الهندسة العكسية للمبتدئين الدرس الثاني Basic Patching
2 مشترك
كاتب الموضوع
رسالة
المغربي صاحب الموقع
عدد المساهمات : 1723 نقاط : 1960048 السٌّمعَة : 27 العمر : 38
بطاقة الشخصية ما رأيك بالمنتدى: 10
موضوع: الهندسة العكسية للمبتدئين الدرس الثاني Basic Patching الأحد ديسمبر 12, 2010 11:07 am
الهندسة العكسية للمبتدئين الدرس الثاني
قم بتحميل الأدوات OllyDBG
Lena's Reverse Me
نقوم بفتح OllyDBG وتابع كما بالصور
مسار UDD يتم به حفظ تحليل البرامج حتي لا يقوم البرنامج بنفس العمل كل مرة مسار Plugins أعتقد أنه يشرح نفسه
بعد تحديد المسارات سيحتاج البرنامج لغلقه و إعادة تشغيله مرة أخري
و سيتم شرح الأزرار المستخدمة خلال الشرح
في الأدوات التي قمت بتحميلها بأعلي ستجد ملف إسمه lesson1Test. قم بسحبه إلي البرنامج -Drag ـ أو منFile ثم open ثم إختار الملف أو من الزر الأول الذي يأخذ شكل الفولدر
عند تشغيل البرنامج الصغير Lesson 1 test ستظهر كما بالصورة
كما هو واضح البرنامج يقول إنه نسخة تجريبية ونحن نريد ن نجعله نسخة كاملة
بعد إنتهاء التحميل قم بفك الضغط عن الملفين و ضع الملفات التي تم فكها في فولدر Plugins
ثم قم بتشغيل Olly مرة أخري , و إسحب برنامج الدرس مرة أخري وتابع كما بالصورة
قم بإختيار ملف Win32 help الذي قمت بتحميله ووضعته في فولدر Plugins
عند تشغيل البرنامج ظهرت لنا رسالة تقول أن البرنامج نسخة تجريبية هذه الرسالة تسمي Message Box
تابع كما بالصورة
واضح كما بالصورة تعريف Message Box
إستخدم Win32 Help في كل مرة للتعرف علي الأوامر المختلفة
نعود إلي كود البرنامج مرة أخري
كود البرنامج صغير جدا سنقوم بدراسته خطوة خطوة
لو عدت إلي الدرس الأول ستعلم أن الأمر Mov هو عبارة عن نقل داتا من مكان إلي مكان وهنا الأمر سيقوم بنقل 1 بايت إلي AL Register
لاحظ byte ptr عرفنا أنه سيتم نقل 1 بايت ولو أردنا نقل 2 بايت لكنا رأينا الأمر word ptr ول أردنا نقل 4 بايت لكنا رأينا الأمر dword ptr
لكن ما الذي يوجد بالذاكرة 403000 لاحظ الصورة
الأمر الثاني هو CMP AL, 00 و الأمر يقوم بمقارنة0x00l ب Al ونتيجة المقارنة تظهر في z-flag إما صفر أو واحد
jne 0040101c
لو عدت إلي الدرس الأول ستجد أن Jne تعني Jmp if not equal لاحظ أن Al =1 و أن المقارنة تتم بين al و 0 و النتيجة ستظهر في Z-Flag وهي التي ستحدد إن كان سيتم القفز أم لا هنكا أكثر من طريقة حتي نصل لهدفنا وهو النسخة الكاملة لكن قبل ذلك نعود Olly
ولاحظ ما يحدث للكود وقارن بين الصورتين
إضغط F8 أو
حتي يتم تشغيل البرنامج خطوة خطوة ودائما و أبدا سنفعل ذلك
ولاحظ ما يحدث للكود وقارن بين الصورتين
أعتقد انه واضح أن في الصورة الأولي AL = 0 وهو واضح في EAX وفي الصورة الثانية وبعد نقل 1 بايت فإن AL = 1 وواضح أيضا في EAX
الآن إضغط F8 مرة أخري
لاحظ أن نتيجة المقارنة ظهرت في Z-Flag = 0 و بناءا عليها لن يتم القفز وسيتم الإستكمال وهو سيقودنا إلي رسالة Trial Version لكن لاحظ إن تم القفز سيتم القفز إلي 0040101E وهي موجودة كما بالصورة
أعتقد أنه واضح الآن كيف سنحل هذا الدرس
designer عضو مبدع
عدد المساهمات : 189 نقاط : 210 السٌّمعَة : 0 العمر : 29
موضوع: رد: الهندسة العكسية للمبتدئين الدرس الثاني Basic Patching الثلاثاء يوليو 19, 2011 3:06 pm
شكرا ليك
الهندسة العكسية للمبتدئين الدرس الثاني Basic Patching
الرئيسية 
موضوع: الهندسة العكسية للمبتدئين الدرس الثاني Basic Patching 
