入门级逆向②通过提取按钮通杀特征码爆破
运行环境:Windows7 64位
涉及工具:
OD
教程类型:
提取按钮通杀特征码
是否讲解思路和原理:
是
static/image/hrline/2.gif
介绍:
今天我们来学习特征码的提取与定位
特征码是软件中固定的标志性的代码片段,特征码的用途非常广泛,最常见的就是杀毒软件的查杀。
查杀就是根据特征码定位技术实现的,再或者木马病毒的免杀技术也是通过修改特征码的部分特征从而躲过了杀毒软件的侦查。
------------------------------------------------------------
本章难度:★☆☆☆☆
未加壳
------------------------------------------------------------部分按钮特征码:
MFC: sub eax,0a
VC++6.0:sub eax,0a
VB语言: 81 6C 24
易语言: FF 55 FC 5F 5E或 (e-debug)
万能断点: F3 A5 8B C8 83 E1 03 F3 A4 E8 Z(User32模块下断)
Delphi: 74 0E 8B D3 8B 83 ?? ?? ?? ?? FF 93 ?? ?? ?? ??
蓝屏保护特征码: 55 8B EC BB 06 00 00 00
蓝屏防御特征码: 55 8B EC 81 EC 14 00 00 00 68 0C 00 00 00
static/image/hrline/2.gif
1.先看一下这个CM,当我们点击【弹出窗口】的时候,会提示一个MessageBox信息框。 再点击按钮2则程序没有反映,我们现在要做的就是通过按钮1提取到按钮事件的特征码,然后下断点并定位到按钮2的按钮事件中。
2.打开OD直接将这个程序拖入OD中,会停在程序的OEP位置,这次我们不用上节课讲的通过字符串来找的方法,我们换个思路,下一个MessageBox弹窗断点,直接选择【设置API断点】或者【BreakPoint】,选择【消息框】或【MessageBox】。有些人的OD可能是中文有些是英文,请童学自行选择。然后选择MessageBoxA就可以了。
3.接着我们按下【F9】或者点击【播放按钮】让程序跑起来,然后点击程序中的【弹出窗口】按钮,发现OD断在了系统领空,系统领空的东西是不能改的,我们跳出这个CALL。
4.按单步【F8】跳出CALL后,看到以下代码,并没有段首,我们继续F8走出这个call
5.再次出CALL ,并没有首的符号,这里还在函数的内部,我们继续单步到【retn】这个call
6.在狂按了几次F8后,我们终于看到了入口{:5_121:}
7.直接下一个【F2】断点,然后运行程序,再次点击弹窗按钮,OD再一次断下了
8.这只是一个独立的弹窗过程并不是按钮的按钮事件,按钮事件一定是调用了这个过程,所以我们需要找到是谁执行了这里的代码。由于,调用call指令会将当前指令的下一条指令的地址压入栈存储,所以我们就直接观察堆栈中的参数就能够定位到按钮事件的上一层代码的位置了。9.OD直接搜索这个地址,看一下是不是有call 调用了他。
10.果然,我们果断在这里下一个【F2】断点,然后直接【F9】运行程序。11.点击【测试定位效果】按钮,程序会被断下,这更能确定,这就是按钮的调用源头。最后提取这段通杀特征【FF 55 FC 5F 5E】。
12.直接按下【F7】,进入按钮二的核心代码处。
13.如果要使用特征码定位的话,可以在OD反汇编窗口按下【ctrl + B】,直接搜索【FF 55 FC 5F 5E】即可。
总结:学会了这一个小技能,对于软件的逆向大有帮助,虽然简单,但很实用
以下文件为教程所用的CM程序以及易语言编写的CM源码。可自行下载学习使用
感谢楼主 学习永不间断! 谢谢分享 谢谢分享 来了来了,顶一顶,好东西! John大神。你就是我的偶像! 膜拜大神! 谢谢分享 无敌了!你怎么知道我想要什么!