【文章标题】: 我的断点心得帮初学者进阶
【文章作者】: 书呆彭
【使用工具】: OD,MSDN,VC
【作者声明】: 本文完全是个人的心得与体会,看到许多初学者还在苦苦寻找“字符串”和“关键跳”,特写此文,其中错误和不当之处,欢迎大家多多批评指正。
------------------->8-------------------------------------------------------------
【详细过程】
  
  在正文开始之前,先说几句。
  
  要写一篇文章是很累的,要打字,为了效果好还要截图、排版等。
  
  而且写这些东西是没有报酬的,属于义务劳动。
  
  我只希望能对出学者有所帮助,为论坛做点贡献。
  
  我也希望读者能仔细地把文章看完。
  
  看完后有什么意见就说什么。
  
  我不希望看的人随便把网页往下一拉,顺手回复个“好”,“顶”,“支持”之类的。
  
  对了,还有“先顶后看”的。
  
  我觉得,要先看过了,再回复。有话要说就回,没什么说的可以不回。
  
  我的意思就是,技术不同于灌水。
  
  
  ---------------->8------------------------------------------------------------
  
  
  开始。
  
  本文不讲脱壳,不讲算法,也不讲anti-anti,主要讲一讲如何用OD定位到一个程序的关键代码位置。
  
  
  由于解密技术的发展,带动了软件加密的发展。现在已经很难像两年前,或者更早,那样,用“W32Dsm->参考->字符串参考”的方法来定位程序的关键代码点了。
  
  但是还是有很多人抱着“字符串”这个“法宝”不放。不愿意,或者也可能没有找到方法,去学习一下更有效的定位关键代码的动态方法:断点。
  
  甚至有时根据别人的指点用API断点已经到达关键代码了,却又习惯地去寻找“字符串”。
  
  
  本人不才,算不上什么高手,但是我在逆向研究程序时,几乎没有使用过字符串的方法来定位关键代码。
  
  我记得两年前,很多流行的破文中都说,先静态,后动态。
  
  但我恰恰相反。在跟踪代码时我总是先动态定位代码,然后再阅读静态的反汇编结果。
  
  并且,在分析代码时,我常常是“动静结合,先猜后验证”的方法,以前我写过一个CRACKME的分析,讲过这个,就不说了。
  
  
  
  
  断点,BreakPoint,顾名思义,就是要正在运行的程序break的点。在Intel x86体系中,大家都知道断点是一种异常,然后通过异常处理的机制,让调试器获得控制权。
  
  下面我的描述,总是假设:
  
  1.程序代码没有被加密,通常就是指加壳。
  
  2.程序中没有anti-debug
  
  3.程序是本机代码,不是虚拟机伪指令,如VB
  
  
  
  
  首先,什么是关键代码?
  
  我们知道一个完整的程序,所包含的代码是海量的,我们虽然有反汇编工具,但不可能把所有的代码都去看一下。
  
  我们所说的关键代码,通常就是指包含有注册算法和有效性验证的程序代码。
  
  我们下断点的目的,是找到关键代码“附近”的代码,从而定位到最终的关键代码。
  
  
  通常,关键代码都具有这样的结构:
  
  1.读取用户的输入
  
  2.经过一定的计算、验证
  
  3.显示(或不显示,仅存储)验证结果。
  
  其中,2是“真正关键”的代码,而1和3就是我说的“附近”的代码。
  
  
  在Windows下的应用程序,2完全自主的,我们没办法,但1和3(也就是输入和输出)无论如何也必须通过某种形式的操作系统调用才能实现。所以,API断点几乎是通用的办法。
  
  而难点,就在于我们下断点的技巧。
  
  
  先说思路1,从输入角度来下。学过一点C语言的人知道,在控制台下,获取用户输入是从stdin文件中读取的。而win32窗口应用程序怎么获得用户输入呢?
  
  我们最常见的情况,是从编辑框(Edit)控件中输入信息。
  
  这种情况下程序要获取用户的输入,也就是获取编辑框的文字。通过什么途径?这里就需要一些编程的基础知识了。(所以我总强调编程是逆向的基础)
  
  GetWindowText()和GetDlgItemText()是最常用的两个API。至于A还是W,试试就知道了。


  ---------------->8------------------------------------------------------------
  
  例1:
  
  下载
  
  
  
  我们用OD载入,bp GetDlgItemTextA,F9运行。点check,被OD断下了。看下堆栈窗口中给出的提示:
  
  

代码:
  0013FA48   004010B0  /CALL 到 GetDlgItemTextA 来自 010.004010AB
  0013FA4C   002108A2  |hWnd = 002108A2 ('Pusillus Crackme 1.0',class='#32770')
  0013FA50   00000BB8  |ControlID = BB8 (3000.)
  0013FA54   00403044  |Buffer = 010.00403044
  0013FA58   0000000A  \Count = A (10.)
  
  
  是不是我们要找的呢?你当然可以执行到返回,然后看缓冲区Buffer = 010.00403044的内容是不是自己输入的。
  
  我给出另一种方法:ControlID == 0xbb8,在OD中转到“窗口”窗口(有点绕),看到
  
  
代码:
  Windows
  句柄           标题                              父窗口     WinProc    ID         风格       扩展风格   线程       ClsProc    类
  002108A2       Pusillus Crackme 1.0              Topmost                          94C800C4   00010101   主          7D96A3F2   #32770
  K00140878                                        002108A2              00000BB8   50010080   00000204   主          7D9637BF   Edit
  K0019088A      Default IME                       002108A2                         8C000000              主          7D9A0638   IME
  IE0023085A     M                                 0019088A                         8C000000              主          FFFF08A1   MSCTFIME UI
  E0020085C      Check                             002108A2              00000BB9   50010001   00000004   主          7D960F28   Button
  
  
  我们看到ID为0xBB8的控件是唯一的一个Edit控件。

  这个ID是程序作者定义的,对于一个程序,每个控件的ID是不变的。
  
  这个CrackMe非常简单,所以返回到用户代码后就是“关键”代码了。
  
  
  
  ---------------->8------------------------------------------------------------

  例2:
  
  下载http://bbs.pediy.com/showthread.php?t=77302
  
  
  
  这个例子是VC7写的,unicode程序,所以这回我们下bp GetDlgItemTextW,随便输入,点确定。
  
  咦,没断到,直接弹出了错误提示。如图:
  
  
  
  我们换另一个试试,bp GetWindowTextW,结果发现我们无法切换到CrackMe的界面了,只要一切换就被OD断下来。
  
  第一次中断时,堆栈参数:
  
代码:
  0013F6FC   7DBF9A40  /CALL 到 GetWindowTextW 来自 COMCTL32.7DBF9A3A
  0013F700   001500DC  |hWnd = 001500DC ('确定',class='Button',parent=000E00AE)
  0013F704   00269050  |Buffer = 00269050
  0013F708   00000003  \Count = 3
  
  
  F9,又中断到这里
  
  
代码:
  0013F960   7DBF73F4  /CALL 到 GetWindowTextW 来自 COMCTL32.7DBF73EE
  0013F964   000C00CA  |hWnd = 000C00CA ('用户名:',class='Static',parent=000E00AE)
  0013F968   00269050  |Buffer = 00269050
  0013F96C   00000005  \Count = 5
  
  
  再F9,
  
  
代码:
  0013F960   7DBF73F4  /CALL 到 GetWindowTextW 来自 COMCTL32.7DBF73EE
  0013F964   002C01DC  |hWnd = 002C01DC ('注册码:',class='Static',parent=000E00AE)
  0013F968   00269050  |Buffer = 00269050
  0013F96C   00000005  \Count = 5
  
  
  再F9,就运行了。我们看一下,为什么会中断呢?
  
  原来是因为系统要绘制“确定”按钮。
  
  不过,上面几次中断,并没有获取编辑框文字。
  
  这就引出了今天要讲的另一个技巧:条件断点。
  
  我们希望只有在读取用户输入内容时才中断。
  
  先来到OD的“窗口”窗口:
  
  
代码:
  Windows
  句柄           标题                              父窗口     WinProc    ID         风格       扩展风格   线程       ClsProc    类
  000E00AE       MFc7                              Topmost                          94C800CC   00050101   主          7D96A3F2   #32770
   000C00CA      用户名:                          000E00AE              FFFFFFFF   50020000   00000004   主          FFFF0743   Static
   001500DC      确定                              000E00AE              00000001   50010001   00000004   主          FFFF074B   Button
   002C01DC      注册码:                          000E00AE              FFFFFFFF   50020000   00000004   主          FFFF0743   Static
   0036011E                                        000E00AE              000003E8   50010080   00000204   主          FFFF06AB   Edit
   004101E8                                        000E00AE              000003E9   50010080   00000204   主          FFFF06AB   Edit
   009E0104      Default IME                       000E00AE                         8C000000              主          7D9A0638   IME
    002501F6     M                                 009E0104                         8C000000              主          FFFF07D9   MSCTFIME UI
  
  
  我们看到有两个Edit控件,我们随便取其中一个,比如0036011E,记下这个句柄。你可以根据你机器上显示的值来确定。

  注意,这个窗口句柄是在窗口创建时由系统分配的,每次运行程序时的值可能不一样。但是窗口一旦创建,那么在它销毁前它的句柄是保挂不变的。

  再回到反汇编窗口,在GetWindowTextW这行按Shift+F2,弹出如下条件断点对话框:有朋友说这一句不好理解,改成下面这样:

  回到反汇编窗口,按Ctrl+G,输入GetWindowTextW,来到这个API的代码处,然后按Shift+F2,弹出编辑断点条件的对话框:
  
  
  
  我们看一下堆栈,窗口句柄是第一个参数,位于[ESP+4],于是我们输入[ESP+4]==0x36011E,确定。
  
  现在我们再运行程序,输入点什么,点确定,OD给断下来了。堆栈中看看,
  
  
代码:
  0013F568   0040C544  /CALL 到 GetWindowTextW 来自 009.0040C53E
  0013F56C   0036011E  |hWnd = 0036011E (class='Edit',parent=000E00AE)
  0013F570   00899980  |Buffer = 00899980
  0013F574   00000005  \Count = 5
  
  
  我们看到返回地址就在程序EXE模块中,所以直接返回,看一下,是这么一副模样。
  
  
代码:
  0040C516  /$  8BFF          MOV     EDI, EDI
  0040C518  |.  55            PUSH    EBP
  0040C519  |.  8BEC          MOV     EBP, ESP
  0040C51B  |.  56            PUSH    ESI
  0040C51C  |.  8BF1          MOV     ESI, ECX
  0040C51E  |.  837E 50 00    CMP     DWORD PTR DS:[ESI+50], 0
  0040C522  |.  75 2F         JNZ     SHORT 009.0040C553
  0040C524  |.  FF76 20       PUSH    DWORD PTR DS:[ESI+20]            ; /hWnd
  0040C527  |.  FF15 20965200 CALL    DWORD PTR DS:[<&USER32.GetWindow>; \GetWindowTextLengthW
  0040C52D  |.  8D48 01       LEA     ECX, DWORD PTR DS:[EAX+1]
  0040C530  |.  51            PUSH    ECX                              ; /Count
  0040C531  |.  8B4D 08       MOV     ECX, [ARG.1]                     ; |
  0040C534  |.  50            PUSH    EAX                              ; |/Arg1
  0040C535  |.  E8 6BA2FFFF   CALL    009.004067A5                     ; |\009.004067A5
  0040C53A  |.  50            PUSH    EAX                              ; |Buffer
  0040C53B  |.  FF76 20       PUSH    DWORD PTR DS:[ESI+20]            ; |hWnd
  0040C53E  |.  FF15 24965200 CALL    DWORD PTR DS:[<&USER32.GetWindow>; \GetWindowTextW
  0040C544  |.  8B4D 08       MOV     ECX, [ARG.1]
  0040C547  |.  6A FF         PUSH    -1                               ; /Arg1 = FFFFFFFF
  0040C549  |.  E8 6693FFFF   CALL    009.004058B4                     ; \009.004058B4
  0040C54E  |.  5E            POP     ESI
  0040C54F  |.  5D            POP     EBP
  0040C550  |.  C2 0400       RETN    4
  0040C553  |>  8B4E 50       MOV     ECX, DWORD PTR DS:[ESI+50]
  0040C556  |.  8B01          MOV     EAX, DWORD PTR DS:[ECX]
  0040C558  |.  5E            POP     ESI
  0040C559  |.  5D            POP     EBP
  0040C55A  \.  FFA0 8C000000 JMP     DWORD PTR DS:[EAX+8C]
  
  
  
  看来这是一个包装(Wrapper)函数,我们继续返回,就来到了“关键代码”了(不贴了)。
  
  
  ---------------->8------------------------------------------------------------

  例3:
  
  下载
  
  
  
  再看这个,是某版本的易语言的。bp GetWindowTextA,同例2一样,我们切换不到程序界面了。按上面的方法,下个条件断点,OK,我们到了:
  
  
代码:
  0013F110   100AE3BA  /CALL 到 GetWindowTextA 来自 krnln.100AE3B4
  0013F114   004701D8  |hWnd = 004701D8 (class='Edit',parent=001100CA)
  0013F118   02367AF0  |Buffer = 02367AF0
  0013F11C   00000005  \Count = 5
  
  
  可是这个返回点是在krnln模块中,并不是EXE当中啊,怎么办?
  
  我们先回来krnln领空。
  
  下面我来讲今天的第3个技巧:RUN跟踪。不熟悉的人先去看看OD的说明书,照着说明书将相关选项设置好,否则可能不起作用。
  
  使用工具之前阅读说明书是一个好习惯。
  
  我们Alt+E,看一下EXE模块的地址:
  
  
代码:
  Executable modules, 条目 0
   基址=00400000
   大小=0001F000 (126976.)
   入口=00403831 015.<模块入口点>
   名称=015
   路径=F:\Debugee\Crack Me\015.exe
  
  
  好,我们按Ctrl+T,选中“EIP位于范围内”,后面的范围就填整个模块的范围吧,无所谓,见图:
  
  
  
  确定后,我们按Ctrl+F11(至于F11还是F12,视情况而定,这里本例仅为一个特例),看到什么了?OD停在了这里:
  
  
代码:
  0040993E    DD45 F4         FLD     QWORD PTR SS:[EBP-C]
  00409941    DC45 E8         FADD    QWORD PTR SS:[EBP-18]
  00409944    DC05 04914000   FADD    QWORD PTR DS:[409104]
  0040994A    DD5D E0         FSTP    QWORD PTR SS:[EBP-20]
  0040994D    68 01060080     PUSH    80000601
  00409952    FF75 E4         PUSH    DWORD PTR SS:[EBP-1C]
  00409955    FF75 E0         PUSH    DWORD PTR SS:[EBP-20]
  00409958    68 01000000     PUSH    1
  0040995D    BB 68010000     MOV     EBX, 168
  00409962    E8 9F010000     CALL    015.00409B06
  00409967    83C4 10         ADD     ESP, 10        ;我们停在了这里,刚从函数返回
  0040996A    8945 DC         MOV     DWORD PTR SS:[EBP-24], EAX
  0040996D    6A FF           PUSH    -1
  0040996F    6A 08           PUSH    8
  00409971    68 04000116     PUSH    16010004
  00409976    68 01000152     PUSH    52010001
  0040997B    E8 92010000     CALL    015.00409B12
  00409980    83C4 10         ADD     ESP, 10
  00409983    8945 D8         MOV     DWORD PTR SS:[EBP-28], EAX
  
  
  至于这里是不是关键代码,还用我说吗?
  
  
  ---------------->8------------------------------------------------------------
  
  上面用3个例子,说了“输入”这个方面的API断点。

  我拿这几个程序做例子完全是为了说明文中的方法。单说这几个CrackMe,由于本身都非常简单,很多人都有更加简单的方法直接定位关键代码。这不在本文讨论之列。
  
  实际当中,还会遇到更复杂的,因为WIN32的API种类多而繁杂,要获取用户输入的方法还有很多种,不仅仅限于上面讲的两个API。
  
  说回来,还是得具有一定的编程基础。我再公布一个常用API,那就是SendMessage,它也常用来获取窗口的文字。具体怎么用,我不详细说了,有编程基础的人应该知道。
  
  
  
  
  本来还准备写点输出API函数方面的内容,一时没时间,先搁下,有时间再补上吧,对不住各位了。
  
  不过,只要你开动脑筋,灵活应用,使用我上面讲的API断点+条件断点+RUN跟踪,就已经可以对几乎所有未加密的程序,快速地定位到关键代码。
  
--------------------------------------------------------------------------------
【经验总结】
  建议大家不要只是看,多写几个小程序,自己再多调试调试,实践出真知,熟能生巧。
  
  如果觉得自己学逆向很困难,那就先好好学学编程。这是我的建议。
  
--------------------------------------------------------------------------------
【版权声明】: 【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2008年12月21日 15:51:35