[翻译]使用OllyDbg从零开始Cracking 第四十六章-Patrick的CrackMe-Part1-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[翻译]使用OllyDbg从零开始Cracking 第四十六章-Patrick的CrackMe-Part1

发表于: 2015-1-2 09:35 10716

[翻译]使用OllyDbg从零开始Cracking 第四十六章-Patrick的CrackMe-Part1

安于此生

2015-1-2 09:35

10716

前面已翻译章节列表:

[COLOR="Red"][FONT="Arial Black"][SIZE="6"]使用OllyDbg从零开始Cracking[/SIZE][/FONT][/COLOR]

Happy New Year!!!
祝各位童鞋技术突飞猛进!!!

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

使用OllyDbg从零开始Cracking 第四十六章-Patrick的CrackMe-Part1.doc （1.42MB，369次下载）
patrick.7z （207.21kb，234次下载）
Estricnina_v0.12.7z （256.32kb，232次下载）
pupe2002.7z （19.47kb，200次下载）
Parcheado_4.7z （496.24kb，219次下载）

收藏・4

免费・3

支持

最新回复 (14)
coffeemlx 雪币： 283 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 65 粉丝 0 关注私信	coffeemlx 2 楼沙发。哦来了 2015-1-2 10:11 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 3 楼等等等到了 2015-1-2 11:21 0
炎黄一脉雪币： 217 活跃值： (2578) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 73 粉丝 1 关注私信	炎黄一脉 4 楼楼主辛苦，新年快乐 2015-1-2 14:07 0
pobupobu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	pobupobu 5 楼楼主辛苦了，努力学习中。 2015-1-2 20:01 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 6 楼加油... 2015-1-2 20:13 0
airbar 雪币： 8719 活跃值： (2085) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 166 粉丝 0 关注私信	airbar 7 楼新年快乐，正在学习中！ 2015-1-2 20:21 0
checkmate 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 54 粉丝 0 关注私信	checkmate 8 楼呐。新年快乐 2015-1-2 20:32 0
小牛拉大车雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	小牛拉大车 9 楼谢谢楼主 2015-1-2 21:15 0
xingbing 雪币： 155 活跃值： (3321) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1165 粉丝 2 关注私信	xingbing 10 楼 Happy New Year!!! 2015-1-4 12:51 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 12 关注私信	地狱怪客 2 11 楼上镜。。 2015-1-5 08:29 0
bdpana 雪币： 36 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	bdpana 12 楼新年快乐 2015-1-6 08:13 0
JoanLin 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	JoanLin 13 楼楼主牛逼啊，请问原版地址在什么地方啊？ 2015-1-6 23:01 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 14 楼原地址:528K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0A6j5$3q4J5k6r3!0F1j5i4u0$3j5h3A6S2i4K6u0W2K9h3&6X3L8#2)9J5c8W2)9J5y4X3&6T1M7%4m8Q4x3@1t1`. 作者西班牙人 2015-1-6 23:03 0
残雪孤侠雪币： 160 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	残雪孤侠 17 楼补充，又过了3天，没在win7下面搞定，瞄了遍，跳过了。在win7下，快照函数，啥的，反正就是下面(前几天写的)里面提到的函数，应该不会影响到壳的异常终止。跑1遍，这些函数的调用，就跑去创建线程了，搞互斥体了，然后就终止了。过几天，再回头看吧 ---------------------------------------------------------------------------------------- 关于程序在x64位下OD运行出错，这个我用OD加载，无论怎么调试，在CreateToolHelpSnapsho后面的一个函数总是返回FFFFFFFF 参考这篇文章d9cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3j5h3&6&6j5$3g2D9L8q4)9J5c8X3q4J5N6r3W2U0L8r3g2Q4x3V1k6V1k6i4c8S2K9h3I4K6i4K6u0r3x3K6f1H3y4e0R3$3y4l9`.`. 其中PEB的地址被设置在PebBaseAddress中。但是64位进程的PEB头地址是保存在64位长度的地址中的（比如上面说道的系统进程Services.exe），而32位进程的PEB头地址只有32位长度。运行在64位系统上32位应用程序是如何将64位的PEB地址转换成32位地址的呢？如果64位PEB地址的高32位为0，则转换不会出现任何问题。但如果高32位也包含地址信息，那么WOW64（Windows 32-bit on Windows 64-bit，windows 64位系统上兼容32位应用程序的技术，作为由32位向64位程序的过渡方案）只是简单的将低32位的PEB地址赋给32位应用程序中的PebBaseAddress变量，当然就会发生错误了！于是Windows就会出发error 299并返回失败。出了GetModuleFileNameEx之外，还有EnumProcessModule和EnumProcessModuleEx 也会出现这样的问题，都是因为访问64位进程的PEB头的原因。CreateToolHelpSnapshot调用失败原因也与上面的原理类似。 2015-7-10 20:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

安于此生

103

发帖

2020

回帖

1760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
coffeemlx 雪币： 283 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 65 粉丝 0 关注私信	coffeemlx 2 楼沙发。哦来了 2015-1-2 10:11 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 3 楼等等等到了 2015-1-2 11:21 0
炎黄一脉雪币： 217 活跃值： (2578) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 73 粉丝 1 关注私信	炎黄一脉 4 楼楼主辛苦，新年快乐 2015-1-2 14:07 0
pobupobu 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	pobupobu 5 楼楼主辛苦了，努力学习中。 2015-1-2 20:01 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 6 楼加油... 2015-1-2 20:13 0
airbar 雪币： 8719 活跃值： (2085) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 166 粉丝 0 关注私信	airbar 7 楼新年快乐，正在学习中！ 2015-1-2 20:21 0
checkmate 雪币： 22 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 54 粉丝 0 关注私信	checkmate 8 楼呐。新年快乐 2015-1-2 20:32 0
小牛拉大车雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	小牛拉大车 9 楼谢谢楼主 2015-1-2 21:15 0
xingbing 雪币： 155 活跃值： (3321) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1165 粉丝 2 关注私信	xingbing 10 楼 Happy New Year!!! 2015-1-4 12:51 0
地狱怪客雪币： 341 活跃值： (153) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 12 关注私信	地狱怪客 2 11 楼上镜。。 2015-1-5 08:29 0
bdpana 雪币： 36 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	bdpana 12 楼新年快乐 2015-1-6 08:13 0
JoanLin 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	JoanLin 13 楼楼主牛逼啊，请问原版地址在什么地方啊？ 2015-1-6 23:01 0
安于此生雪币： 2673 活跃值： (3560) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 209 关注私信	安于此生 34 14 楼原地址:528K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4u0A6j5$3q4J5k6r3!0F1j5i4u0$3j5h3A6S2i4K6u0W2K9h3&6X3L8#2)9J5c8W2)9J5y4X3&6T1M7%4m8Q4x3@1t1`. 作者西班牙人 2015-1-6 23:03 0
残雪孤侠雪币： 160 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 48 粉丝 0 关注私信	残雪孤侠 17 楼补充，又过了3天，没在win7下面搞定，瞄了遍，跳过了。在win7下，快照函数，啥的，反正就是下面(前几天写的)里面提到的函数，应该不会影响到壳的异常终止。跑1遍，这些函数的调用，就跑去创建线程了，搞互斥体了，然后就终止了。过几天，再回头看吧 ---------------------------------------------------------------------------------------- 关于程序在x64位下OD运行出错，这个我用OD加载，无论怎么调试，在CreateToolHelpSnapsho后面的一个函数总是返回FFFFFFFF 参考这篇文章d9cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3j5h3&6&6j5$3g2D9L8q4)9J5c8X3q4J5N6r3W2U0L8r3g2Q4x3V1k6V1k6i4c8S2K9h3I4K6i4K6u0r3x3K6f1H3y4e0R3$3y4l9`.`. 其中PEB的地址被设置在PebBaseAddress中。但是64位进程的PEB头地址是保存在64位长度的地址中的（比如上面说道的系统进程Services.exe），而32位进程的PEB头地址只有32位长度。运行在64位系统上32位应用程序是如何将64位的PEB地址转换成32位地址的呢？如果64位PEB地址的高32位为0，则转换不会出现任何问题。但如果高32位也包含地址信息，那么WOW64（Windows 32-bit on Windows 64-bit，windows 64位系统上兼容32位应用程序的技术，作为由32位向64位程序的过渡方案）只是简单的将低32位的PEB地址赋给32位应用程序中的PebBaseAddress变量，当然就会发生错误了！于是Windows就会出发error 299并返回失败。出了GetModuleFileNameEx之外，还有EnumProcessModule和EnumProcessModuleEx 也会出现这样的问题，都是因为访问64位进程的PEB头的原因。CreateToolHelpSnapshot调用失败原因也与上面的原理类似。 2015-7-10 20:47 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复