逆向工程实验报告

1、课程题目：利用OllyDbg逆向工具学习高级语言的输入输出与底层的对应关系 - 9 -一、 实验背景软件逆向工程是在1990年发展起来的，现在已经有一些会议和计算机用户组的专题会议主题。软件逆向工程是分析目标系统，认定系统的组件及其交互关系，并且通过高层抽象或其他的形式来展现目标系统的过程。逆向工程 是了解软件“所作所为”的一套最重要的技术和工具。正式地讲，逆向工程是“通过分析目标系统以识别系统的组件以及这些组件之间的相互关系并创建该系统另一种形式的表或更高级的抽象过程”。从工程实际的角度来看，大体上可以将软件逆向工程分为两大类：（1）从已知软件系统的完整代码出发，生成对应系统的 结构以及相关

2、设计原理和算法思想的文档。（2）从没有源代码的程序出发，生成对应的源程序、系统结构以及相关设计原理和算法思想的文档等。逆向工程在软件分析中的作用主要分为以下六个部分：（1）查找恶意代码，许多病毒和恶意代码 的 探测技术使用逆向工程来理解那些令人憎恶的代码是怎样构成和运作的。通过逆向找出可用作特征码 的可识别模式用于驱动商业探测器和代码扫描器。（2）发现意想不到的缺陷和错误，即使是设计最完美的系统也可能存在漏洞，这是由于我们使用的“前向工程”开发技术所固有的特点导致的。逆向工程可以帮助我们在发生致命的软件失效前识别缺陷和错误。（3）查找是否使用了其他人所写的代码，搞清楚在应用程序的哪里使用了受保

3、护的代码和技术，这对于保护知识产权不被滥用是很重要的。逆向工程技术可用于检测应用程序是否包含所关心的软件单元。（4）寻找对共享软件和开放源码的使用（在不该使用的地方），与侵犯代码版权相反的是，如果一个产品以 安全 和 专用 为目的，是否有可公开获取的代码可能是大家关心的问题。逆向工程能够用于检测代码复制问题。（5）从其他（不同领域或用途）产品中学习，逆向工程技术使我们能够学习先进的软件方法，还允许新学员研究大师的作品。这对于学习和积累不断发展的代码知识来说是非常有用的。许多网站是通过参考其他网站的做法来建立的。许多网页开发人员是通过阅读其他网站的源代码学习HTML和网页编程技术的。（6）发现原

4、开发人员以前没有意思到的特性或机遇，（6）发现原开发人员以前没有意思到的特性或机遇二、 实验环境介绍 Windows平台、OLLYDBG逆向软件、测试程序、c-free5.0。三、 实验工具介绍 在现代操作系统中，可以将调试器粗略地分为两种不同的风格：用户模式调试器 和 内核模式调试器。用户模式调试器是一种普通的应用程序，它将自己加在另一个进程（即被调试程序）之上，并可以完全控制该进程。本实验使用的用户模式调试器是OLLYDBG，对于逆向工作人员而言，由Oleh Yuschuk编写的OLLYDBG可能是最佳的用户模式调试器（尽管选择的余地非常小）。OLLYDBG的诱人之处在于：它一开始就是作为

5、逆向工具而设计的，因此它具有强大的内置的反汇编器。OLLYDBG的代码分析器可以识别出循环、switch控制块以及其它主要的代码结构。它能显示所有已知函数和API的参数名，支持在代码和数据之间查找交叉引用代码到数据或数据到代码。OLLYDBG是调试器中（除了IDA Pro调试器）反汇编能力最强的一款，连内核模式都比不上。除了具有强大的反汇编能力外，OLLYDBG还提供了大量不同的视图，包括列出模块中的导入和导出、显示被调试者拥有的窗口和其它对象的列表、显示当前的异常句柄链以及对那些在库中正确命名的函数使用导入库（.lib文件）等等。OLLYDBG的典型界面如图3.1。图3.1 OLLYDBG的

6、典型界面四、 相应知识点介绍 通过测试键盘中的输入，屏幕的屏幕输出学习VC/VS 中的各种常用的输入与输出函数在底层是如何实现的；然后破解“lianxi.exe”这个小程序。输入方式很多并且高级语言也有很多种。C语言 输入函数有很多，常用的输入函数有：Scanf，getchar，getch 和 getche。如语法：scanf_s("<格式化字符串>"，<地址表>); 其中格式说明符：转换字符(就是%后跟的部分)显示于表4.1中。表4.1 格式说明符：a 读浮点值(仅适用于 C99)； A 读浮点值(仅适用于 C99)；c 读单字符； d 读十进制整

7、数；i 读十进制、八进制、十六进制整数；e 读浮点数；E 读浮点数； f 读浮点数；F 读浮点数(仅适用于 C99)； g 读浮点数；G 读浮点数； o 读八进制数；s 读字符串；五、 实验内容5.1、通过测试键盘中的输入，屏幕的屏幕输出学习VC/VS 中的各种常用的输入与输出函数在底层是如何实现的。（1）通过编译器实现一个基本的输入输出函数，本实验使用的是scanf_s 、printf函数。具体函数展示于表5.1。#include <stdio.h>int main(int argc, char *argv)int i;scanf("%d",&i);p

8、rintf("outputi=%d",i);return 0;表5.1.1程序实现输入输出函数而具体对应的OLLYDBG界面以及代码分别为图5.1.1。图5.1.1 输入输出代码在OLLYDBG中对应的代码具体的汇编代码为表5.1.2。表5.1.2 输入输出对应的汇编代码：00401000 push ebp00401001 mov ebp, esp00401003 push ecx00401004 lea eax, dword ptr ebp-400401007 push eax00401008 push 004020F4 ; ASCII "%d"004

9、0100D call dword ptr <&MSVCR100.scanf_s> ; MSVCR100.scanf_s00401013 push dword ptr ebp-4 ; /<%d>00401016 push 004020F8 ; |format = "input :%d"0040101B call dword ptr <&MSVCR100.printf> ; printf00401021 add esp, 1000401024 xor eax, eax00401026 leave00401027 retn从上述

10、图表可以看出我们用C语言编写出的输出、输出代码在底层汇编对应的时候分配地址以及取地址输出情况。5.2、破解“lianxi.exe”这个小程序。在破译之前我们需要了解lianxi.exe这个小程序的基本运行情况。正常的每次输入都如图5.2.1所示以及每次正常输出如图5.2.2。图5.2.1 lianxi.exe正常输入图5.2.2 lianxi.exe正常输出通过OLLYDBG逆向出了整个过程的汇编代码，其中前端语句以及做出相应的反应的是显示于表5.2.1中。其中标记红色的就是当我们有输入的时候的判断，每次都会显示":("和"Try again!"来提示我

11、们输入错误。表5.2.1：0040105D |. /75 41 JNZ SHORT lianxi.004010A00040105F |. |817D 10 EB030>CMP DWORD PTR SS:EBP+10,3EB00401066 |75 48 JNZ SHORT lianxi.004010B000401068 |. |FF75 08 PUSH DWORD PTR SS:EBP+80040106B |E8 46000000 CALL lianxi.004010B600401070 |. |0BC0 OR EAX,EAX00401072 |75 16 JNZ SHORT lianx

12、i.0040108A00401074 |. |6A 30 PUSH 30 ; /Style = MB_OK|MB_ICONEXCLAMATION|MB_APPLMODAL00401076 |. |68 64304000 PUSH lianxi.00403064 ; |Title = ":("0040107B |. |68 59304000 PUSH lianxi.00403059 ; |Text = "Try again!"00401080 |. |FF75 08 PUSH DWORD PTR SS:EBP+8 ; |hOwner00401083 |.

13、|E8 30010000 CALL <JMP.&user32.MessageBoxA> ; MessageBoxA00401088 |. |EB 14 JMP SHORT lianxi.0040109E0040108A |> |6A 40 PUSH 40 ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL0040108C |. |68 72304000 PUSH lianxi.00403072 ; |Title = ":)"00401091 |. |68 67304000 PUSH lianxi.004030

14、67 ; |Text = "Well done!"00401096 |. |FF75 08 PUSH DWORD PTR SS:EBP+8 ; |hOwner00401099 |. |E8 1A010000 CALL <JMP.&user32.MessageBoxA> ; MessageBoxA0040109E |> |EB 10 JMP SHORT lianxi.004010B0004010A0 |> 837D 0C 10 CMP DWORD PTR SS:EBP+C,10004010A4 |. 75 0A JNZ SHORT lianxi

15、.004010B0004010A6 |. 6A 00 PUSH 0 ; /Result = 0004010A8 |. FF75 08 PUSH DWORD PTR SS:EBP+8 ; |hWnd004010AB |. E8 F6000000 CALL <JMP.&user32.EndDialog> ; EndDialog004010B0 |> 33C0 XOR EAX,EAX但是我们可以通过OLLYDBG逆向出的汇编代码知道了整个过程的输入判断错误是标记绿色部分，从而修改了整个程序直接跳过那个错误提示的判断，直接运行下一条语句，具体修改如表5.2.2。纳闷当我们输入

16、然后就会出现图5.2.3所示的正确的提醒界面。Lianxi.exe这个小程序也就被我们破解出来了。表5.2.2：00401039 |. FF35 80304000 PUSH DWORD PTR DS:403080 ; |hInst = 004000000040103F |. E8 6E010000 CALL <JMP.&user32.LoadIconA> ; LoadIconA00401044 |. 50 PUSH EAX ; /lParam00401045 |. 6A 01 PUSH 1 ; |wParam = 100401047 |. 68 80000000 PUSH

17、80 ; |Message = WM_SETICON0040104C |. FF75 08 PUSH DWORD PTR SS:EBP+8 ; |hWnd0040104F |. E8 6A010000 CALL <JMP.&user32.SendMessageA> ; SendMessageA00401054 |. EB 5A JMP SHORT lianxi.004010B000401056 |> 817D 0C 11010>CMP DWORD PTR SS:EBP+C,1110040105D |. 75 41 JNZ SHORT lianxi.004010A

18、00040105F |. 817D 10 EB030>CMP DWORD PTR SS:EBP+10,3EB00401066 75 48 JNZ SHORT lianxi.004010B000401068 |. FF75 08 PUSH DWORD PTR SS:EBP+80040106B 90 NOP/空，判断语句以及跳转语句直接没有了0040106C 90 NOP/直接运行下一条语句0040106D 90 NOP/00401070 |. 0BC0 OR EAX,EAX /错误判断提示00401072 75 16 JNZ SHORT lianxi.0040108A /错误判断提示00401074 |. 6A 30 PUSH 30 ; /Style = MB_OK|MB_ICONEXCLAMATION|MB_APPLMODAL /错误判断提示00401076 |. 68 64304000 PUSH lianxi.00403064 ; |Title = ":("0040107B |. 68 59304000 PUSH lianxi.00403059 ; |T