从零开始的程序逆向之路基础篇 第二章——用OllyDbg(OD)分析一个简单的软件

最新推荐文章于 2025-11-29 04:56:32 发布
原创 最新推荐文章于 2025-11-29 04:56:32 发布 · 3.2k 阅读 · 21 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何使用OllyDbg(OD)进行程序逆向分析,通过三种方法绕过一个判断explorer.exe进程的小程序的检查:1)修改进程名称字符串;2)更改jnz指令为jz或je;3)强制跳转。并以一个简单的数字判断程序为例,解析了OD分析程序的步骤,包括函数调用、参数传递等概念。

作者:Crazyman_Army

原文来自:https://bbs.ichunqiu.com/thread-43469-1-1.html

 

0x00知识回顾 (由于笔者省事,没开XP虚拟机,而且没关闭ASLR,所以每次重载的内存地址会不一样)

在第一章的内容中,笔者已经讲了OllyDbg(简称OD)的界面介绍以及基础的操作,普及了常用的汇编指令


上次课在底下的附件中,我留下了一个演示样例,大家载入OD后搜索到字符串点击跟踪到反汇编窗口的时候会发现与第一章所讲的程序的框架不太一样.

 

image.png


尤其可见多出了很多的call指令,call指令在汇编中就是调用子程序,下面放出代码,各位同学可以比对一下与上篇文件所贴出代码的不同

代码如下:

 

#include <windows.h>

#include <tlhelp32.h>   

#include <stdio.h>

BOOL getProcess(const char *procressName);

BOOL getProcess(const char *procressName)

{

        char pName[MAX_PATH];                                

        strcpy(pName, procressName);                            

        CharLowerBuff(pName, MAX_PATH);                       

        PROCESSENTRY32 currentProcess;                       

        currentProcess.dwSize = sizeof(currentProcess);        

        HANDLE hProcess = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

        if (hProcess == INVALID_HANDLE_VALUE)

        {

                printf("CreateToolhelp32Snapshot()调用失败!\n");

                return FALSE;

        }

        _asm NOP;

        BOOL bMore = Process32First(hProcess, ¤tProcess);        

        while (bMore)

        {

                CharLowerBuff(currentProcess.szExeFile, MAX_PATH);        

                if (strcmp(currentProcess.szExeFile, pName) == 0)            

                {

                        CloseHandle(hProcess);                                

                        return TRUE;

                }

        &nbs

最低0.47元/天 解锁文章
[系统安全] 二十三.逆向分析OllyDbg动态调试复习及TraceMe案例分析
杨秀璋的专栏
02-22 6686
作者前文介绍了微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。这文章将详细讲解逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。
[系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向
杨秀璋的专栏
12-26 6904
系统安全系列作者将深入研究恶意样本分析逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了条件语句和循环语句源码还原及流程控制逆向。这文章将分享勒索病毒,通过编写程序实现获取Windows系统目录文件,并对其进行加密和解密的过程;第二部分详细讲解了OllyDbg和在线沙箱的逆向分析过程。希望对入门的同学有帮助。
ollydbg分析器的讲解 汉化知识
08-10
ollydbg分析器的讲解 汉化知识
从零开始程序逆向之路 第一章——认识OD(Ollydbg)以及常用汇编扫盲
dfdhxb995397的博客
07-23 1482
作者:Crazyman_Army 原文来自:https://bbs.ichunqiu.com/thread-43041-1-1.html 0×00序言: 1.自从上次笔者调戏完盗取文件密码大黑客后,这激发了笔者的创作热情,就给大家带来程序逆向系列,当然有一些地方还是有所欠缺,请大家在私聊中指出我文中的错误,我会加以改正。 2.本教程每文章都会在附件中给出一个程序...
Python EXE逆向工程工具深度解析:从入门到实战
最新发布
gitblog_01017的博客
11-29 929
Python EXE解包工具是安全研究和逆向工程领域的利器,专门用于分析由Python编译生成的可执行文件。该工具能够深入剖析PyInstaller和py2exe打包的应用程序,为安全分析人员提供强大的技术支撑。 ## 核心功能深度解析 Python EXE解包工具集成了多个开源项目的优势,形成一个完整的逆向工程解决方案。其主要功能包括: - **PyInstaller解包**:自动识别并解
从零开始的小白程序员之路
feng75694的博客
07-25 2187
我是一名小白程序员,刚刚被培训出来,正在找工作,这是我的程序人生的第一天,我在考虑是否能夭折呢
从零开始算法之路 ---- 130. 被围绕的区域(self)
IT小白的博客
09-08 175
前言:小白入门题解,算法大佬可以直接跳过此博客(大佬轻喷哈) 题源: 力扣(LeetCode)https://leetcode-cn.com/problems/surrounded-regions/ 题目描述: 给定一个二维的矩阵,包含 ‘X’ 和 ‘O’(字母 O)。 找到所有被 ‘X’ 围绕的区域,并将这些区域里所有的 ‘O’ 用 ‘X’ 填充。 解决方案 一: 思路:    用一个和 boa...
从零开始的NLP之路
QQQQQQlt的转行之路
07-13 878
            这文章主要用来记录学习NLP过程中所需要的知识目录,不涉及知识细节,随时学习,随时补充。 一、数学基础 最优化 二、编程基础 Python Linux 三、机器学习 kNN 四、深度学习 CNN RNN LSTM 五、自然语言处理          ...
[系统安全] 四.OllyDbg动态分析工具基础用法及Crakeme逆向破解
杨秀璋的专栏
12-22 6973
系统安全系列作者将深入研究恶意样本分析逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文普及了IDA Pro反汇编工具的基础用法,并简单讲解一个EXE逆向工程解密实战方法。这文章将详细介绍OllyDbg基础用法和CrakeMe案例,逆向分析的“倚天屠龙”,希望对入门的同学有帮助。
使用OllyDbg从零开始,全中文,教程所用实战程序均可下载,共58章。
12-08
使用OllyDbg从零开始,全中文,教程所用实战程序均可下载,共58章。这是一部从零开始的,完全可以零基础开始学习,所有的工具以及实战用的应用程序均可以在里边下载到,而且不会失效,建议喜欢的人赶紧下载。
逆向编程 OD破解之路:跳过加密狗验证.rar
04-25
逆向编程 OD破解之路:跳过加密狗验证
OD软件的详细说明演示
03-11
OD软件的详细说明演示。OD软件的详细说明演示。OD软件的详细说明演示。OD软件的详细说明演示
OllyDBG nooby 软件名称,简称OD
09-02
 软件名称,简称OD一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3级调试器,非常容易上手,己代替SoftICE成为当今最为流行的调试解密工具了.同时还支持插件扩展功能,是目前最强大的调试工具.   里面分为CPU窗口,LOG窗口,Execuable modules窗口,Memery窗口,Threads窗口,Windows窗口等,其中cpu窗口种还包括反汇编窗口,信息窗口,数据窗口,寄存器窗口和堆栈窗口,极大的方便了使用者。
OllyDbg笔记-暴力破解简单判断程序(TraceMe.exe与简单Qt程序
IT1995的博客
12-05 7548
目录 基本概念 代码与实例 打包下载 基本概念 分析一个程序,用什么API函数作为切入点十分关键。 设置OllyDbg中断在程序的入口: System breakpoint:系统断点,OllyDbg用CreateProcessA加载DEBUG_ONLY_THIS_PROCESS参数执行,程序运行之后会触发一个INT13,在系统空间里。 Entry point...
OD(Ollydbg)简介
am_03的博客
08-28 9480
ollydbg简介: Ollydbg 通常称作OD,是反汇编工作的常用工具,OD附带了200脱壳脚本和各类插件,功能非常强大,可以过SE,VMP3.0,深受逆向圈内人士的喜爱 OD,是一个反汇编工具,又叫OllyDebug,一个新的动态追踪工具,将IDA与SoftICE结合起来的思想,Ring 3 级的调试器,己代替SoftICE成为当今最为流行的调试解密工具了。同时还支持插件扩展功能,是目前最强大的调试工具。基本上,调试自己的程序因为有源码,一般用vc,破解别人的程序用OllyDebug。 这里面地
模型辨识读书笔记
业精于勤,荒于嬉
04-18 859
我们的计算方案相当于一种推理方法,该方法使用乘法作为AND运算符,根据规则的激发强度对每个规则的输出进行加权,并将输出值计算为每个规则的输出的加权平均。(4)(5)以及径向基函数(Radial Basis Functions, RBF)建模方法(Powell,1987),这提出了将该模型解释为RBF模型的另一种形式。是具有M-N个元素的常量列向量。等价的IF-THEN规则则变成Takagi-Sugeno类型(Takagi and Sugeno,1985),其中每个规则的结果是输入变量中的线性方程。
c++类成员函数指针
寻梦&之璐
01-19 8012
提出疑问 首先问大家一句,什么是函数指针? 肯定有的人会这样回答,函数指针?不就是指向函数地址的一个指针吗?或者就是一个存放着一个函数首地址的变量? 当然,那些有点底层基础的肯定会这样说,函数就是一堆连续的机器码,而函数指针,就是存放了这堆连续机器码首地址的变量。 那么大家是不是回答的时候,考虑的地方是不是仅仅局限于 一般的函数????那么成员函数呢??? 为什么得强调成员函数呢?因为成员函数包括了虚函数和非虚函数(这里涉及虚表问题,可以先简单看看列出的虚函数系列,否则接下来问题会有点难以接受。) 虚函数
汇编call指令详解_恶意代码分析之对抗反汇编技巧入门
weixin_39617484的博客
11-23 580
在做恶意样本静态分析的时候会有一些样本,使用对抗反汇编的方法,一般的对抗反汇编的方法就是加壳,这里我就不介绍了,我这里说两个比较简单的对抗反汇编的方法,一种使用:无效指令,一种使用:花指令。使用无效指令,对抗反汇编,使用IDA打开恶意样本之后,如下所示:00401010处的CALL指令,跳转到一个错误的地址处,很明显是IDA解析出了问题,我们可以看看它的机器码:相应的机器码:E8 8B...
基于血量逆向分析游戏人物数组结构与对象调用
资源摘要信息:"009 数据结构逆向—数组(困难版)1" 是一深入讲解游戏《幻想神域》中数据结构逆向分析的技术文档,重点聚焦于通过内存操作和汇编级调试手段来逆向解析人物属性的存储机制。文章以“人物血量”作为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值