你常用OllyDbg吗? 千万不要相信他也不要相信你的眼睛!

睡不着，写个好玩的大家看看．练练你的心脏．

下列是一个很重要的注册号调用 :
你习惯性的在 00401003 按了二下, 设了软件断点 非常方便.
(以下将以 Ｐ１ 代表 00401003)
00401000    31C9            xor     ecx,ecx
00401002    40              inc     eax
00401003    E8 F80F0000     call    00402000
00401007    C3              retn
很习惯性的事后你没有 delete或disable 掉Ｐ１

看准了你这坏习惯:
<千万不要相信你的眼睛>

　我在Call里面的深层有如下的程序码:
  BE 00104000        mov     esi,00401000
  C706 8A023242      mov     dword ptr [esi],4232028A
  C746 04 90324202   mov     dword ptr [esi+4],02423290
  .......
  .....
  
　主要将401000换上这个程序:
　00401000   .  8A02          mov     al,[edx]
　00401002   .  3242 90       xor     al,[edx-70]
　00401005   .  3242 02       xor     al,[edx+2]
　00401008       ......

　当然了, 置换时你并不知道.

　若你突然去看 401000, 你会发现OD是显示这样: 跟放上去的不同
　00401000    8A02            mov     al,[edx]
　00401002    32E8            xor     ch,al
　00401004    90              nop
　00401005    3242 02         xor     al,[edx+2]
　00401008    C3              retn
　没错. 那个你下断点的Ｐ１  E8 无法盖掉.
　至少OD的画面告诉我们这是"无法盖掉"的.

　OK. 你不管这个, 你继续在OD里F7'F8努力的分析code ' data
　突然..聪明的你执行到401000时发现Code被改了. 你就开始从401000单步

　假设 xor 前, AX=0102 , CX=8090
　第二行的 xor ch,al , ch 总会得到 80^02 = 82 吧
　你按了一下 F7, 哇靠... CX 还是维持在 8090 , 倒是 AX 变成了 0123 了
　这题有点难度, 我小心的用计算机算了一下 80^02=82 没错啊.
　打死我也想不通 AX 是如何由 0102 变成 0123 的.
　xor ch,al 竟然会跟 cx 无关.
  
　OK. F7 可能有问题. 我们换 F8 ' F9. 结果一样.
  
　现在我们将那个软件断点 Disable 试试.(请直接设回EIP=401000继续测试)
    xor ch,al
    nop
　CH=82 没错了.

　现在我们将那个软件断点再 Enable 试试.(请直接设回EIP=401000继续测试)
　　　　哇靠...这次 xor ch,al 换成 CL=91

　学了一个多月的汇编, 用了一个多月的OD还没见过这等鸟事

　＜整理一下＞
　　第一次: AX=0123
　　　　　　你会发现 在 00401002 按 F7, 下一条不是停在 nop 而是停在 00401005
　　　　　　经验告诉我们, 其实 OD 是执行了一条占用 3 个 byte 的指令
  　　　　　OD 其实是正确的执行了 xor al,[edx-70]
  　　　　　我这里 [edx-70]=21 , 02^21=23 , 所以 AL=23 没错，只是OD显示的Code不对.
　　　　　　可见 OD 虽然显示不正确, 可是的确有正确的记录下Ｐ１那个 Byte

　　第二次: 将断点 Disable 掉，结果跟眼睛所看到的跟程序码符合
　　　　　　(实际上已算不出正确的注册号了)

　　第三次: 将断点 Enable (变成 CL=91 了)
　　　　　　大家都知道Enable一个软件断点会将其Byte改成 CC
　　　　　　眼睛虽然看到 32E8 xor ch,al
　　　　　　执行的却是　 32CC xor cl,ah

  OK. 这的确造成很大的困扰.
  
  ＜更大的困扰＞
  经过了上列三回合, 我们EIP再设回401000, 并将Ｐ１断点 remove 掉.
  这二行还是一样这样显示,  而且还真的是这样子执行. (跟上面的'第二次'一样)
   　00401002    32E8            xor     ch,al
　   00401004    90              nop

  Ｄｉｓａｂｌｅ ' Ｒｅｍｏｖｅ 掉反而会导致算出来的注册码永远都不对.


这种方式也可运用在防OD方面, 适当的设置可变成: 有OD会引发例外, 没OD则不会.
或是有无载入 OD, 其 jmp 的地方会不一样.
不过得先大约猜测破解者会在那一范围内下软断.
(上面的程序码我是刻意的不想产生Exception所编排的)

若已弄到你很累 & 做手脚的地址不是在 401000 这么好识别的话.....

做注册机时，习惯中途从 OD 复制程序码的人也要小心一点了．
(弄到你生不出注册机)

所以...软件断点不要乱设一堆

在Debug自己写的小程序时, 发现我要的值怎么算都不对.
原来是重新Compile之后的Code移了1个byte, 之前的断点又没拿掉导致的.
写出来给同是新手的朋友做个参考.
牛人常说: 若你不顺'有问题...先删了 udd 吧, 这不是没道理的.
不然就算你重新载入程序也没用.

个人认为这并不是一个错误，而是只能这样处理，原因如下：
1、软断要怎么实现？让程序崩掉，再捕获异常。让程序崩掉的方法很多，不过一个字节就能搞崩的，估计也就int3能搞搞，所以代码改写为int3无可厚非。但是改写后，不能让调试者发现代码变了，所以它需要特意记录下原先的数值用于显示，而且也要用于代码还原。
2、程序修改自身代码，OD很难获知。在改写自身代码之前，一般都会有VirtualProtect修改区段属性，所以给区段加“不可写”属性，再捕获写入异常也不一定能解决问题。
而改写自身代码后，OD之前写入的int3必定会被覆盖，但是OD之前又特意记录下了原先的数值，所以显示的时候，还是会显示出原来的E8，这样就会导致“乱码”，但是由于内存中实际已经被改写，所以执行的与我们看到的不同。
3、禁用或者删除断点，会还原代码，也就是还原之前记录下的数值，所以执行的就与我们看到的相同。
4、启用断点，这个不用多说了，大家都知道。

个人认为，这基本上没有根治的方法，这相当于你用特殊的方法，把断点加在了本不应该加的地方（指令的非首字节），那断点工作异常也是可以理解的。
OD最多也就可以判断一下断点的实际位置的值到底是不是CC，如果是的话，显示原数值，否则自动禁用断点，不过如果这段代码被改写后，断点位置的实际值刚好也是CC，那就无能为力了。可能也正是因为不能保证解决问题，所以才根本就没有做这被认为“多余”的处理。

不过之前学脱SecuRom壳时，发现它的反调试很厉害，软断不起作用也就算了，硬断也不起作用，而且是直接无视掉但是可以正常运行，不会出错。这可不是加错断点了，我在GetVersion头部下断，断不下来，但是改写头部代码，jmp至空地，OutputDebugString输出，再jmp回去，改好后F9，调试信息乖乖出来了。至今没脱成功，也不知道原理是什么……