初步认知
热门推荐
Color的博客
06-15 2万+
第一步 官网下载    x64dbg官网辅助栏,里面会有一些红线以及一些虚线来指示当完成这一句代码之后,它会跳转至哪里地址栏 这一句代码在内存中所处的位置机器码栏 汇编代码栏注释栏详细信息比方说 当前我们选中某一行,它下面的详细注释栏将会指示你,它当前会跳转到ntdll的某个地方,这个里头会有很多东西,但是每一行的注释它是不同的寄存器栏局部变量它都是以这种方式存在于程序当中,这能方便更好的...
OllyDBG 入门系列(四)-内存断点
Tisty的兵工厂--新Blog:http://www.UbuntuSky.cn
05-16 1709
<!--google_ad_client = "pub-7058131363132249";/* 468x15, 创建于 08-6-3 */google_ad_slot = "4187223796";google_ad_width = 468;google_ad_height = 15;//--> <script type="text/javascript"src=
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值