EEPW论坛

　　本节教程将教大家如何去逆向分析和破解一个简单的C程序，需要大家熟悉基本的C语言语法，用到工具有：VC6、IDAPro、OD、UE等工具。

　　下面我们开始。

　　首先，我们用VC6写一个简单的密码验证程序，思路呢，很简单，就是让用户输入密码，然后用strcmp比较是否一样，一样的话提示正确，不正确的提示错误并重新输入。怎么样，简单吧!

　　运行起来试试，逻辑很简单，只有输入正确密码123456的时候才会打印YES然后结束程序，否则一直提示NO并且一直让你输入~

　　那现在，我们就来Crack掉它!让我们随意输密码都可以通过!怎么样，够酷吧!

　　OK，开始!

　　首先，用IDAPro打开我们用VC6写好的这个密码验证程序，打开流程图，如下：

　　在这个就像这个程序的流程图中，我们可以看到里面的字符串，譬如“please input passwd”以及“yes”和“no”。并且可以看到yes和no位于两个“中”，很明显是两个处理流程。在它们上面同一个处理块结尾最后注意有一句：jnz short loc_401073 这就是一句跳转语句，jnz意思为不相等则跳转的意思，后面带一个地址。所以灵感来了，直接在这里进行更改。比如可以把jnz(不相等则跳转)换成jz(相等跳转)，可想程序将大变!

　　改动之前，需要先知道一个公式，即：文件偏移地址 = 虚拟内存地(VA)址 – 装载基址(image base) – 节偏移

　　我们现在可以用IDA查看jnz的所在指令地址，但仅仅是虚拟内存地址，而装载基址在windows中PE程序一般都是0x00400000，节偏移可以用另一个工具找到。OK继续

　　接下来就查地址，继续动工。首先，鼠标点击jnz命令让光标停留在这里，单后空格切换到对应的指令，查看该语句所在的地址位置。

　　看到了吗?在text段的00401062处! OK，先记下来，一会用

　　这个时候，IDA可以退下了…

　　然后，启动另一个工具，loadPE，这个干啥用的呢?答：算算咱们代码在这个程序中的节偏移!如下：

　　先启动

　　然后点击PE Editor 选中我们的exe目标程序，然后点击section，如下图

　　怎么算节偏移呢?用VOffset减去ROffset即可，当然这里很明显为零嘛(虽然感觉没啥用，大多数都是0，不过算算好)

　　这个时候考数学了，直接带入公式算吧，文件偏移地址就是：00401062 – 0x400000-0 答案就是1062! 哦不应该是0x00001062!

　　那么，好了，最后启动大名鼎鼎的UE修改工具!加载它!

　　搜索地址0x00001062如图：

　　然后将75改为74即可!

　　为啥? 答：因为jz的机器码就是74!

　　最后保存!大功告成!

　　再运行看看，随便输个密码：

　　敲回车!看看~咩哈哈哈~

　　看到效果了吗? 照着做一遍吧!

 金堤古方国医堂祝大家学习愉快！

http://www.jdgfgyt.com/ http://www.jdgfgyt.com/m