使用OllyDbg从零开始Cracking第三十章PCODE.docVIP

第三十章-P-CODE-Part2 (本章CrackMe支持库MSVBVM50.DLL) 本章我们继续讨论P-CODE。 以下是我从JBDUC的教程里收集的一些操作码: 6c → ILdRf 将指定操作数压入堆栈 1b → LitStr5 将字符串压入堆栈 fb → Lead0 30 → EqStr 比较两个字符串(与Lead0配合使用) 2f → FFree1Str 释放内存空间 1a → FFree1Ad 释放内存空间 0f → VCallAd 通过虚拟机运行操作码 1c → BranchF 条件跳转指令,如果栈顶的值为false则跳转(相当于汇编指令JNE/JNZ) 1d → BranchT 条件跳转指令,如果栈顶的值为true则跳转(相当于汇编指令JE/JZ) 1e → Branch 无条件跳转(嘿嘿,相当于汇编指令JMP) fc → Lead1 c8 → End 终止程序(与Lead1配合使用) f3 → LitI2 将立即数压入堆栈 f4 → LitI2_Byte 将指定数据转化为字节整型并压入堆栈 70 → FStrI2 将栈顶的WORD型元素保存到内存单元中,然后执行出栈操作 6b → FLdI2 将WORD型参数压入堆栈 a9 → AddI2 栈顶两个WORD型元素相加,相加的结果置于栈顶 ad → SubI2 栈顶两个WORD型元素相减,相减的结果置于栈顶 b1 → MulI2 栈顶两个WORD型元素相乘,相乘的结果置于栈顶 好了,以上列出了一些操作码以及相应的含义,这里还有一份P-Code_OPCODES文档,这份文档是关于VB P-CODE虚拟机的说明文档,其阐述了操作码的解析原理(但是并不全,嘿嘿)。如果大家遇到了不熟悉的操作码的话,可以参考一下该文档,可能有帮助。 好了,这里我们首先来讲解clave2这个CrackMe,将其加载到ExDec看看都显示些什么。 这里我们可以看到开始于401CC0处,这里不能完全依然于ExDec,因为有时候它的分析不怎么准确,所以我们还是像上一章节一样手工来定位第一个操作码吧。 我们定位到入口点上面的API函数MethCallEngine。 这里我们给JMP MethCallEngine这一行设置一个断点,为了防止还有其他地方调用MethCallEngine,我们在JMP MethCallEngine这条指令上面单击鼠标右键选择-Follow定位到MethCallEngine的入口点,在入口点处也设置一个断点。 我们运行起来看看会不会触发刚刚设置的断点。 我们可以看到弹出了注册窗口,但是并没有触发我们设置的断点,说明在执行P-CODE之前注册窗口就产生了,可能有的程序执行PCODE在窗口产生之前,而我们这里刚好相反,其实这无关紧要,现在我们随便输入一个错误的用户名和序列号。 接着我们单击Registrar(注册)按钮,就会断在JMP MethCallEngine这一行,好,现在单击工具栏中的M按钮打开区段列表窗口定位到代码段(这里我们使用原版的OD,不用那个Patch过的OD,那个Patch过的OD对P-CODE应用程序并不奏效),对代码段设置内存访问断点。 接下来我们多运行几次,直到断在读取第一个操作码的指令处为止。 这里我们可以看到ESI指向了第一个操作码,并且该操作码将被保存到AL中。 和ExDec中显示的第一个操作码是位于401CC0处的04一致。 我们应该还记得上一章介绍过的04这个操作码是将后面紧跟的参数压入堆栈,这里该参数是EBP - 8C。 下面我们来看看P-CODE的说明文档中操作码是如何解析的,如下图: 04 567B 0B8E 2 1 2 就是将一个参数压入堆栈, 0B8E指的是对应参数的RVA(相对虚拟地址), 第一个2指的是所有参数所占的总字节数,接下来的一个1指的是参数的个数,最后的一个2指的是单个参数所占的字节数,由于这个例子只有一个参数,所以最后只有一个2,如果具有多个参数的话,后面会依次显示各个参数所占的字节数。 我们这里的第一个操作码所执行的操作即PUSH EBP - 8C,继续看下面的操作码,但是本章我们不跟上一章那样从头到尾跟踪每个操作码,这里我们只跟踪关键的操作码。 我们看到这两处VCALLHresult,都是读取文本框中用户输入的信息,第一个有可能是读取用户输入的用户名,第二个可能是读取用户输入的序列号,我们直接给401D4C地址处的操作码设置内存访问断点。 接着我们运行起来。 断了下来,继续往下跟踪直到读取下一个操作码的指令为止。 这里我们跟到了读取下一个操作码的指令处。 可以看到