od分析基础逆向5

最新推荐文章于 2023-02-05 21:45:26 发布
原创 最新推荐文章于 2023-02-05 21:45:26 发布 · 418 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#基础逆向

本文介绍了使用OD(OllyDbg)进行基础逆向操作以去除程序Nag的方法。通过对字符串查找、设置断点、调试代码等操作,定位关键计算函数和跳转指令,可修改指令或eax值来绕过注册验证。还提及使用exescope、resource hacker辅助查找相关对话框和函数位置。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开程序点击file register
在这里插入图片描述任意输入字符
在这里插入图片描述
同时在退出时出现nag
在这里插入图片描述
载入od
先对字符串进行查找
右键查找所有文本字符 搜索:name / code
在这里插入图片描述双击进入所在位置
在这里插入图片描述观察代码段同时,注意到上方有感谢注册字符串后接jmp指令跳过未注册字符
继续向上查找
在这里插入图片描述出现关键计算函数以及关键跳转
在函数位置下断点测试
输入code后在此停住
F8调试发现经过call后eax的值为0
修改标志进行测试
在这里插入图片描述
测试成功
可以将此处je指令修改为jmp指令
或者修改and指令为 mov eax,0x1
也可以使用exescope 点击资源-对话框
找到nag所在的对话框103
在这里插入图片描述在od中查找命令
在这里插入图片描述
由于调用函数需要运用到模态对话框,该数字最后传入代表着该函数的调用
找到该命令所在地址
在这里插入图片描述
观察代码,发现无跳转
向上寻找函数开始的标志
进行调试
然后在堆栈窗口查看并数据跟随即可

打开程序
在这里插入图片描述
结尾处出现nag
在这里插入图片描述目的是将其nag去除
载入od
运行在nag出现处在od暂停,查看调用函数堆栈
在这里插入图片描述发现diglogbox函数,并且从下往上找只有该函数位于程序领空
双击进去该函数位置
在这里插入图片描述观察代码,发现上方存在je跳转至该call指令下方且je跳转上方存在cmp指令
推测je指令上方的函数为判断是否注册的函数
并在此下断点测试改变je标志位
测试成功直接结束无nag
可将je修改为jmp指令
另外
使用resource hacker 打开程序 点击对话框
在这里插入图片描述找到该函数位于十进制100
载入od
右键搜索-所有指令->输入 push 0x64
在这里插入图片描述在所有指令处下断点,进行调试来找出真正需要的函数位置
逐一寻找
在这里插入图片描述发现上面查找堆栈发现的dialogbox函数
确认上方的call函数为判断是否注册函数
进去call函数
在这里插入图片描述观察到存在两个jnz指令跳转至下方ret
函数在此段使用 RegOpenKeyExRegQueryValueEx对用户名和密码进行校验
在这里插入图片描述并在该call内进行计算
可以在下方修改eax的值为1来改变结构

h5st4.8参数逆向分析与算法还原
吴秋霖的博客
06-02 4445
最新h5st(4.8)参数分析与纯算法还原
初识逆向工具od
qq_41694201的博客
10-20 2160
ida和od兼并静态和动态的调试方式,但是就静态而言ida更加的强大,而动态调试的工具自然是od更为灵活和强大。 od软件,界面打开如图: 软件窗口可以分为12个小窗口: 1.汇编代码对应的地址窗口 2.汇编代码对应的十六进制机器码窗口 3.反汇编窗口 4.反汇编代码对应的注释信息窗口 5.寄存器信息窗口 6.当前执行到的反汇编代码的信息窗口 7-9.数据所在的内存地址,十六...
od分析基础逆向6
weixin_44585983的博客
07-22 3284
打开程序 随意输入用户名密码 出现错误字符 目标:得到该程序的相关序列号和了解序列号计算过程 载入odod中右键查找相关字符 容易发现输入正确后的字符串 可双击字符进入字符所在的messageBox输出函数 同时向上翻找计算流程 出现一段循环推测可能为计算序列号 再向上翻找 出现两段GetDlgItemTextA函数,为对应两个输入框 寻找关键函数也可以通过对GetDlgItemTextA...
OD逆向调试程序的笔记
weixin_33758863的博客
11-05 241
1-读取文本框内容常用的函数(这里的“A”表示ASCII,“W”表示宽字符UNICODE,下同) -GetDlgItemTextA()<这个函数是最常用到的> -GetWindowTextA() -DialogBoxParamA() -GetDlgItem() -GetDlgItemInt() -GetWindowLong()2-在逆向程序的算法逻辑时...
OD 实验(八) - 对一个程序的逆向
andiao1218的博客
09-07 269
程序: 运行 弹出 NAG 窗口,提示要花 20 美元注册 然后会进入主窗口 提示剩余 5 天的使用时间 点击,菜单栏 -> Help -> About 显示未注册版本 逆向: 用 OD 打开程序 首先把剩余 5 天的字符串作为切入点 先按 F9 运行一下程序 右键 -> 查找 -> 所有参考文本字串 右键 -> ...
50篇:使用OD逆向破解流光Fluxay扫描器各种限制(怀旧)
热门推荐
ABC_123的博客
02-05 2万+
Part1 前言大家好,我是ABC_123,最近在整理之前用过的工具,发现了大学时期曾经用过的小榕写的扫描器“流光Fluxay”,一晃15年过去了,这个工具当年在国外的名气也是响当当的,想起来了那时候研究技术的单纯和快乐。我收集了好几个流光扫描器的版本,发现有几个1999年和2000年的流光版本有各种限制,导致软件打不开了,可我还想再用一下。在年前把王爽老师的《汇编语言》重新看了一遍,又看了一...
OD 实验(十五) - 对一个程序的逆向
andiao1218的博客
10-05 388
程序: 打开程序 出现一个 NAG 窗口 这是主界面 点击 Exit 程序出现 NAG 窗口,然后退出 用 PEiD 看一下 是用 VC++ 6.0 写的程序 逆向: 用 OD 载入程序 跑一下程序 出现 NAG 窗口时暂停 按 Alt+K 显示调用堆栈 这个是 MFC 的对话框,双击来到它所在的地方 下一个断点,重新跑一下程序...
新手逆向入门推荐-自用逆向OD【可过大部分检测-包括VMP3.1,se2.0.4等】
03-14
通过使用这个工具,新手可以逐步建立起对逆向工程的基础知识,逐步深入到更复杂的分析任务中。在学习过程中,建议结合教程和实际案例,逐步理解软件的执行流程,分析函数调用,理解加壳技术,以及如何解析和修改二...
分析基础逆向程序2篇
weixin_44585983的博客
06-29 472
打开逆向程序,程序限制了未注册用户登录次数和在关闭后出现广告 目的:将限制次数功能和退出时广告出现去除 将程序载入od 依照惯例,先将程序进行单步步过 出现一个消耗时间长的循环,可通过在循环外F2+F9跳出循环 调试停止的第一个call语句 观察注释得知,下方出现exit则意味着call语句进入了程序的主体部分则选择进入该代码段 进入代码段后继续调试暂停在该位置,选择设置断点继续进入 继续...
od插件在逆向分析中的使用
最新发布
03-24
好的,用户想了解OllyDbg插件在逆向分析中的具体用法和功能介绍。首先,我需要回忆一下OllyDbg的基本信息和插件的常见用途。根据提供的引用,OllyDbg是一个动态追踪工具,支持插件扩展,比如引用[3]提到它支持多种...
逆向编程 OD破解之路:跳过加密狗验证.rar
04-25
逆向编程 OD破解之路:跳过加密狗验证
OD入门基础教程{学破解的人都需要的。}
09-22
OD入门基础教程{学破解的人都需要的。}
32位CPU所含有的寄存器
令狐葱的技术博客
11-13 2765
32位CPU所含有的寄存器有:4个数据寄存器(EAX、EBX、ECX和EDX)2个变址和指针寄存器(ESI和EDI) 2个指针寄存器(ESP和EBP)6个段寄存器(ES、CS、SS、DS、FS和GS)1个指令指针寄存器(EIP) 1个标志寄存器(EFlags)1、数据寄存器数据寄存器主要用来保存操作数和运算结果等信息,从而节省读取操作数所需占用总线和访问存储器的时间。32位CPU有4个32位的通用
od 逆向破解口诀
ho994562751的博客
04-23 2879
一、机械码,又称机器码.  ultraedit打开,编辑exe文件时你会看到 许许多多的由0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F组成的数码,这些数码 就是机器码. 修改程序时必须通过修改机器码来修改exe文件. 二、需要熟练掌握的全部汇编知识(只有这么多) 不大容易理解,可先强行背住,混个脸儿熟,以后慢慢的就理解了 cmp a,b 比较a与b mov a,b
4.再来看看逆向——OD的简介
weixin_30247159的博客
03-24 317
目录 1.前言 2.一些设置和配置 3.开始了解OD   代码窗口   数据窗口   小端序问题 前言 前3节主要写了恶意代码用到的手段,接下来先写一下关于逆向调试的一些内容。毕竟逆向比较难理解一点。 一些配置和设置 编译器的配置 这里逆向分析用之前防双开的程序。在逆向时,不同的编译器不同的配置编译出来的汇编代码会有所不同,我这里用的是VS2015,编译为Rel...
浅谈逆向——动态分析OD简介(OD的使用1)
qq_38684512的博客
01-18 9492
浅谈逆向-动态分析OD界面介绍OD的配置 界面介绍 A区域:view菜单功能项的快捷按钮 B+C+D+E+F: CPU窗口 (OD打开一个可执行文件后,会立刻加载,自动分析后并列出汇编代码,默认打开CPU窗口) B区域:反汇编面板窗口 (分为4列从左至右依次是Address,Hex dump,Disassembly,Comment) Address(地址):显示被双击行的相对地址,再次双...
逆向工程】使用OD逆向分析简单代码
henuyl的博客
04-16 1948
假装不知道程序内部结构(滑稽); 运行文件黑框 发现需要输入密码, 虽然不知道是什么密码(如果知道,还要什么逆向) 运行od,当然,没有的小伙伴可以装一个,od会频繁使用,而且是一个很强大的软化。 建议搜索 吾爱破解本地工具包 打开专用od,打开对应 32位的.exe文件 Command 加入 bp scanf 意思就是, 在scanf停一下 点击按钮运行 随便输入一个 f8,分析过程 ...
OD工具使用-逆向TraceMe.exe
eli的博客
11-28 1820
阅览目录 名词注释 OD快捷键熟悉 逆向之猜 算法逆向 暴力破解 样本引用 回到顶部 名词注释 System breakpoint:系统断点,OllyDbg用CreateProcessA加载DEBUG_ONLY_THIS_PROCESS参数执行,程序运行之后会触发一个INT13,在系统空间里。 Entry point of main module:主模块的入口点,即文件的入口点。 WinMain:程序的WinMain()函数入口点 OD的设置中-选项-事件中设置 回到顶部
浅谈逆向——OD杂项(OD的使用4)
qq_38684512的博客
01-25 1260
浅谈逆向-OD杂项Run traceHit traceOD常见问题 Run trace Run跟踪可以把被调试程序执行过的指令保存下来,以便了解之前发生的事情。该功能将地址,寄存器的内容,消息等记录到Run trace的缓冲区中。在运行之前,将缓冲区空间设置的较大一些,否则在执行指令太多时会造成缓冲区溢出(OD会自动丢弃旧纪录)。 可以使用快捷键ALT+O打开调试选项,跟踪标签页中进行设置。如果需...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值