Win32汇编学习笔记03.RadAsm和补丁
### 补丁#### 扫雷游戏啊下补丁
在扫雷游戏中,点关闭弹出一个确认框,确认之后再关闭,取消就不关闭
!(./notesimg/1653303021773-42a7d2b9-d8da-475e-a661-d3a6a7611964.png)
1. 首先第一步就是确认关闭按钮响应的位置,一般都是WM_CLOSE 的消息 ,消息响应一般都在过程函数,所以就是要定位到过程函数,我们知道 MC 项目中 ,如果是重叠类的窗口,注册窗口类的时候会用到过程函数, 如果是对话框的 那就是调 **DialogBox**
2. 先假设扫雷是一个重叠类窗口 那我们就要知道程序中那个地方调用了 RegisterClass (注册窗口类)
- ```
最笨的方法就是一步步跟,但比较耗时间
```
- 使用OD自带的功能,帮助我们定位在哪些地方,调用了哪些导入函数,只显示当前加载的
!(./notesimg/1653303799822-1eda3f2e-b8ef-4e9c-838d-69779b3086bd.png)
!(./notesimg/1653303949808-ff709ec8-0639-466d-a77f-c5596b730fa1.png)
!(./notesimg/1653304126608-f27ce56f-1f07-4a5b-8f60-181a9bb77cf1.png)
!(./notesimg/1653304177107-6e8c058a-1a4b-49e8-9128-065389415ca5.png)
!(./notesimg/1653304361205-c2ccd4b5-264e-4756-8ac8-e0940463da34.png)
!(./notesimg/1653304777441-46f1b439-d89d-4086-92c9-25b7234ea092.png)
!(./notesimg/1653304274589-12d59ca8-fcc1-4163-827a-59c7d0d6537d.png)
在所有调用地方设置断点
!(./notesimg/1653305001558-2d43aef7-9687-410f-879a-b7661ea9e214.png)
1. 下好断点后开始调试, F9 运行到断点处
注册窗口类第一个参数是窗口类的地址,
!(./notesimg/1653306353868-90b59768-d54d-4578-b197-669d33e5a5c6.png)
窗口类第二个参数是函数地址,第一个是风格
!(./notesimg/1653306446964-ee1411f0-e3cb-4e3b-b799-0c1a57cb8013.png)
!(./notesimg/1653306555930-18223e27-3be0-4814-9fa3-67f32028cab4.png)
!(./notesimg/1653306670787-eef3ede8-e216-4a10-98fd-abc76885d00a.png)
1. 寻找 WM_CLOSE消息,可以通过条件断点寻找
!(./notesimg/1653306862266-847b0a80-b61e-4b62-a25f-1fe9f9f5f39c.png)
分析可知, 参数入栈顺序是 最后一个参数,倒数第二个参数........,第一个参数,返回地址,二消息id是通过 第三个参数 WPARAM 所以参数位置在esp +8处
!(./notesimg/1653307301017-d4e38a32-6b9c-4789-a780-2b7f4fd84852.png)
!(./notesimg/1653307319222-c9f1ab35-84d3-4a06-82e1-bbcfe06e935c.png)
1. 在关闭游戏,这样就可以触发 WM_CLOSE 消息,从而触发断点,在 F8 单步运行,看到哪部跳走
!(./notesimg/1653307613483-646d8e91-e6f6-45d2-9f5f-26454bc0aa6c.png) 可以看出它调用了 默认过程函数,并没有自己处理关闭消息,所以我们只能 自己来 判断是不是WM_CLOSE 消息,然后我们自己来处理 ,如果是 WM_CLOSE,那么就需要我们去弹窗,不是的话就交给过程函数去处理
1. 我们要处理 WM_CLOSE 消息,那么就需要去写代码,但是又不能覆盖他原本的代码,因此他们有代码地方我们都不能用,只能找空白的地方写
!(./notesimg/1653308019789-291fda31-7e9c-4dba-a83f-c441c54204be.png)
记录一下我们们写代码的地方
我们汇编代码开始位置
01004A60 00 db 00
!(./notesimg/1653308153404-941d8f5d-5b7c-4bc0-8e3e-8b6f22ee0389.png)
通过之前我们跟代码,可以知道,程序是从该处跳转到 默认过程函数的,因此我们可以将此处改成 跳转到我们的代码处,然后再由我们跳转回来
原来的跳转地址
01001C16 |. /0F85 8D050000 jnz 010021A9
函数退出位置
010021BB |> \5F pop edi
通过空格单击, ,修改汇编代码,来修改跳转位置
!(./notesimg/1653308394810-9f83b746-2636-43d3-a266-67bd02262cc5.png)
选中修改后的地址,跳转过去开始写我们的汇编代码
!(./notesimg/1653308747571-1efbb1cc-e246-4339-bf8a-0ef3fefd9bd3.png)
!(./notesimg/1653308793686-5113db2c-0bda-4c94-a54a-71034567fe86.png)
接下来相等就要弹窗 ,首先要有提示语,需要保存到文本
!(./notesimg/1653309127000-157463bc-ca3e-4473-b021-b1f3dc9047fc.png)
!(./notesimg/1653309303520-c150159d-706c-4944-afe2-3069f73aa6ad.png)
!(./notesimg/1653309486337-ddceaa2c-c93c-4803-8083-f99438d0ed14.png)
1. 调用弹窗函数
!(./notesimg/1653309642947-b4558122-931a-4797-b938-cea06e997629.png)
标题,文本入栈
!(./notesimg/1653309721511-e49f29cd-2349-4b6e-9a63-5da9abcfbdd1.png)
!(./notesimg/1653309835024-41e0824e-b095-4863-8271-879b081fd26c.png)
窗口句柄入栈
!(./notesimg/1653309922127-ceddea86-6db2-45fd-84f7-63c7a4830eec.png)
调用函数
!(./notesimg/1653309964811-8e3208bf-9e35-4372-9c94-41c5b2898f0d.png)
判断点击按钮
!(./notesimg/1653310129883-99a99892-a64d-40ff-b682-67a2b1ca3aa3.png)
判断,是确定就挑转到默认过程处理函数,否则退出函数
!(./notesimg/1653310438955-a7a58c57-3ba5-40cb-8c16-24699c87a040.png)
!(./notesimg/1653310593594-1aaa8f87-a060-497b-80f5-b128c28bab00.png)
!(./notesimg/1653310642564-d710cfa4-af3d-41be-a7a1-926ac2fb87d8.png)
但是这个时候我们写的代码还只是在内存里面,程序一旦重启 就都没了,因此我们要保存到可执行文件
!(./notesimg/1653310749941-d3963e6d-20f1-488c-9b70-ed2908e8a591.png)
!(./notesimg/1653310779048-821fa8aa-7513-4f35-88b2-c90151ff7f02.png)
!(./notesimg/1653310813045-b00d6278-035f-41f5-83a2-0d5f45beb953.png)
1. 保存文件运行
这是点击退出,发现出现了弹窗提示
!(./notesimg/1653311143787-26c39769-62e0-4136-9208-199553531ffb.png)
!(./notesimg/1653311238011-1eb7f3c1-0432-4dc3-9a24-db1f67f640ed.png)
注意: 找空白位置不要到最后,不然按可能报错,位置有规律,但是要学pe
!(./notesimg/1653323176182-92c8b393-1100-46b8-b35e-600cb7ee2f31.png)
##### 通过OD 下断点/取消断点 alt +b
!(./notesimg/1653323403455-6c1a4afb-0818-4c69-8eda-b7e7c2b391a9.png)
如果有断点 ,选中 del
程序 F9 运行后
!(./notesimg/1653323480233-3d4c1506-04a1-4a9b-bcf7-afbd157341b3.png)
!(./notesimg/1653323843277-2969e72a-11b5-4ae9-a337-f624a094647c.png)
!(./notesimg/1653324036703-792eced4-75cb-42ad-8748-f102602f5f03.png)
!(./notesimg/1653324205815-42acbb23-6469-4158-8b20-47c1ab3564ea.png)
!(./notesimg/1653324320479-ba228d03-ab48-4593-82a8-4108514e77d8.png)
在Crack Me 下补丁
使其提示成功
Brad Soblesky.1.zip(4 KB)
!(./notesimg/1653324688068-6f93c026-a889-43a2-8bed-e9aac3338720.png)
方法1: 定位 command 消息
!(./notesimg/1653324845644-65c46aca-b12b-4687-bd5c-4d77541dd297.png)
!(./notesimg/1653324891562-5049064f-1ea2-4b97-bb6a-e0b0ae0ff9f1.png)
或者
!(./notesimg/1653324923723-7921dbb1-899f-4add-a5bc-36423113ffee.png)
!(./notesimg/1653325017612-c18c8e95-9fac-4cde-841b-0e494242660e.png)
f9 运行 到断点 ,在 f8 单步运行
!(./notesimg/1653325225107-38e2f81e-2b6e-4328-9ca2-e85ce945f51b.png)
可以看到,运行到系统的 dll 中,所以这不是一个重叠类窗口,所以过程函数不是自己的,无法用上面方法,所以要换个f方法
因为 他失败成功都会弹出一个对话框,里面有字符串,因此我们可以通过 OD 的字符串查找功能
!(./notesimg/1653325719065-a8c9fbf8-3db2-4a48-9d07-475865280cac.png)
!(./notesimg/1653325799823-55092f31-70d4-480f-9044-7a85891a6ae4.png)
!(./notesimg/1653325924673-fb8bac39-9d48-4eba-a7ab-af274ce21e4d.png)
!(./notesimg/1653326012008-7caf8a21-4a2c-451f-b574-327f7cd7d855.png)
查看上面的代码
!(./notesimg/1653326104407-86d12c67-9319-43da-8846-d65453fd8103.png)
在此处下点,就可以看到比较的字符串,即正确的字符串
!(./notesimg/1653326251384-f9ec8736-f305-42ba-909e-21fccb4aa858.png)
或者直接去掉比较,那么不管输出字符串是啥,都可以成功
!(./notesimg/1653326458634-24a97f18-5e9c-4613-91df-f5f1485a1755.png)
!(./notesimg/1653326471845-c0c30f82-1a2f-4098-a6e0-53ddd1dbc3b5.png)
将文件保存
!(./notesimg/1653326637156-0f2c1199-8aa2-4908-8e98-7630da1e037d.png)
运行我们保存的文件,发下不管输入什么字符串都可以通过了,即破解成功了
注册机
当遇到非明码比较时,上面的方法就行不通,因为密码是通过 加密解密得到的
!(./notesimg/1653326951683-fcf07014-bbb1-4e6f-a8ac-2fdeef2e3c83.png)
输入2行字符串,验证通过
Brad Soblesky.2.zip(4 KB)
首先定位到字符串,下断点
!(./notesimg/1653327216872-fd9fd4ab-b121-46ee-87c9-92b4ca1811ae.png)
往上找代码,在函数入口出下断点
!(./notesimg/1653327323856-b42731d7-e93e-4e95-9073-01cd22b53dbd.png)
跟一下大体流程,通过跟代码,我们可以知道
!(./notesimg/1653330880705-6c72fc38-e608-4e85-8ce9-a87ea34f8801.png)
!(./notesimg/1653331238937-5f9106be-858b-4f3a-b0ba-ff500cc7b1fc.png)
!(./notesimg/1653331345220-ac7498fe-8e99-437f-b726-2cf2e1acbf9d.png)
F4 运行到光标处,运行完循环 ,继续运行
!(./notesimg/1653331671799-b18ebfd1-33f7-4c7d-889b-fc323731def0.png)
!(./notesimg/1653331949866-98336ad3-b78a-47d0-ba3e-7e82f9a74704-170192290459970.png)
断点继续跟
!(./notesimg/1653332320488-9e7972b0-a01d-43c9-8390-0c1d637a2abc.png)
!(./notesimg/1653332414409-e2658ed5-2c2a-4301-b237-3289b0e99ce9.png)
!(./notesimg/1653332674929-e47bc338-bb78-4eaa-ac27-2749d8e11901.png)
加注释于0040163B
!(./notesimg/1653332818693-ce1fdbd4-87bc-4174-9c91-9ca977d01f84.png)
因此可以分析出,程序是那我们输入的字符串做一系列运算,再把结果格式化后去跟第二个字符串 作比较,我们把上面格式化后的字符串拿去测试,可以发现通过了,所以猜想是正确的
!(./notesimg/1653333011541-3149c01c-be4f-467e-95c8-03a23c64b957.png)
上面软件已经提供了加密算法,因此写该软件的注册机可以直接把他的代码复制出来来就可以了
!(./notesimg/1653333412803-a184e3c8-3de0-46bc-bbf3-a5aaa49d958c.png)
```
L000:
mov edx, dword ptr
add edx, 1
mov dword ptr , edx
mov eax, dword ptr
cmp eax, dword ptr
jge short 0040161A
mov ecx, dword ptr
push ecx
lea ecx, dword ptr
call 00401900
movsx edx, al
mov eax, dword ptr
add eax, edx
mov dword ptr , eax
mov ecx, dword ptr
shl ecx, 8
mov edx, dword ptr
xor edx, ecx
mov dword ptr , edx
mov eax, dword ptr
add eax, 1
mov ecx, dword ptr
imul ecx, dword ptr
not ecx
imul eax, ecx
mov edx, dword ptr
imul edx, eax
mov dword ptr , edx
jmp L000
```
上面还有很多参数,必须我们去分析
!(./notesimg/1653333818289-585bc459-3eb5-4ffa-aed4-211d3d7a968e.png)
新建工程
!(./notesimg/1653333883723-66c2122a-84fb-4632-9584-74023016515f.png)
模板,根据自己需要选择
剩下的不用动,一直下一步完成就行
!(./notesimg/1653334088404-659d8c15-16d2-446f-b86b-d26d360f48b7.png)
GIST\REGIST.ASM
!(./notesimg/1653334170243-b40c5c64-4053-4a5c-839c-2fe8279ff393.png)
S\ADMINISTRATOR\DESKTOP\03 补丁\REGIST\REGIST.ASM]
!(./notesimg/1653334226309-b7284eea-4091-4ea4-9e43-ab413608a1d3.png)
编译和链接,链接之前记得编译资源脚本,或者直接构建
添加资源
!(./notesimg/1653334652771-b0b2f77c-a4c8-489c-b7a6-3722bb440b5d.png)
如果给控件添加名字需要自己手动加到头文件
!(./notesimg/1653335076499-29798d2a-fd76-42bd-a02c-df0d5850496a.png)
!(./notesimg/1653335129113-79fc38b8-97c9-4091-951d-717a9a4dccca.png)
下面就开始写注册机了
```
L000:
mov edx, dword ptr
add edx, 1
mov dword ptr , edx
mov eax, dword ptr
cmp eax, dword ptr
jge short 0040161A
mov ecx, dword ptr
push ecx
lea ecx, dword ptr
call 00401900
movsx edx, al
mov eax, dword ptr
add eax, edx
mov dword ptr , eax
mov ecx, dword ptr
shl ecx, 8
mov edx, dword ptr
xor edx, ecx
mov dword ptr , edx
mov eax, dword ptr
add eax, 1
mov ecx, dword ptr
imul ecx, dword ptr
not ecx
imul eax, ecx
mov edx, dword ptr
imul edx, eax
mov dword ptr , edx
jmp L000
```
首选要对函数进行分析
通过跟代码发现 ebp-20是一个局部变量,作用是计数器
```
ebp-1c 是输入字符长度
```
!(./notesimg/1653336475894-5ec4909b-a6d0-4671-8a2a-fc56d36f5255.png)
这里是去字符串读取 所以可以用 lodsb 替换
几位下来就剩ebp-10 ,ebp-1c .找到最开始出现的地方,来观察数据变化
!(./notesimg/1653337025192-89ea7097-5f79-4df8-8fdc-7f6ea4ef01c8.png)
通过几次不同测试,发现值 是固定的
!(./notesimg/1653337896239-12b90439-7edd-45a2-815a-fbeb3fac0d1c.png)
!(./notesimg/1653340639447-39f401c6-8d2f-4d5f-ad78-247c66d8105f.png)
注册机源码
```
.386
.model flat, stdcall;32 bit memory model
option casemap :none;case sensitive
include Regist.inc
.data
g_szUserNamedb 50 dup(0);用户名
g_szSerial db 50 dup(0);注册码
g_szFmt db "%lu" ,0 ;格式化字符串
.code
start:
invoke GetModuleHandle,NULL
mov hInstance,eax
invoke InitCommonControls
invoke DialogBoxParam,hInstance,IDD_DIALOG1,NULL,addr DlgProc,NULL
invoke ExitProcess,0
;########################################################################
Makeproc hWin:HWND ;加密
LOCAL@dwIdx:DWORD
LOCAL@dwCnt:DWORD
LOCAL@dwEdp_10:DWORD
LOCAL@dwEdp_14:DWORD
;回去文本输入的值
invoke GetDlgItemText,hWin,EDT_USERNAME,offset g_szUserName,size g_szUserName;获取用户名内容
mov@dwCnt,eax
mov@dwIdx,0
mov esi ,offset g_szUserName
mov @dwEdp_10,81276345H
jmpLSATART
;对用户名加密解密
L000:
mov edx, @dwIdx
add edx, 1
mov @dwIdx, edx
LSATART:
mov eax, @dwIdx
cmp eax, @dwCnt
jge LEND
;mov ecx, @dwIdx
;push ecx
;lea ecx, dword ptr
;call 00401900
lodsb ;上面四行作用
movsx edx, al
mov eax, @dwEdp_10
add eax, edx
mov @dwEdp_10, eax
mov ecx, @dwIdx
shl ecx, 8
mov edx, @dwEdp_10
xor edx, ecx
mov @dwEdp_10, edx
mov eax, @dwIdx
add eax, 1
mov ecx, dword ptr @dwCnt
imul ecx, @dwIdx
not ecx
imul eax, ecx
mov edx, @dwEdp_10
imul edx, eax
mov @dwEdp_10,edx
jmp L000
LEND:
;格式化字符串
invoke wsprintf,offset g_szSerial,offset g_szFmt,@dwEdp_10
;显示到界面
invoke SetDlgItemText,hWin,EDT_SERUNMBER,offsetg_szSerial
Make endp
DlgProc proc hWin:HWND,uMsg:UINT,wParam:WPARAM,lParam:LPARAM
mov eax,uMsg
.if eax==WM_INITDIALOG
.elseif eax==WM_COMMAND
mov eax,wParam
.if eax == BTN_MAKE
invoke Make,hWin
.endif
.elseif eax==WM_CLOSE
invoke EndDialog,hWin,0
.else
mov eax,FALSE
ret
.endif
mov eax,TRUE
ret
DlgProc endp
end start
```
### 作业
[📎作业文件.zip](https://www.yuque.com/attachments/yuque/0/2022/zip/27242010/1653340894894-7a0dccb3-5296-4d6d-9996-5b3153d922b4.zip)
#### 1. 修改机器码指令对照表.exe的字体
思路:
\1. sendmessage给callwindow发消息然后绘制界面,sendmessage的第一个消息就是设置字体的
\2.调用 CreateFontA 它有个设置字体的那块 设置完毕后会发个消息 找消息循环上面的发消息那块 就能看见有个函数,在获取系统字体 然后把这个函数换掉,换成跳转到自己的代码处 改完再跳回来
```
HFONT CreateFontA(
int cHeight,
int cWidth,
int cEscapement,
int cOrientation,
int cWeight,
DWORDbItalic,
DWORDbUnderline,
DWORDbStrikeOut,
DWORDiCharSet,
DWORDiOutPrecision,
DWORDiClipPrecision,
DWORDiQuality,
DWORDiPitchAndFamily,
LPCSTR pszFaceName
);
```
!(./notesimg/1653416981699-82fc0c79-8ef9-4b59-8539-b33f889b0824.png)
!(./notesimg/1653417040230-71f53878-9bc6-4a38-8747-224d6d1e5c98.png)
2. COM Explorer_Setup 注册机,汇编实现。
详情见 day05补课
思路:根据弹窗标题搜字符串,往上找到分支跳,定位到关键函数,找到算法代码,(算法代码使用四则运算和位运算比较多),然后把代码抽出来去分析,失败分支那里肯定有校验的算法
!(./notesimg/1653418997032-fc8807d9-4fe4-452c-b3db-760eab49bd86.png)
!(./notesimg/1653419060276-92e0d851-5e93-4082-8234-1b3100f404bd.png)
找到成功或失败分支
!(./notesimg/1653418644915-9d403dcb-e57e-44cc-bb86-7ae082647ef3.png)
```
L000:
mov ebp, dword ptr
or ecx, FFFFFFFF
mov edi, ebp
xor eax, eax
repne scas byte ptr es:
not ecx
dec ecx
mov eax, esi
xor edx, edx
mov edi, ebp
div ecx
mov ecx, dword ptr
mov eax, esi
movsx ebx, byte ptr
xor edx, edx
div ecx
movsx eax, byte ptr
lea edx, dword ptr
lea eax, dword ptr
mov edx, esi
imul edx, esi
imul edx, esi
imul edx, ecx
add ebx, eax
or ecx, FFFFFFFF
xor eax, eax
add ebx, edx
repne scas byte ptr es:
not ecx
dec ecx
mov eax, ebx
xor edx, edx
div ecx
lea ecx, dword ptr
mov al, byte ptr
push eax
call 0042F29A
test esi, esi
je L048
mov eax, esi
xor edx, edx
mov ecx, 3
div ecx
test edx, edx
jnz L048
push 004640F8
lea ecx, dword ptr
call 0042F273
L048:
inc esi
cmp esi, 9
jb L000
```
!(./notesimg/1653459251110-8ae2cb1a-1dfe-4b6a-abbb-3108b7e00732.png)
!(./notesimg/1653459400093-a754e041-52b1-4f18-8158-b1370ac562b8.png)
!(./notesimg/1653459576798-f54cd58d-b15f-4800-91cd-026198eeaf93.png)
页:
[1]