动态分析工具OllyDbg学习笔记（一）-入门

没有耐性学不好逆向！！！

OD常用快捷键：

f2:断点
f3：打开文件
f4:执行到光标
f5:窗体大小话
f6：窗体切换
f7：单步步入
f8:单步步过
f9：运行（到断点停下）

组合快捷键：
ctrl+f2：重启调试程序
ctrl+f7:自动单步步入
ctrl+f8:自动单步步过（esc暂停）
ctrl+G:转到地址
ctrl+N:找到调用的API地址
ctrl+f9:执行到返回（一般是RETN 指令）

shift + f9 :忽略系统产生的异常， （也可以在设置的忽略异常中添加忽略范围0 - 88888888 全程忽略）

alt+ f7 ：转到上一个参考
alt+ f8 ：转到下一个参考
alt+ f9: 返回到程序的领空（用户态）
空格：修改指令
分号（英文）:写注释
{
	以前没发现的调试技巧，当程序一闪而过的时候，很恼火是吧，特别是注册时候，一旦输入错误直接退出，没时间下断，如先弹框然后点击确定后直接退出，
	我们可以让他先弹框，然后OD点击暂停，然后alt+f9返回到用户界面，单击确定，这样程序就（处理不了消息了，可以接收），然后就会回到暂停的位置，然后我们可以ctrl+f9 或者单步f8返回，返回到调用它的位置（一般是pop的位置）
}

（有一种取消息的死循环就是当程序调用GetMessageA() 或PeekMessage()时由于我们在调试，使程序得不到消息会一直在等系统给他的分派消息而死循环，这时只需要点击一下程序就行了 ）

PE结构简介：

1.OD中可以查看PE头文件，通过Memory map 看他分为几个段

在其中的数据是从右向左读的，为什么呐？因为 windows是大尾的数据存法，高地址在右边，
如
004013c0    47 45 32 12  -----> asi（12,32,45,47）   其中
比如
004000E8    00 10 00 00  -----> 00 00 10 00  ---> 1000（H）   ,记住，在每一个字节内的显示顺序是对的，但是是16进制的（这个在od 也可以调）

低 <----------------------> 高

低
 |
高

的内存分布。所以嘛，栈是在高地址的，系统栈空间嘛，堆是在低地址的，系统管不着


004013c0    47  --- > 两位16进制就是一个字节（八位） 
004013c1    45
004013c2    32
004013c3    12

所以最高位是高地址，先读
之所以是横着排放，宽度只要看上下两个地址的差就行了，这个可以自己调在OD里面
004013c4    78 43 34 55 

一般的exe文件是在0x00400000 的基址开始载入内存的
一般代码段是在0x004001000   开始的 ，前一千个字节是PE头

and 是汇编的与操作
add 是汇编的加操作
call 和 ret (ret n) 是成对存在的
sar: 算术右移，通常用在对带符号的数字减半，最高位符号位（最右边）不变，最低位右移到cf中（除2 ， sar eax,5  就是除 32  在放入 eax）

VA：是PE文件载入内存中的一片线性地址
RVA：就是在相对虚拟地址（relative Virtual Address ,相对于基址的偏移地址）
EP： entry point 程序入口点
OEP： orgin entry point 原始程序入口点（相对于加壳后）
 
记住程序的PE头是在 00400000 开始的，而 dll 的地址一般是在73453535 以7开头的地址也就是系统领空的
一般正确的PE结构就是在memory中一个段占1000(或者2000 ，3000 ，但是不会是5000这莫大) 字节的如：
地址	        大小   区段
00400000		1000   PE头    PE 文件头
00401000		1000   .text
00402000		1000   .rdata
00403000		1000   .data
00404000		1000   .rsrc


77D10000        1000   User32   PE 文件头
+1000           1000   .text
+1000           1000   .rdata
+1000           1000   .data
+1000           1000   .rsrc

77EF0000        1000   GDI32   PE 文件头
+1000           1000   .text
+1000           1000   .rdata
+1000           1000   .data
+1000           1000   .rsrc


7C800000        1000   Kernel32 PE 文件头

+1000           1000   .text
+1000           1000   .rdata
+1000           1000   .data
+1000           1000   .rsrc


其中地址和大小都是16进制的，几个比较主要的PE文件地址映射关系，之所以都是1000的整数倍，是为例内存对齐
一般对于过大的PE头就是有问题的，并且做过修改后，用OD打开还会爆出缺少段的错误，没关系

这是常用的PE头数据
SizeOfCode = 400 (不会太大)    ---> 40000400
SizeOfInitializedData = A00    + 4000000 （基址的大小）
SizeOfUninitializedData = 0   + ---> 40000A00
AddressOfEntryPoint = 1000   
BaseOfCode = 1000            --->  40001000 
BaseOfData = 1000            --->  40002000 
ImageBase = 400000  --->虚拟基址（一般不变）
NumberOfRvaAndSizes = 10 (比较固定) 太大了会占用太多的内存
Export Table address  = 0 (不是dll ,没有导出表) （可以随便改）
Export Table size = 0 (不是dll ,没有导出表)   （可以随便改）

Import Table address  = 0 (有导入表) 
Import Table size = 0  

函数的入口点一般都是 55 H 就是push ebp 

记住修改头文件后，保存的时候要注意，首先记住开始改的地方，然后转到数据窗口，往下选择一段（不要太长，否则有问题，太大放不下），选择保存到文件,后面的数据说明PE文件是可以动态的修改的，只要 只要把代码段的基地址，和数据段的基地址向后平移，当然code size 也要增大，就会得到新的反调试的程序，OD载入会报错，但是 windows 加载器就会智能的识别并正确运行

VC是禁止用寄存器传递参数的，一般delphi 是经常用寄存器传递参数的
遇到call 函数 不进入预览，可以按Enter 实现，看看 call 的内容
 
SEH （Structured exception handling ）结构化异常处理，windows 操作系统提供的功能，跟开发工具无关，windows程序设计最重要的理念就是消息传递。也就是事件驱动，当程序触发一个消息时，系统将把该消息放在消息队列，
然后去查找调用窗体对应的消息处理函数（callback），传递的参数就是这个消息（前提是那个对应的应用程序在系统注册过消息处理函数的callback）（do not call me,i will call you ,等到有事的时候才发生函数执行）
实际上我们可以把异常也当做一种消息，当应用程序发生异常时就触发该消息并通知 系统（打小报告），系统在找这个异常的处理回调函数，也就是常说的异常处理例程，如果我们没有在程序中做异常处理，系统不会置之不理，会弹出“应用程序错误”的错误框，然后结束掉该程序，所以当我们用callback的思维来看待SEH就没啥神秘的了


一般程序的修改都是修改一个功能，然后dump一下，然后测试通过再进行下一个修改 （就像版本升级一样）  

查找字符串一般是先打开内存窗口，然后 ctrl+b 查找 asc 或 Unicode 都要试试（这里搜索要把光标拉倒最上面，的大小写不要选中，因为系统有时候会故意把小写变大写，也可以两次都进行尝试，有的区分了大小写就搜不出来，要在指令处双击进去，不是在 ASC码的地方点进去），然后修改，注意修改的时候 要保证 字节对齐，就是没修改的也填充，这样不会有问题，然后在数据窗口保存（edit->save to exectutable ）
再内存中查看参考都是，就是找到那个字符串的时候，可以查看参考（find reference ） 看到是哪里引用他的，然后就在参考的反汇编里看到指令了

去除Nag的几种办法（nag 就是提醒注册的一个框）
1.直接把那里jmp
2.直接把那里填为nop
3.如果是有MessageBoxA() ,直接把他的第一个参数变成1（这个参数说明的是他的父句柄是哪个，1直接就不存在，所以函数直接执行失败，父句柄无意义 ）
4.改变他的入口地址 GetMoufduleHandleA()就是返回程序的ImageBase(基址)， 在Memory map 中有个 addressofEntryPoint 的地址，我们只需要在数据窗口找到他的地址，然后将它往后修改一点，跳过nag就行了
5.还有一种比较保守的调试方法，就是在一个限制次数的程序中，在程序执行流程发生改变的前后测试，做标记，然后当程序流程改变的时候，我们看到是哪个jnz,jz,等与先前的注释不同，就可以找到程序分支判断点了，这是在程序执行流程改变的程序的一类程序中通用的对比思想

6.修改程序中的数据来判断是否该修改