C++博客-小默-随笔分类-Tools

phpmyadmin

小默 — Sat, 24 Sep 2011 14:09:00 GMT

Install:

# yum install phpmyadmin

Config:

# vim /usr/share/phpMyAdmin/config.inc.php

$cfg['blowfish_secret'] = 'colorfulgreen'; /* YOU MUST FILL IN THIS FOR COOKIE AUTH! */

Run:
# /etc/init.d/mysqld start
# service httpd start

http://localhost/phpMyAdmin/

小默 2011-09-24 22:09 发表评论

django debug toolbar

小默 — Tue, 14 Jun 2011 09:40:00 GMT

下载:https://github.com/dcramer/django-debug-toolbar

有两个branches, master可以看sql语句执行的代码流.

安装:

$ tar zxvf robhudson-django-debug-toolbar-7ba80e0.tar.gz
$ cd robhudson-django-debug-toolbar-7ba80e0
$ python ./setup.py build
$ sudo python ./setup.py install

从python shell里import正常,就表示安装正常:

>>> import debug_toolbar
>>>

配置:

在app的settings.py中加入下面的内容.

MIDDLEWARE_CLASSES = (

    'debug_toolbar.middleware.DebugToolbarMiddleware',
)

INSTALLED_APPS = (

    'debug_toolbar'
)

TEMPLATE_DIRS = (

    '/Library/Python/2.6/site-packages/django_debug_toolbar-0.8.3-py2.6.egg/debug_toolbar/templates/', #按需修改！指向 debug_toolbar 的模板目录。
)

DEBUG_TOOLBAR_PANELS = (
             'debug_toolbar.panels.version.VersionDebugPanel',
             'debug_toolbar.panels.timer.TimerDebugPanel',
             'debug_toolbar.panels.settings_vars.SettingsVarsDebugPanel',
             'debug_toolbar.panels.headers.HeaderDebugPanel',
             'debug_toolbar.panels.request_vars.RequestVarsDebugPanel',
             'debug_toolbar.panels.template.TemplateDebugPanel',
             'debug_toolbar.panels.sql.SQLDebugPanel',
             'debug_toolbar.panels.signals.SignalDebugPanel',
             'debug_toolbar.panels.logger.LoggingPanel'
  )

INTERNAL_IPS = ('127.0.0.1',)      # 从哪些ip访问站点时显示toolbar.

然后,就没有然后了...访问站点时,会在每个网页的右侧显示一个toolbar...

--

from:http://www.kuangxuqing.com/posts/16700.html#django_debug_toolbar

小默 2011-06-14 17:40 发表评论

安装MYSQL后，Apache http server 遇到问题需要关闭

小默 — Mon, 19 Apr 2010 05:04:00 GMT

把MYSQL下的libmysql.dll拷贝到系统目录下- -

小默 2010-04-19 13:04 发表评论

80端口被占用

小默 — Tue, 13 Apr 2010 11:58:00 GMT

装Apache提示80端口被占用
cmd，netstat -ano，占用80端口的程序pid为1168

C:\Documents and Settings\Administrator>netstat -ano

Active Connections

Proto Local Address Foreign Address State PID
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 1168

打开任务管理器，查看->选择列，加上pid
pid=1168的是Thunder5.exe
迅雷BT的TCP端口是80，改了

小默 2010-04-13 19:58 发表评论

install samba for Fedora10

小默 — Tue, 23 Mar 2010 08:08:00 GMT

install
error: can't create transaction lock on /var/lib/rpm/__db.000 (没有那个文件或目录)

Error: Missing Dependency: perl(Convert::ASN1) is needed by package samba-3.0.33-3.7.el5.i386 (base)

[root@colorfulgreen Packages]# rpm -ivh perl-Convert-ASN1-0.21-3.fc9.noarch.rpm

[root@colorfulgreen Packages]# rpm -ivh samba*.rpm

warning: samba-3.2.4-0.22.fc10.i386.rpm: Header V3 DSA signature: NOKEY, key ID 4ebfc273
//samba not in "\ect\init.d\" at this time,then...

rpm -ivh samba-3.2.4-0.22.fc10.i386.rpm

Add Shares
edit the config file:

[root@colorfulgreen Packages]# sudo gedit /etc/samba/smb.conf

Add shares at the end of the file:

[netshare]
    path = /home/green/netshare
    public = yes
    writable = yes

Add Users

[root@colorfulgreen Packages]# sudo smbpasswd -a green
New SMB password:
Retype new SMB password:
Added user green.

Start Samba Service

[root@colorfulgreen /]# /etc/init.d/smb start
启动 SMB 服务： [确定]

//enable samba in both runlevel 3 and 5.This will make sure to run Samba each time Fedora boots.

[root@colorfulgreen /]# /sbin/chkconfig --list smb
smb 0:关闭 1:关闭 2:关闭 3:关闭 4:关闭 5:关闭 6:关闭
[root@colorfulgreen /]# /sbin/chkconfig --level 35 smb on
[root@colorfulgreen /]# /sbin/chkconfig --list smb
smb 0:关闭 1:关闭 2:关闭 3:启用 4:关闭 5:启用 6:关闭

//Restart Samba for every change to users/pws or 'smb.conf'

[root@colorfulgreen /]# /etc/init.d/smb restart
关闭 SMB 服务： [确定]
启动 SMB 服务： [确定]

Managing Security for Samba
Firewall:default block Samba,allow access...

[root@colorfulgreen /]# system-config-firewall

SELinux:restrict different parts of Samba...

[root@colorfulgreen /]# system-config-selinux

[root@colorfulgreen green]# smbclient -L 192.168.1.101 -U administrator
Enter administrator's password:

小默 2010-03-23 16:08 发表评论

SourceInsight linux内核汇编 .s

小默 — Fri, 05 Feb 2010 18:31:00 GMT

Options->Document Options->Doucment Types->Select X86 Asm Source File
在File Filter里添加*.S即可

小默 2010-02-06 02:31 发表评论

(zz)vmware 网络配置实例二 windows xp host + linux guest

小默 — Fri, 05 Feb 2010 15:53:00 GMT

b:895a48bc69] 版权属yunqing所有，首发chinaunix.net，转贴引用请包含此行声明[/b:895a48bc69]

正文：

本人使用的是vmware workstation 4.52，host机器运行的是windows Xp professional ，如果你还在使vmware workstation 4.0建议下载一个升级包，不过我想即使不做问题也不大。

1。安装 vmware workstation，很简单，一路ok过去，相信大部分朋友已经装好。

2。创建新的guest系统。选择类型。因为我以发生问题最多的redhat 9做试验，所以就选redhat linux，选custom，网络接口选hostonly（如果你已经安装好了，用了nat或bridge也没有关系，在虚拟机的属性里改成hostonly就行了。）

3。创建后启动虚拟机，插入安装rh9的第一张盘。选择定制安装，我只保留了gonme, X，和graphical internet,节省安装空间和时间。

4。安装过程很顺利，没有问题，完成后重新启动虚拟机，发现在更新fstab的时候挂了起来，估计是连接cdrom活软盘时候超时。kill掉虚拟机，更改设置，把光驱和软盘的autoconnect when power on清除掉。重启虚拟机，没有问题，进入最后设置，声卡，图形界面均没有问题。

5。按照要求在虚拟机里安装vmware-tool,对鼠标和图形进行更好地支持。

如果你在图形界面下，首先要切换到文本模式。

右键点击桌面，打开一个終端

在終端里：

#/sbin/telinit 3

图形界面消失，敲回车几下，在文本方式下登录。

在windows的vmware的窗口菜单中选vm->install vmware tools

在虚拟机中：

mount /dev/cdrom /mnt/cdrom

cd /tmp

tar zxf /mnt/cdrom/vmware-linux-tools.tar.gz

cd vmware-tools-distrib

./vmware-install.pl

回答并设置屏幕分辨率，除了分辨率需要选择外，直接回车就行了。

返回到默认的图形界面（运行级别5）

/sbin/telinit 5

6.登录虚拟机，打开一个終端：

/sbin/ifconfig

发现eth0没有起来。

不要惊慌。

－－－－－－－－－－－－－以下是网络设置－－－－－－－－－－－－－－－

7。到windows XP 中，查看所有的网络连接，你应该发现除了原有的网卡之外，又多了Vmnet1和Vmnet8。如果你看了一下说明书应该知道，vmnet1是hostonly的接口，而Vmnet8是使用NAT的网络接口。在这里我们既不想用VMWARE自带的DHCP也不想用他的NAT所以我们知关心VMnet1

在进一步操作之前先说一下idea:

我们将使用hostonly这个网络接口连接虚拟机和主机，然后利用windows Xp/2000里面自带的internet连接共享（实际上是一个简单的路由NAT)来让虚拟机通过原来的网卡进行外网的访问。

那么为什么不使用桥接的方式呢，我在前一篇文章（linux host + windows guest)里面已经有些讨论，请参考。不过最现实的原因是桥接需要一个不同于原主机上的另外一个独立的IP地址，这对于有些情况（IP和MAC绑定，网管不同意），比较难办到。

OK， let's go

（1）查看你的连接外网的网卡的属性，选择“高级”标签，设置成允许共享，并设定允许的网络接口为VMNET1,如下图。

(2)再插看一下你的VMnet1 的属性，看一下TCP/IP协议的设置，你发现已经被自动设置为192.168.0.1/255.255.255.0，如下图。

（3）windows下的设置完成，转入到跑linux的虚拟机。将你的eth0的ip地址设置为静态的（如果安装时没有选静态的话）

（4）windows下的设置完成，转入到跑linux的虚拟机。将你的eth0的ip地址设置为静态的（如果安装时没有选静态的话）。

按红帽子图标－＞系统设置－＞网络（或其它你了解的方法）

ip： 192.168.0.2(或其它在此网段上的地址）

netmask: 255.255.255.0

default gateway: 192.168.0.1

dns:输入你自己的DNS

保存设置。如果你还没有设置好主机名称：

cd /etc/sysconfig

vi network

编辑HOSTNAME

cd /etc

vi hosts

加入：

192.168.0.2 yourhostname

重新启动服务

/sbin/service network restart

(4)测试一下

网关： ping 192.168.0.1

dns: ping dnsserver

另请参阅：

vmware 配置实例一 linux host + windows guest + firewall

http://bbs.chinaunix.net/forum/viewtopic.php?t=367907&highlight=yunqing

vmware 网络设置三：理解虚拟网络的类型

http://bbs.chinaunix.net/forum/viewtopic.php?t=376768&highlight=yunqing

小默 2010-02-05 23:53 发表评论

[zz]虚拟机Virtual PC，Vmware里安装SoftICE

小默 — Wed, 06 Jan 2010 10:28:00 GMT

标题: 虚拟机Virtual PC，Vmware里安装SoftICE
作者: CCDebuger
详细信息:

1、Virtual PC：
看雪论坛 Phoenix 的方法：
就是用TRW2000的时候虚拟的98系统里不能有VPC的附加模块存在，已经装了的要完全卸载掉。

昨天弄了一下，开始我的也不能正常运行，不对，应该说不能正常显示调试窗口，在虚拟的98里按CTRL+N试图呼出TRW2000，没有反应，但是把VPC的窗口最小化再最大化强行刷新，发现TRW2000的黑糊糊的调试窗口出来了，原来TRW2000运行了只是调试窗口不能正常显示联想到以前在VMWARE里面用TRW2000也不正常，但是把VMWARE的附加模块VMTOOLS卸载后就正常了（我原来安装了），所以我在虚拟的98里把以前安装的VPC的附加模块也卸掉试了一下，BINGO！成功了，就是我上面的截图，现在可以正常用了，跟程序也没问题了，但是虚拟系统里没有附加模块用起来很不爽，我是这样解决的，装好98，在虚拟98系统里装附加模块，把TRW2000拷进去，关闭虚拟98系统，然后打开虚拟机的还原功能，这样我每次用TRW2000的时候把附加模块完全卸载掉就可以正常用了，关闭虚拟系统的时候选择还原所有硬盘更新，这样因为有还原，所以每次虚拟系统启动后附加模块还是能用，我的VPC是5.2版。

2、Vmware WorkStation：
官方解释：
①
在Vmware WorkStation 安装目录下有个配置文件（可以直接用记事本打开编辑）*.vmx,先关了VM,再在 VM的配置文件.vmx 末尾添加下面两行:
vmmouse.present="FALSE"
svga.maxFullscreenRefreshTick="5"

②
若采用官方提供方法不行，请用文本编辑器打开虚拟机的配置文件 (.vmx)，添加以下两行：

vmmouse.present = FALSE
svga.forceTraces = "TRUE"

这样在 SoftICE 中中断，若原来你的鼠标及屏幕失去响应，你的虚拟操作系统挂起时此时会正常。

添加这两行可以让你的 SoftICE 在虚拟机中运行，但是会降低虚拟操作系统的性能。建议在不使用 SoftICE 时去掉这两行。
有时就算配置了以上的选项，按 Ctrl-D 的时候也不会显示 SoftICE 窗口且你的鼠标及屏幕也失去了响应。此时再按 Ctrl-D 退出 SoftICE，然后按下面解释的方法来让 SoftICE 运行在 VGA 模式：

打开命令行窗口 (例如，选择开始 > 运行，输入 cmd 然后点击确定)。
按 Alt-Enter 进入 VGA 模式。
按 Ctrl-D 调出 SoftICE。

小默 2010-01-06 18:28 发表评论

SoftICE - Matching PDB file not found

小默 — Wed, 06 Jan 2010 09:35:00 GMT

因为SoftICE不支持中文路径名字. 文件路径中没有中文就可以了

小默 2010-01-06 17:35 发表评论

[zz]失业的娱乐-IDA逆向工程入门(四)-汇编程序实战

小默 — Fri, 25 Dec 2009 04:12:00 GMT

【文章标题】: 失业的娱乐-IDA逆向工程入门(四)-汇编程序实战
【文章作者】: layper
【作者邮箱】: layper@yahoo.com.cn
【作者主页】: http://blog.csdn.net/layper/
【软件名称】: biatch
【下载地址】: 自己搜索下载
【使用工具】: IDA,Radasm,Resource Hacker
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  这段时间忙着学习网页制作,刚刚初学,N多问题要学习,搞得我头晕脑涨.现在放松一下,继续逆向玩玩.:)

  汇编程序在逆向工程中是比较简单的一种语言,反汇编得到的代码基本上与源码差不多,只是稍微作点修改就可以了.前面的
  几篇都是有源码对照的例子,这篇我们进行实战,没有源码.:)

  这是老外的一个工具biatch,今天拿他开刀.

  IDA载入完成后,文件-创建文件-创建asm文件保存为1.asm。接着用Resource Hacker载入biatch,保存对话框资源为1.rc。

  用RadASM载入1.asm，好了初步工作完成了,接下来先按照上次我写的第三篇步骤来修改.

  (一)增加模式定义\options语句\还原include\lib语句

  在IDA中Shift+F7打开区段窗口接着双击.idata来到.idata段,
  .idata:00403000 ;
  .idata:00403000 ; Imports from comdlg32.dll注意这里,使用comdig32.dll
  .idata:00403000 ;
  .idata:00403000 ; 屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?
  .idata:00403000
  .idata:00403000 ; Segment type: Externs
  .idata:00403000 ; _idata
  .idata:00403000 ; BOOL __stdcall GetOpenFileNameA(LPOPENFILENAMEA)
  .idata:00403000                 extrn __imp_GetOpenFileNameA:dword
  .idata:00403000                                         ; DATA XREF: GetOpenFileNameAr
  .idata:00403000                                         ; Create an Open common dialog box
  .idata:00403004
  .idata:00403008 ;
  .idata:00403008 ; Imports from gdi32.dll注意这里,使用gdi32.dll
  .idata:00403008 ;
  .idata:00403008 ; HFONT __stdcall CreateFontIndirectA(const LOGFONTA *)
  .idata:00403008                 extrn __imp_CreateFontIndirectA:dword
  .idata:00403008                                         ; DATA XREF: CreateFontIndirectAr
  .idata:0040300C ; BOOL __stdcall DeleteObject(HGDIOBJ)
  .idata:0040300C                 extrn __imp_DeleteObject:dword ; DATA XREF: DeleteObjectr
  .idata:00403010
  .idata:00403014 ;
  .idata:00403014 ; Imports from kernel32.dll注意这里,使用kernel32.dll
  .idata:00403014 ;
  .idata:00403014 ; LPTOP_LEVEL_EXCEPTION_FILTER __stdcall SetUnhandledExceptionFilter(LPTOP_LEVEL_EXCEPTION_FILTER lpTopLevelExceptionFilter)
  .idata:00403014                 extrn __imp_SetUnhandledExceptionFilter:dword
  .idata:00403014                                         ; DATA XREF: SetUnhandledExceptionFilterr
  .idata:00403018 ; HANDLE GetProcessHeap(void)
  .idata:00403018                 extrn __imp_GetProcessHeap:dword
  .idata:00403018                                         ; DATA XREF: GetProcessHeapr
  .idata:0040301C ; BOOL __stdcall CloseHandle(HANDLE hObject)
  .idata:0040301C                 extrn __imp_CloseHandle:dword ; DATA XREF: CloseHandler
  .idata:00403020 ; HANDLE __stdcall CreateFileA(LPCSTR lpFileName,DWORD dwDesiredAccess,DWORD dwShareMode,LPSECURITY_ATTRIBUTES lpSecurityAttributes,DWORD dwCreationDisposition,DWORD dwFlagsAndAttributes,HANDLE hTemplateFile)
  .idata:00403020                 extrn __imp_CreateFileA:dword ; DATA XREF: CreateFileAr
  .......................
  ........................

  .idata:00403040 ; HMODULE __stdcall GetModuleHandleA(LPCSTR lpModuleName)
  .idata:00403040                 extrn __imp_GetModuleHandleA:dword
  .idata:00403040                                         ; DATA XREF: GetModuleHandleAr
  .idata:00403044 ; void __stdcall ExitProcess(UINT uExitCode)
  .idata:00403044                 extrn __imp_ExitProcess:dword ; DATA XREF: ExitProcessr
  .idata:00403048 ; LPVOID __stdcall HeapAlloc(HANDLE hHeap,DWORD dwFlags,DWORD dwBytes)
  .idata:00403048                 extrn __imp_HeapAlloc:dword ; DATA XREF: HeapAllocr
  .idata:0040304C
  .idata:00403050 ;
  .idata:00403050 ; Imports from user32.dll注意这里,使用user32.dll
  .idata:00403050 ;
  .idata:00403050 ; LONG __stdcall SetWindowLongA(HWND hWnd,int nIndex,LONG dwNewLong)
  .idata:00403050                 extrn __imp_SetWindowLongA:dword
  .idata:00403050                                         ; DATA XREF: SetWindowLongAr
                  .................................

  .idata:00403098                 extrn __imp_CheckDlgButton:dword
  .idata:00403098                                         ; DATA XREF: CheckDlgButtonr
  .idata:00403098                                         ; Change the check state of a button control
  .idata:0040309C ; LRESULT __stdcall CallWindowProcA(WNDPROC lpPrevWndFunc,HWND hWnd,UINT Msg,WPARAM wParam,LPARAM lParam)
  .idata:0040309C                 extrn __imp_CallWindowProcA:dword
  .idata:0040309C                                         ; DATA XREF: CallWindowProcAr
  .idata:004030A0 ; BOOL __stdcall ShowWindow(HWND hWnd,int nCmdShow)
  .idata:004030A0                 extrn __imp_ShowWindow:dword ; DATA XREF: ShowWindowr
  .idata:004030A4 ; int wsprintfA(LPSTR,LPCSTR,...)
  .idata:004030A4                 extrn __imp_wsprintfA:dword ; DATA XREF: wsprintfAr
  .idata:004030A8

  从这里知道了用到四个dll,即comdlg32.dll、gdi32.dll、kernel32.dll、user32.dll，所以我们还原的include和includelib就要包含
  这几个dll。

  所以把
      .686p
      .mmx
      .model flat
  还原成:
      .686p
      .mmx
      .model flat,stdcall
      option casemap:none
      include WINDOWS.INC
      include comdlg32.inc
      includelib comdlg32.lib
      include gdi32.inc
      includelib gdi32.lib
      include kernel32.inc
      includelib kernel32.lib
      include user32.inc
      includelib user32.lib
  删除前面的.idata段.

  (二)删除结构
  在RadASM中Ctrl+F5试着构建并运行,有错误提示.
  D:\masm32\Include\WINDOWS.INC(9666) : error A2163:  : LOGFONTA
  D:\masm32\Include\WINDOWS.INC(9667) : error A2163:  : LOGFONTA
  D:\masm32\Include\WINDOWS.INC(9668) : error A2163:  : LOGFONTA
  D:\masm32\Include\WINDOWS.INC(9669) : error A2163:  : LOGFONTA
  D:\masm32\Include\WINDOWS.INC(9670) : error A2163:  : LOGFONTA

  从这里可以判断1.asm的LOGFONTA导致出错,删除LOGFONTA结构(在开头处).把tagOFNA结构移动到includelib user32.lib后面.

  (三)修改移动_data段
  在_text段前增加
  .data

  把_data全部移到.data之后
  删除_data段开头的
  _data    segment  para public 'DATA' use32
      assume cs:_data
  和_data末尾的
  _data    ends

  注意:中间的代码不要删除!!!

  (四)修改_text段
  加上.code
  _text    segment  para public 'CODE' use32   ;在这之前加上.code

  删除_text开头的
  _text    segment  para public 'CODE' use32
      assume cs:_text
      ;org 401000h
      assume es:nothing, ss:nothing, ds:_data, fs:nothing, gs:nothing
  和_text末尾的
  _text    ends

  注意:中间的代码不要删除!!!

  (五)修改hWnd错误
  在RadASM中Ctrl+F5试着构建并运行,有错误提示.

  D:\crack\国外工具\tf10\1.asm(834) : error A2005:  : hWnd
  D:\crack\国外工具\tf10\1.asm(1286) : error A2005:  : hWnd
  D:\crack\国外工具\tf10\1.asm(1499) : error A2005:  : hWnd
  D:\crack\国外工具\tf10\1.asm(1640) : error A2005:  : hWnd
  D:\crack\国外工具\tf10\1.asm(2609) : error A2189:  : 128
  D:\crack\国外工具\tf10\1.asm(821) : error A2005:  : hWnd
  D:\crack\国外工具\tf10\1.asm(1277) : error A2005:  : hWnd
  D:\crack\国外工具\tf10\1.asm(1489) : error A2005:  : hWnd
  D:\crack\国外工具\tf10\1.asm(1629) : error A2005:  : hWnd

  在.data段寻找hWnd
  ; HWND hWnd
  hWnd    dd 0      ; DATA XREF: DialogFunc+241r
            ; DialogFunc+264w DialogFunc+26Dr
            ; DialogFunc+28Br DialogFunc+29Dr
            ; sub_401500+9r ...
  这个提示两个函数DialogFunc和sub_401500用到这个全局变量hWnd,其他函数的hWnd错误的地方。我们
逐条寻找出错位置
1.asm(834) : error A2005:  : hWnd
这条错误在
sub_401500  proc near    ; CODE XREF: DialogFunc+21Fp

var_18    = dword  ptr -18h
var_14    = dword  ptr -14h
var_10    = dword  ptr -10h
var_C    = dword  ptr -0Ch
hWnd    = dword  ptr -8    ;这里出错,这里的局部变量hWnd与全局变量hWnd冲突,修改为hWnd1
lpMem    = dword  ptr -4
hDlg    = dword  ptr  8
在IDA中打开Functions窗口,找到sub_401500,
sub_401500                  .text 00401500 00000291 R . . . B T .
双击来到sub_401500处
.text:00401500 sub_401500      proc near               ; CODE XREF: DialogFunc+21Fp
.text:00401500
.text:00401500 var_18          = dword ptr -18h
.text:00401500 var_14          = dword ptr -14h
.text:00401500 var_10          = dword ptr -10h
.text:00401500 var_C           = dword ptr -0Ch
.text:00401500 hWnd            = dword ptr -8    ;修改这里为hWnd1
.text:00401500 lpMem           = dword ptr -4
.text:00401500 hDlg            = dword ptr  8
在hWnd上右键-重命名把hWnd为hWnd1.
注意:推荐在IDA里面重命名hWnd,经过修改后IDA自动识别全局变量hWnd和hWnd1比手动快,而且正确率高.

继续查找
1.asm(1286) : error A2005:  : hWnd
错误在
sub_401810  proc near    ; CODE XREF: sub_401380+130p

hWnd    = dword  ptr -8    ;在IDA中修改为hWnd1
lpMem    = dword  ptr -4
hDlg    = dword  ptr  8

1.asm(1499) : error A2005:  : hWnd
找到
sub_401A10  proc near    ; CODE XREF: DialogFunc+233p

var_8    = dword  ptr -8
hWnd    = dword  ptr -4    ;在IDA中修改为hWnd1
hDlg    = dword  ptr  8

1.asm(1640) : error A2005:  : hWnd
找到
sub_401B6C  proc near    ; DATA XREF: DialogFunc+9Eo
          ; DialogFunc+CBo sub_401380+57o

hWnd    = dword  ptr  8    ;这个不是局部变量了
Msg    = dword  ptr  0Ch
wParam    = dword  ptr  10h
lParam    = dword  ptr  14h

因为这里不是局部变量了,我们先修改前面三个函数(或者子程序),sub_401500,sub_401810,sub_401A10.
保存修改后的代码为2.asm,接着把1.asm里的sub_401500,sub_401810,sub_401A10这三个函数全部用2.asm
里的sub_401500,sub_401810,sub_401A10替换掉.

接着在RadASM中Ctrl+F5构建并运行,
D:\crack\国外工具\tf10\1.asm(1640) : error A2005:  : hWnd
D:\crack\国外工具\tf10\1.asm(2609) : error A2189:  : 128
D:\crack\国外工具\tf10\1.asm(1629) : error A2005:  : hWnd

看来sub_401B6C的hWnd也要改掉,在IDA中修改后覆盖到1.asm里,
D:\crack\国外工具\tf10\1.asm(2609) : error A2189:  : 128

hWnd没有出现错误了.

(五)删除align

1.asm(2609) : error A2189:  : 128  ;这里就是align,直接删除了

(六)修改fs[0]
前面几篇都没有涉及到这个内容,这里就出现关于fs[0]的出错代码的修改.
D:\crack\国外工具\tf10\1.asm(1950) : error A2206:
D:\crack\国外工具\tf10\1.asm(1951) : error A2206:
D:\crack\国外工具\tf10\1.asm(1971) : error A2206:

这几行在1.asm对应的代码是sub_401D80中
    push  large dword ptr  fs:0
    mov  large fs:0, esp
    pop  large dword ptr  fs:0
这几行代码都在

D:\crack\国外工具\tf10\1.asm(2010) : error A2206:
D:\crack\国外工具\tf10\1.asm(2011) : error A2206:
D:\crack\国外工具\tf10\1.asm(2054) : error A2206:

这几行在1.asm对应的代码是sub_401DE0中
    push  large dword ptr  fs:0
    mov  large fs:0, esp
    pop  large dword ptr  fs:0

D:\crack\国外工具\tf10\1.asm(2422) : error A2206:
D:\crack\国外工具\tf10\1.asm(2423) : error A2206:
D:\crack\国外工具\tf10\1.asm(2478) : error A2206:
这几行在1.asm对应的代码是sub_402050中
    push  large dword ptr  fs:0
    mov  large fs:0, esp
    pop  large dword ptr  fs:0

D:\crack\国外工具\tf10\1.asm(2536) : error A2206:
D:\crack\国外工具\tf10\1.asm(2537) : error A2206:
D:\crack\国外工具\tf10\1.asm(2581) : error A2206:
这几行在1.asm对应的代码是sub_4020F0中
    push  large dword ptr  fs:0
    mov  large fs:0, esp
    pop  large dword ptr  fs:0
这几句代码的写法不正确,我们把他们改为
    push  fs:[0]
    mov  fs:[0], esp
    pop  fs:[0]
试构建运行看看
D:\crack\国外工具\tf10\1.asm(1950) : error A2108:
D:\crack\国外工具\tf10\1.asm(1951) : error A2108:
D:\crack\国外工具\tf10\1.asm(1971) : error A2108:
D:\crack\国外工具\tf10\1.asm(2010) : error A2108:
D:\crack\国外工具\tf10\1.asm(2011) : error A2108:
D:\crack\国外工具\tf10\1.asm(2054) : error A2108:
D:\crack\国外工具\tf10\1.asm(2422) : error A2108:
D:\crack\国外工具\tf10\1.asm(2423) : error A2108:
D:\crack\国外工具\tf10\1.asm(2478) : error A2108:
D:\crack\国外工具\tf10\1.asm(2536) : error A2108:
D:\crack\国外工具\tf10\1.asm(2537) : error A2108:
D:\crack\国外工具\tf10\1.asm(2581) : error A2108:

还是提示出错,经过认真观察,参考了其他代码,我在函数sub_401D80,sub_401DE0,sub_4020F0,sub_4020F0开头处加上一句
代码:
    assume fs:nothing

查一下资料,因为MASM编译器默认是把FS定义为error,所以在程序中要使用FS寄存器就要用
  assume   fs:nothing   来声明，否则就会报错。
构建运行
D:\masm32\BIN\ML.EXE /c /coff /Cp /nologo /I"D:\masm32\Include" "D:\crack\国外工具\tf10\1.asm"
Assembling: D:\crack\国外工具\tf10\1.asm
D:\masm32\BIN\LINK.EXE /SUBSYSTEM:WINDOWS /RELEASE /VERSION:4.0 /LIBPATH:"D:\masm32\LIB" "D:\crack\国外工具\tf10\1.obj"
Microsoft (R) Incremental Linker Version 5.12.8078
Copyright (C) Microsoft Corp 1992-1998. All rights reserved.

执行:
"D:\crack\国外工具\tf10\1.exe"

构建完成.
总共编译时间 781 毫秒

无错误提示,呵呵,我们逆向的代码初步成功了.

(七)加入资源
我们试运行1.exe发现没有出现界面,这个就是没有把资源加回去才出现这种错误的.

利用Resource Hacker生成的1.rc修改后用makefile文件把资源文件编译进去.

1.rc所做的修改如下:
增加
#include

删除掉
LANGUAGE LANG_NEUTRAL, SUBLANG_NEUTRAL

makefile文件:
NAME = 1
OBJS = $(NAME).obj
RES  = $(NAME).res

LINK_FLAG = /subsystem:windows
ML_FLAG = /c /coff

$(NAME).exe: $(OBJS) $(RES)
  Link $(LINK_FLAG) $(OBJS) $(RES)

.asm.obj:
  ml $(ML_FLAG) $<
.rc.res:
  rc $<

clean:
  del *.obj
  del *.res

注意:这里编译我直接用命令行形式编译,不用RadASM.

呵呵,现在你已经拥有一份不太完善的biatch的源码了.

汇编程序的逆向工程就告一段落了.我这里演示的只是一部分还原方法或注意事项,在实际应用当中
并不是仅仅这几步内容(比如优化就是非常重要),这个就要多多进行练习来提高水平了。

--------------------------------------------------------------------------------
【版权声明】: 转载请注明作者并保持文章的完整, 谢谢!

                                                       2007年03月30日 0:46:41

小默 2009-12-25 12:12 发表评论

[zz]失业的娱乐-IDA逆向工程入门(三)

小默 — Fri, 25 Dec 2009 04:10:00 GMT

【文章标题】: 失业的娱乐-IDA逆向工程入门(三)-汇编程序(2)
【文章作者】: layper
【作者邮箱】: layper@yahoo.comcn
【作者主页】: http://blog.csdn.net/layper/
【下载地址】: 自己搜索下载
【编写语言】: asm
【使用工具】: IDA\reshack\radasm\
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  多谢大家的支持,特别是fly还关心我的工作问题,无已回报,只能继续写些小文供大家批评了!!!

  上一篇我们所逆的是非常简单的win32汇编,总共才两个api函数,一个消息框和ExitProcess函数,这篇我们就涉及一个真正的窗口
  程序firstwindows,我学汇编是看了罗云彬的《windows环境下汇编语言程序设计》才入门的,我直接拿里面的例子来讲吧,如果作
  者觉得不合适,我会删去的!!!!!

  顺便讲一下学习逆向工程的方法,这个跟学脱壳方法类似,你先用一种语言写一个程序(刚开始比较简单的),编译后用IDA或者
  其他工具反汇编,观察源代码和反汇编代码有什么异同,想办法在逆向代码中逐渐靠近源代码,最后再把他整理到编译工具中不
  断编译,在编译器中看那里出错,逐步修改,直至成功,最后总结经验,这样就会逐步提高了.

  限于篇幅,我只把完整源码贴出来,未修改的反汇编在压缩包内的1.asm,请自行查看
  firstwindows源码

  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  ; Sample code for < Win32ASM Programming >
  ; by 罗云彬, http://asm.yeah.net
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  ; FirstWindow.asm
  ; 窗口程序的模板代码
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  ; 使用 nmake 或下列命令进行编译和链接:
  ; ml /c /coff FirstWindow.asm
  ; Link /subsystem:windows FirstWindow.obj
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
      .386
      .model flat,stdcall
      option casemap:none
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  ; Include 文件定义
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  include    windows.inc
  include    gdi32.inc
  includelib  gdi32.lib
  include    user32.inc
  includelib  user32.lib
  include    kernel32.inc
  includelib  kernel32.lib
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  ; 数据段
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
      .data?

  hInstance  dd    ?
  hWinMain  dd    ?

      .const

  szClassName  db  'MyClass',0
  szCaptionMain  db  'My first Window !',0
  szText    db  'Win32 Assembly, Simple and powerful !',0
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  ; 代码段
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
      .code
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  ; 窗口过程
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  _ProcWinMain  proc  uses ebx edi esi,hWnd,uMsg,wParam,lParam
      local  @stPs:PAINTSTRUCT
      local  @stRect:RECT
      local  @hDc

      mov  eax,uMsg
  ;********************************************************************
      .if  eax ==  WM_PAINT
        invoke  BeginPaint,hWnd,addr @stPs
        mov  @hDc,eax

        invoke  GetClientRect,hWnd,addr @stRect
        invoke  DrawText,@hDc,addr szText,-1,\
          addr @stRect,\
          DT_SINGLELINE or DT_CENTER or DT_VCENTER

        invoke  EndPaint,hWnd,addr @stPs
  ;********************************************************************
      .elseif  eax ==  WM_CLOSE
        invoke  DestroyWindow,hWinMain
        invoke  PostQuitMessage,NULL
  ;********************************************************************
      .else
        invoke  DefWindowProc,hWnd,uMsg,wParam,lParam
        ret
      .endif
  ;********************************************************************
      xor  eax,eax
      ret

  _ProcWinMain  endp
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  _WinMain  proc
      local  @stWndClass:WNDCLASSEX
      local  @stMsg:MSG

      invoke  GetModuleHandle,NULL
      mov  hInstance,eax
      invoke  RtlZeroMemory,addr @stWndClass,sizeof @stWndClass
  ;********************************************************************
  ; 注册窗口类
  ;********************************************************************
      invoke  LoadCursor,0,IDC_ARROW
      mov  @stWndClass.hCursor,eax
      push  hInstance
      pop  @stWndClass.hInstance
      mov  @stWndClass.cbSize,sizeof WNDCLASSEX
      mov  @stWndClass.style,CS_HREDRAW or CS_VREDRAW
      mov  @stWndClass.lpfnWndProc,offset _ProcWinMain
      mov  @stWndClass.hbrBackground,COLOR_WINDOW + 1
      mov  @stWndClass.lpszClassName,offset szClassName
      invoke  RegisterClassEx,addr @stWndClass
  ;********************************************************************
  ; 建立并显示窗口
  ;********************************************************************
      invoke  CreateWindowEx,WS_EX_CLIENTEDGE,offset szClassName,offset szCaptionMain,\
        WS_OVERLAPPEDWINDOW,\
        100,100,600,400,\
        NULL,NULL,hInstance,NULL
      mov  hWinMain,eax
      invoke  ShowWindow,hWinMain,SW_SHOWNORMAL
      invoke  UpdateWindow,hWinMain
  ;********************************************************************
  ; 消息循环
  ;********************************************************************
      .while  TRUE
        invoke  GetMessage,addr @stMsg,NULL,0,0
        .break  .if eax  == 0
        invoke  TranslateMessage,addr @stMsg
        invoke  DispatchMessage,addr @stMsg
      .endw
      ret

  _WinMain  endp
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  start:
      call  _WinMain
      invoke  ExitProcess,NULL
  ;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
      end  start

  在radasm编译通过.

  用IAD反汇编载入完成后,点击文件-创建文件-创建asm文件就得到未经修改的反汇编后得到的1.asm文件(有点绕口:)),直接用
  radasm打开,在radasm中ctrl+f5构建并运行看看结果怎样,呵呵,出错了.

因为一步一步来讲比较长,我先把操作过程写下来,在慢慢解释,1.asm修改如下:
(一)增加模式定义\options语句\还原include语句
      .686p
      .mmx
      .model flat,stdcall
      option casemap:none
  include WINDOWS.INC
  include kernel32.inc
  includelib kernel32.lib
  include user32.inc
  includelib user32.lib
(二)删除结构MSG\POINT\PAINTSTRUCT\RECT,并把余下的结构移动到  includelib user32.lib之后,即第一步之后,
然后做如下修改:
tagMSG    struc ;  (sizeof=0x1C, standard type)
hwnd    dd ?      ; offset
message    dd ?
wParam    dd ?
lParam    dd ?
time    dd ?
pt    POINT ?    ;这里修改为pt    POINT <>
tagMSG    ends

tagPAINTSTRUCT  struc ;  (sizeof=0x40, standard type)
hdc    dd ?      ; offset
fErase    dd ?
rcPaint    RECT ?      ;这里修改为rcPaint    RECT <>
fRestore  dd ?
fIncUpdate  dd ?
rgbReserved  db 32 dup(?)
tagPAINTSTRUCT  ends
(三)对函数的局部变量进行修改
一共三个函数start\sub_401000和sub_401089,修改如下
sub_401089:
sub_401089  proc near    ; CODE XREF: startp

Msg    = MSG ptr -4Ch
var_30    = WNDCLASSEXA ptr -30h
修改为:
sub_401089  proc near    ; CODE XREF: startp

    LOCAL Msg:MSG
    LOCAL var_30:WNDCLASSEXA

sub_401000:

sub_401000  proc near    ; DATA XREF: sub_401089+43o

hDC    = dword  ptr -54h
Rect    = tagRECT ptr -50h
Paint    = PAINTSTRUCT ptr -40h
hWnd    = dword  ptr  8
Msg    = dword  ptr  0Ch
wParam    = dword  ptr  10h
lParam    = dword  ptr  14h

修改为:
sub_401000  proc uses ebx edi esi ,hWnd,Msg,wParam,lParam    ; DATA XREF: sub_401089+43o

    LOCAL hDC
    LOCAL Rect:tagRECT
    LOCAL Paint:PAINTSTRUCT

(四)_text段修改
删除
在_text段前增加.code
_text    segment  para public 'CODE' use32
    assume cs:_text
    ;org 401000h
    assume es:nothing, ss:nothing, ds:_data, fs:nothing, gs:nothing
和
_text    ends
注意:中间的代码不要删除!!!

(五)删除align 40h

(六)移动修改_data段
在.code前增加.data,并且把_data段移动到这里
把
_data    segment  para public 'DATA' use32
    assume cs:_data
    ;org 403000h
和          ; sub_401089+A6r
_data    ends
删除
注意:中间的代码不要删除!!!

(七)修改sub_401000的hWnd,只要出现有的都修改为hWnd1.

(八)删除_idata段

(九)
把函数含有[ebp+变量]的代码全部修改为变量
sub_401089的代码
[ebp+var_30] 改为  var_30
[ebp+var_30.hCursor]  改为  var_30.hCursor
[ebp+var_30.hInstance]  改为  var_30.hInstance
[ebp+var_30.cbSize]  改为  var_30.cbSize
[ebp+var_30.style]  改为  var_30.style
[ebp+var_30.lpfnWndProc]  改为  var_30.lpfnWndProc
[ebp+var_30.hbrBackground]  改为  var_30.hbrBackground
[ebp+var_30.lpszClassName]  改为  var_30.lpszClassName
[ebp+Msg]    改为  Msg

sub_401000的代码
[ebp+hDC]    改为  hDC
[ebp+Rect]    改为  Rect
[ebp+Paint]    改为  Paint
[ebp+hWnd1]    改为  hWnd1
[ebp+Msg]    改为  Msg
[ebp+wParam]    改为  wParam
[ebp+lParam]    改为  lParam

(十)删掉函数多余的开头
sub_401089处:
sub_401089  proc near    ; CODE XREF: startp

    LOCAL Msg:MSG
    LOCAL var_30:WNDCLASSEXA

    push  ebp    ;删掉
    mov  ebp, esp  删掉
    add  esp, 0FFFFFFB4h  ;删掉

sub_401000处:
sub_401000  proc near uses ebx edi esi ,hWnd1,Msg,wParam,lParam    ; DATA XREF: sub_401089+43o

    LOCAL hDC
    LOCAL Rect:tagRECT
    LOCAL Paint:PAINTSTRUCT

    push  ebp  ;删掉
    mov  ebp, esp  ;删掉
    add  esp, 0FFFFFFACh  ;删掉
    push  ebx    ;删掉
    push  edi    ;删掉
    push  esi    ;删掉

--------------------------------------------------------------------------------
【经验总结】
其实只要你把反编译的代码按照radasm的提示一步一步修改就可以了.
解释:
(一)
这一步我在上篇已经解释的比较明白了.因为我们汇编开头就是那么几句代码.
include语句加回去这个是因为我们编译的是汇编程序,这样肯定要用到库.如果IDA使用生成的_data段
就非常容易出错.毕竟它只是"识别"而不是源码!!!!!!!

(二)
(1)删除结构体MSG\POINT\PAINTSTRUCT\RECT
我们进行了第一步操作后,用radasm进行构建,就会提示我们
D:\masm32\Include\WINDOWS.INC(7873) : error A2163:  : POINT
D:\masm32\Include\WINDOWS.INC(7874) : error A2163:  : POINT
D:\masm32\Include\WINDOWS.INC(8841) : error A2163:  : MSG
D:\masm32\Include\WINDOWS.INC(8842) : error A2163:  : MSG
D:\masm32\Include\WINDOWS.INC(8843) : error A2163:  : MSG
D:\masm32\Include\WINDOWS.INC(8844) : error A2163:  : MSG
D:\masm32\Include\WINDOWS.INC(8845) : error A2163:  : MSG
D:\masm32\Include\WINDOWS.INC(8846) : error A2163:  : MSG
D:\masm32\Include\WINDOWS.INC(8846) : fatal error A1016:

构建时发生错误.
总共编译时间 271 毫秒

这个这个意思说我们的库文件出错,这个可能吗?当然也有可能,但我想你首先应该想到是你的反汇编代码错.
先查询一下windows.inc"出错"的到底是什么
POINT STRUCT
  x  DWORD ?  ;7873行
  y  DWORD ?  ;7874行
POINT ENDS

MSG STRUCT
  hwnd      DWORD      ?  ;8841
  message   DWORD      ?  ;8842
  wParam    DWORD      ?  ;8843
  lParam    DWORD      ?  ;8844
  time      DWORD      ?  ;8845
  pt        POINT      <>  ;8846
MSG ENDS

呵呵,你再看看反汇编代码开头
MSG    struc ;  (sizeof=0x1C, standard type)
hwnd    dd ?      ; offset
message    dd ?
wParam    dd ?
lParam    dd ?
time    dd ?
pt    POINT ?
MSG    ends

; ---------------------------------------------------------------------------

POINT    struc ;  (sizeof=0x8, standard type)
x    dd ?
y    dd ?
POINT    ends
明白怎么是这样了吧?我们反汇编代码重复定义了结构msg,point所以要把他们删除.同理PAINTSTRUCT\RECT也删除了.
(2)移动剩余结构到include语句后.
这一步我是为了省事,剩余三个结构
tagMSG    struc ;  (sizeof=0x1C, standard type)
hwnd    dd ?      ; offset
message    dd ?
wParam    dd ?
lParam    dd ?
time    dd ?
pt    POINT ?
tagMSG    ends
; ---------------------------------------------------------------------------
WNDCLASSEXA  struc ;  (sizeof=0x30, standard type)
cbSize    dd ?
style    dd ?
lpfnWndProc  dd ?      ; offset
cbClsExtra  dd ?
cbWndExtra  dd ?
hInstance  dd ?      ; offset
hIcon    dd ?      ; offset
hCursor    dd ?      ; offset
hbrBackground  dd ?      ; offset
lpszMenuName  dd ?      ; offset
lpszClassName  dd ?      ; offset
hIconSm    dd ?      ; offset
WNDCLASSEXA  ends
; ---------------------------------------------------------------------------
tagRECT    struc ;  (sizeof=0x10, standard type)
left    dd ?
top    dd ?
right    dd ?
bottom    dd ?
tagRECT    ends
; ---------------------------------------------------------------------------
tagPAINTSTRUCT  struc ;  (sizeof=0x40, standard type)
hdc    dd ?      ; offset
fErase    dd ?
rcPaint    RECT ?
fRestore  dd ?
fIncUpdate  dd ?
rgbReserved  db 32 dup(?)
tagPAINTSTRUCT  ends
其中tagMSG和tagPAINTSTRUCT结构分别用到了POINT结构和RECT结构,刚才我们删了,只有windows.inc中有
所以直接把他们剪切到这里省去出错的机会.
(3)修改结构
tagMSG结构和tagPAINTSTRUCT结构修改,我是参照windows.inc结构定义方法.结构中用结构<> :)
这个不一定完全正确,想研究这方面多阅读.inc文件

(三)函数修改
在反汇编代码中只要出现proc的,到现在为止我都看成是函数!!!
IDA反汇编都它的函数都变成这个样子
sub_401000  proc near    ; DATA XREF: sub_401089+43o

hDC    = dword  ptr -54h  ;注意这里是减(-)
Rect    = tagRECT ptr -50h
Paint    = PAINTSTRUCT ptr -40h
hWnd    = dword  ptr  8    ;这里其实是加(+)
Msg    = dword  ptr  0Ch
wParam    = dword  ptr  10h
lParam    = dword  ptr  14h

    push  ebp
    mov  ebp, esp
    add  esp, 0FFFFFFACh
    push  ebx
    push  edi
    push  esi
    mov  eax, [ebp+Msg]
这里就会出现一个问题.我们先前又删结构又改结构,而这里又用到结构,不修改编译也会出错的.
我们改成比较正规的win32汇编程序格式.
刚才我提示加减的地方,总结一条规律给大家:
函数开头 xx = 结构 - xxh 这个就是函数的局部变量,可用local xx:结构替换.
函数开头 xx = dword  ptr xxh 这个是函数的参数,函数可改为
函数名 proc xx

(四)_text段修改
代码段
_text    segment  para public 'CODE' use32
    assume cs:_text
    ;org 401000h
    assume es:nothing, ss:nothing, ds:_data, fs:nothing, gs:nothing
和
_text    ends
IDA这种段写法有很大的弊端,也是引起我们修改后的代码编译不通过的一个很重要原因.(具体我还说不上来,我还很菜)

(五)删除align 40h
align是反汇编代码不通过编译的一种常见错误.

(六)移动修改_data段
一般来说_data段是我们的数据段,一般我们放在前面.(呵呵,代码顺序也很重要)

(七)在数据段中
hWnd    dd ?      ; DATA XREF: sub_401000+54r
          ; sub_401089+94w sub_401089+9Br
          ; sub_401089+A6r
提示hWnd是函数sub_401089的,并不是sub_401000,所以要重命名他们.

(八)删除_idata段
include语句已经有了函数定义,再保留这里就会出错.

(九)
把函数含有[ebp+变量]的代码全部修改为变量
[ebp+]这个是编译器加上去的,我们直接用的话,编译后会变成[ebp+ebp+变量],容易出错.

(十)删掉函数多余的开头
反汇编代码中,编译器为你加上象这样的代码
    push  ebp
    mov  ebp, esp
    add  esp, 0FFFFFFB4h
如果你直接编译的话代码就变成了:
    push  ebp
    mov  ebp, esp
    add  esp, 0FFFFFFB4h
    push  ebp
    mov  ebp, esp
    add  esp, 0FFFFFFB4h
重新编译也容易出错,所以要删去.

同理,要注意函数结束地方看看是否要删去.

(十一)
这里说一点跟上一篇不同的是没有删除_rdata,因为这里有我们程序要的数据,所以没删除.如
果你还想优化自己弄了!!!

呵呵,终于弄完这篇了,把它整理好花了好大工夫.错误难免,请多包涵!!!!

--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2007年03月04日 12:21:20

小默 2009-12-25 12:10 发表评论

[zz]失业的娱乐-IDA逆向工程入门(二)

小默 — Fri, 25 Dec 2009 04:10:00 GMT

【文章标题】: 失业的娱乐-IDA逆向工程入门(二)-汇编程序(1)
【文章作者】: layper
【作者邮箱】: layper@yahoo.com.cn
【作者主页】: http://blog.csdn.net/layper/
【下载地址】: 自己搜索下载
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  这个是第二篇,入门就要从最简单的开始!!!!!!!!

  为什么选汇编程序,因为在IDA逆向出来的就是汇编语言.所以选这个是最好入门的.在这之前你先准备好几样工具,IDA,masm32汇编工具包并安装好,
  在radasm设置好你的路径.

  (一)最简单的win32汇编程序源码
  hellow.asm

  .386
  .model flat,stdcall
  option casemap:none
  include WINDOWS.INC
  include user32.inc
  include kernel32.inc
  includelib user32.lib
  includelib kernel32.lib
  .data
  sztitle db "你好",0
  sztext db "你好!祝你有个好的开始!!!",0
  .code
  start:
  invoke MessageBox,NULL,offset sztext,offset sztitle,MB_OK
  invoke ExitProcess,NULL
  end start


  radasm默认编译.无资源段



  (二)IDA自动识别的反汇编代码(未优化直接保存)



  ;
  ; 赏屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?
; ?This file is generated by The Interactive Disassembler (IDA)      ?
; ?Copyright (c) 2006 by DataRescue sa/nv,        ?
; ?Licensed to: Paul Ashton - Blue Lane Technologies (1-user Advanced 03/2006)  ?s
  ; 韧屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?
;
  ; Input  MD5   :  10721E858F8E4DA3413D6FBFAE63E7B3

  ; File Name   :  D:\lyp\hellow\hellow.exe
  ; Format      :  Portable executable for  80386 (PE)
  ; Imagebase   :  400000
  ; Section 1. (virtual address 00001000)
  ; Virtual size      : 00000026 (   38.)
  ; Section size in file    : 00000200 (  512.)
  ; Offset to raw  data for section: 00000400
  ; Flags  60000020: Text Executable Readable
  ; Alignment  : default

      .686p
      .mmx
      .model flat

  ; 屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?

  ; Segment type:  Pure code
  ; Segment permissions: Read/Execute
  _text    segment  para public 'CODE' use32
      assume cs:_text
      ;org 401000h
      assume es:nothing, ss:nothing, ds:_data, fs:nothing, gs:nothing

  ; *************** S U B  R O U T  I N E ***************************************


      public start
  start    proc near
      push  0    ; uType
      push  offset Caption  ; "你好"
      push  offset Text  ; "你好!祝你有个好的开始!!!"
      push  0    ; hWnd
      call  MessageBoxA

      push  0    ; uExitCode
      call  ExitProcess

  start    endp

  ; [00000006 BYTES: COLLAPSED FUNCTION MessageBoxA. PRESS KEYPAD  "+" TO EXPAND]
  ; [00000006 BYTES: COLLAPSED FUNCTION ExitProcess. PRESS KEYPAD  "+" TO EXPAND]
      align 200h
  _text    ends

  ; Section 2. (virtual address 00002000)
  ; Virtual size      : 00000092 (  146.)
  ; Section size in file    : 00000200 (  512.)
  ; Offset to raw  data for section: 00000600
  ; Flags  40000040: Data Readable
  ; Alignment  : default
  ;
  ; Imports from kernel32.dll
  ;
  ; 屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?

  ; Segment type:  Externs
  ; _idata
  ; void __stdcall ExitProcess(UINT uExitCode)
      extrn __imp_ExitProcess:dword ;  DATA XREF: ExitProcessr

  ;
  ; Imports from user32.dll
  ;
  ; int __stdcall  MessageBoxA(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType)
      extrn __imp_MessageBoxA:dword ;  DATA XREF: MessageBoxAr


  ; 屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?

  ; Segment type:  Pure data
  ; Segment permissions: Read
  _rdata    segment  para public 'DATA' use32
      assume cs:_rdata
      ;org 402010h
      db  54h  ; T
      db  20h
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db  6Ah  ; j
      db  20h
      db    0
      db    0
      db    8
      db  20h
      db    0
      db    0
      db  4Ch  ; L
      db  20h
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db  84h  ; ?
    db  20h
      db    0
      db    0
      db    0
      db  20h
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db  76h  ; v
      db  20h
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db  5Ch  ; \
      db  20h
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db  9Dh  ; ?
    db    1
      db  4Dh  ; M
      db  65h  ; e
      db  73h  ; s
      db  73h  ; s
      db  61h  ; a
      db  67h  ; g
      db  65h  ; e
      db  42h  ; B
      db  6Fh  ; o
      db  78h  ; x
      db  41h  ; A
      db    0
      db  75h  ; u
      db  73h  ; s
      db  65h  ; e
      db  72h  ; r
      db  33h  ; 3
      db  32h  ; 2
      db  2Eh  ; .
      db  64h  ; d
      db  6Ch  ; l
      db  6Ch  ; l
      db    0
      db    0
      db  80h  ; ?
      db    0
      db  45h  ; E
      db  78h  ; x
      db  69h  ; i
      db  74h  ; t
      db  50h  ; P
      db  72h  ; r
      db  6Fh  ; o
      db  63h  ; c
      db  65h  ; e
      db  73h  ; s
      db  73h  ; s
      db    0
      db  6Bh  ; k
      db  65h  ; e
      db  72h  ; r
      db  6Eh  ; n
      db  65h  ; e
      db  6Ch  ; l
      db  33h  ; 3
      db  32h  ; 2
      db  2Eh  ; .
      db  64h  ; d
      db  6Ch  ; l
      db  6Ch  ; l
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
      db    0
  _rdata    ends

  ; Section 3. (virtual address 00003000)
  ; Virtual size      : 0000001E (   30.)
  ; Section size in file    : 00000200 (  512.)
  ; Offset to raw  data for section: 00000800
  ; Flags  C0000040: Data Readable  Writable
  ; Alignment  : default
  ; 屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?

  ; Segment type:  Pure data
  ; Segment permissions: Read/Write
  _data    segment  para public 'DATA' use32
      assume cs:_data
      ;org 403000h
  ; char Caption[]
  Caption    db '你好',0             ; DATA XREF: start+2o
  ; char Text[]
  Text    db '你好!祝你有个好的开始!!!',0 ; DATA XREF: start+7o
      align 200h
  _data    ends


      end start
  用radasm编译成功,不用修改!!!

  (三)比对文件

  (1)模式定义
  相同度:

  .386                                                .686p                      ;不同
  无                                                  .mmx
  .model flat,stdcall                                 .model flat
  option casemap:none                                 无                         ;不同

  我的IDA默认的为686p模式,model语句无语言模式,无option语句.

  (2)inc文件,lib文件去向

  源文件中的
  include WINDOWS.INC
  include user32.inc
  include kernel32.inc
  includelib user32.lib
  includelib kernel32.lib
  消失在代码中,要寻找回他们!!
  这几个语句其实就是连接系统的dll文件的,在反汇编代码中寻找user32.dll,kernel32.dll,找到这里
  ; Imports from kernel32.dll
  ;
  ; 屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯屯?

  ; Segment type:  Externs
  ; _idata
  ; void __stdcall ExitProcess(UINT uExitCode)
      extrn __imp_ExitProcess:dword ;  DATA XREF: ExitProcessr

  ;
  ; Imports from user32.dll
  ;
  ; int __stdcall  MessageBoxA(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,UINT uType)
      extrn __imp_MessageBoxA:dword ;  DATA XREF: MessageBoxAr

  注释很明白了,输入表有两个dll在_idata段,include语句的在_idata段找寻.

  (3)段定义的变化
  源代码中段定义是这样
  .段名
  而反汇编中的段定义
  段名    segment  para public 'DATA' use32
      assume cs:_data
  段名    ends
  传统的dos汇编写法.

  (4)段的增减
  我们通过比对,发现段的数量跟我们原本的不一致
  原本我们只有两个段
  .data和.code段,而反汇编后变成
  .text和.idata和.rdata和.data段
  经过仔细辨认你就可以发现
  反汇编的text段就是源代码中的.code段,data段是代码段,.idata和.rdata是编译器生成的,而idata是寻找include语句的地方,
  .idata基本没什么用处,可以删掉.

  (5)数据段
  通过比对发现基本上一致无什么增加,增加了一个    align 200h
  删掉即可.

  (6)代码段变化
  入口函数变化
                  public start
  start    proc near
      push  0    ; uType
      push  offset Caption  ; "你好"
      push  offset Text  ; "你好!祝你有个好的开始!!!"
      push  0    ; hWnd
      call  MessageBoxA

      push  0    ; uExitCode
      call  ExitProcess

  start    endp

  。。。。。。

  。。。。。。。

      end start

  注意end start放在了所有段后面

  到这里我们大体上看完这个程序反汇编的大体轮廓。

--------------------------------------------------------------------------------
【经验总结】
  (1)模式定义少了语言模式和opention语句，我们要看情况是否加回上去。
  (2)include语句寻找_idata中的dll名,得到常用包含库文件.
  (3).rdate段不用看,可以删掉
  (4)入口开始处寻找start.

--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2007年03月02日 13:56:14

小默 2009-12-25 12:10 发表评论

[zz]失业的娱乐-IDA逆向工程入门(一)

小默 — Fri, 25 Dec 2009 04:09:00 GMT

标题: 失业的娱乐-IDA逆向工程入门(一)(二)(三)(四)
作者: layper
时间: 2007-03-08,23:49
链接: http://bbs.pediy.com/showthread.php?t=40765

【文章标题】: 失业的娱乐-IDA逆向工程入门(一)
【文章作者】: layper
【作者邮箱】: layper@yahoo.com.cn
【作者主页】: http://blog.csdn.net/layper/
【下载地址】: 自己搜索下载
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
    牢骚一堆,对不起大家了.我是从2004年底开始玩crack的.曾经得到很多朋友的帮助.如hyd009,拉登徒弟,天边涯等以前poje论坛兄弟们帮助(可惜已经很
  少碰见他们了).之间学习脱壳又到看雪论坛学习提问,得到很多高手的回答帮助尤其是fly大侠最为热心,我之所以来这个论坛,全是因为fly大侠.看了很
  多他的文章,从中受益非浅.在此向你们说声谢谢了.

  IDA是一个非常强大的反汇编工具,在reverse engineerings中首选的工具.看这篇文章首先明确一个目的,我不是破解,如果你要看破解某某软件的文章
  你可略过,这也不是什么高深的文章,因为,我刚开始学习逆向工程,高深的理论知识我不懂!!!由于本人知识所限错漏难免,请多包含.

  在我看来,逆向工程是学习别人软件编程的一种好方法.当你手头上没什么资料可以利用时,或者想了解或者模仿别人的软件时,逆向工程不失为一种好办法.
  (这就是为什么那么多公司在安装协议要用户同意不能逆向的原因:)).

  好多的逆向工程的文章一开始就跟你讲什么虚函数,析构函数,库等等,这些确实是经典,理论性很强,适合专业或高手看的.我是一开始就学破解,然后接触汇编
  语言,之后又看了一些乱七八糟的书.编程菜鸟都算不上!!!一开始就来分析这么仔细,这么精益求精,对我来说----蚊子叮猪屁股---太肥了!:)

  对我来说,能够把软件逆向后的出源码,并重新编译能够通过是我现阶段最容易得到满足的.依照这个思路,我开始就想把IDA里面反汇编的代码修改后运行.但实践
  证明这个不是一个有效好的方法.要修改IDA反编译出来的代码也比较困难.因为IDA中很多高级语言的结构,高级语言的库,关键字在汇编中不支持或者冲突,就算能
  也很复杂,所以说,
  layper逆向工程第一要点:

  (一)从那里来,回到那里去.
  比如汇编语言写的软件,你就把它逆回汇编语言.
  用工具VC++写的软件,你就把他逆回VC++中.
  DELPHI的逆回DELPHI中(这个用DEDE逆向配合应该更好).
  当然,这个不是硬性规定,有些软件他虽然用高级语言写的,但反汇编代码利用价值已经非常高了.

  根据这一点要求,我们不得不对逆向工程分析的研究分类,即分为asm,vc++,delphi这三大类,其他的如.net技术等不是我涉及的内容.

  下一篇开始,我分别用最简单的win32程序开始分类讲述.


  (注:虽然逆向工程这个想法在心里已经很久了,但实际学习就是这几天的事,本人水平有限,做法可能不可取,或者可笑请多包涵.下篇
  心情好再写了.)

--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2007年03月02日 11:49:08

小默 2009-12-25 12:09 发表评论

[zz]用importREC修复Import表

小默 — Thu, 24 Dec 2009 13:58:00 GMT

1、用ollydbg找到正确的OEP(脱壳和修复导入表都要用到)

2、脱壳在当前进程,如脱壳出来的程序不能运行，提示无法定位程序输入点，需要使用

importREC修复导入表。

3、打开importREC，选正ollydbg正在调试的进程，填入正确的OEP,点ITA AutoSearch，

如oep正确将得到正确提示，点GetImport，得到正确的导入表。点Fix Dump，选择脱壳

出来的保存文件，Done!（修正后的程序为原程序名后加一下划线，原程序不会被修改。）

小默 2009-12-24 21:58 发表评论