一、工作環境:
1、查殼工具:PEiD(用於初步確定exe程序是否加殼以及使用何種開發軟件編寫);
2、反編譯工具:DeDe(經過查殼工具檢查,將要被反彙編的程序是用“BorlandC++ 1999”編寫的,所以選用專門反編譯Delphi程序的DeDe;用於初步確定程序模塊、函數方法劃分對應exe程序相應彙編指令地址的位置);
3、反彙編動態調試工具:OllyICE(即,OD;用於動態反彙編調試程序的相關代碼邏輯);
4、開發環境:VS.NET 2005;
5、其他工具:EditPlus、記事本、計算器等若干;
1、彙編程序設計:主要深入瞭解程序數據存放、堆棧使用、子程序調用等技巧;不同類型數據的地址跳轉規則(一般都是跳轉該類型長度個位置);
2、c++程序設計:基本語法結構;指針、數據類型的使用和控制;
3、相關工具軟件的基本使用方法;
我的反彙編大概過程是:
查殼->脫殼、判斷開發程序使用的環境->反編譯->初步定位主要功能模塊或函數的彙編指令起始、終止地址->反彙編準備->查找程序中的特徵字符串或特徵值,進一步確定需要反彙編的代碼邏輯的位置->開始反彙編調試運行,分析需要反彙編的代碼邏輯的具體過程->將分析出來的邏輯流程使用c++語言實現。
運行PeiD,打開要反彙編的exe程序,在這裏姑且稱之爲:test.exe吧。
如示意圖1:
“1、”中只是示意圖,我實際反編譯的程序是由“BorlandC++ 1999”編寫的,所以選擇DeDe 3.5作爲反編譯工具;DeDe3.5的具體使用方法,請自行在網上查閱。
示意圖3:
注意選擇“過程”按鈕,如上圖所示。然後雙擊右下側列表中的Button3Click,就可以查看該方法對應的函數體了。當然,這樣看到的函數體不會是我們一般意義上的函數體,這函數體只有一個框架是高級語言的樣子,函數體內部都是彙編代碼,不過這已經足夠了,後面我們還要進行詳細的反彙編調試分析呢。嘿嘿。函數體示意圖5如下:
好,記下這段函數的首地址、尾地址,開始嘗試反彙編操作。
4、 反彙編準備:
使用OD(OllyICE)打開test.exe程序,如示意圖6:
找到剛纔記錄下的首地址、尾地址。如上圖中兩個黑圓點處的紅條,分別是首地址:00401EC4、尾地址:00401EF5。
5、 反彙編調試:
根據步驟4中定位的彙編指令地址,再結合示意圖6中[ASCII”Hello OD”]、[ASCII”this is OllyDbg DeAsm”]等關鍵字符串,進行所有匹配字符串的檢索,就可以開始使用OD進行調試了。具體使用方法請參閱OD自帶的help文件。
逐句分析所需部分的彙編代碼邏輯流程。其間可以用其他一些輔助工具來幫助記錄動態分析過程中的數值傳遞軌跡及變換方法。
6、 C++實現: