反汇编调试工具使用

软件安全实验报告 J-l-A i-\-f / I *二零二零年使用 OllyDBG实验环境：操作系统：WindowslOOllydbg调试简单的helloworld程序实验步骤：原理：OLLYDBG是一个新的动态追踪工具，将IDA与SoftICE结 合起来的思想，Ring 3级调试器，同时还支持插件扩展功能，是目前 最强大的调试工具OllyDbg发行版是一个ZIP压缩包，只要解压运 行OllyDbg.exe即可运行OllyDbg打开进程，界面主要由代码窗 口、数据窗口、寄存器、堆栈窗口组成1. 调试用VC++编写的helloworld程序，在反汇编代码中查找main 函数，MessageBox函数；#include "windows.h"#include "tchar.h"int _tmain(int argc, TCHAR * argv[]){MessageBox(NULL,"Hello World!","bcbobo21cn",MB_OK);return 0;}2. 在调试工具条上右击，选择组建；□洌甘辆 |i"_i"_|jRt?i7iinlwrlwrl ember? T| * tmain_|2Jl ninclude "mimlnuH.li" ttinclude "tchar.h"! X也v ifr出ATI“向孚殳日3”，Bella Wo rid.qpp]:tP) rfiiilK ZS'TI奁匚画辭助凹int _tnain[int argcr TCHAR * argu[]3iisesageHo^^HULL/H?丄丄 o uoriaf/'tjctatioiicn" ,me_uk); return fi;在弹出的 组建对话框中，选择 Win32 Release；中(9 HelloWorld ・ Micrasoft Visual 匚4 4 ・[HBlIaWorld.cpp]3文柑:㈢煽谅上 举世赵山二存㈢題凹工貝①sr=l(wi w(h||GlobalsJMe^caqeuo^^NJLL/ Helle war丄d!" j'tjrDtiDoMrcn" jin uhj； return Q；轲 ME 'HclhW(□ I^lHdloWorld fiIf - !_| Source Files O Header FilesO R^sauree Files|HelloWorld Win32 Heleace二住歴胳“引也把HelloWorld编译为release版本。

3. 启动Ollydbg ；打开前面的helloworld程序;4.停留在00401020 处；承 OllyDbg - HelloWorld .exeFile- View Debug Trace Options Win d □ ws Help上JjduJ 创y 丄e则工］©mB|m|H|1[c~| CPU - main thread, module HelloWorld90OO^GIGID99NOPU040101C90NOP0040101D90NOP UU040101E90NOPH0401H1F90NLP00^01020・・ 55PUSH EBP00401021・ 8E：ECnou ee：pfesp00401023・ £口 FFPUSH -100^01025・ 68 口8504000PUSH OFFSET 004656口W；0040102口= 66 rClC斗000PUSH 0£HO1C?C0040102F-64： 口1 0000001mji.J EfiXpDWORD PTF： FS:L0]0040103E・ 50PUSH EHX00401636・ 64:892S 00001mji.J DhJLiFD PTF： FS: EeifESF1R040103D・ 83EC 10SUB ESP.1000401040・ 53PUSH EE：X .00401041・ 56PUSH ESI 1Stack E0018FF88J=0EE：P=0018FF94He 1 LoWor-Ld・ KMod.-i LeEnriyF'o lnt：>Hmn dugEA；：•:; ECX EE：： EBX ESP EBP ESI EDIEIP口 ddrmRegisters (FPU)Z54C336800FILIH000 师斗01020 7EFDE000 9019FF9C 0018FF94 000000000000000090401020Hel LoWor Ld. ：ll：l -til ul l| e|m|• 56PUGH ESI09461642・ 邛PUSH EDI00461943・ S96E ESnou DIj.lURD FTF： SS: [EBP-L8]rESP00401046・ FF15 0C50斗E日CALL DUORD PTR DSsC<&KERNEL3E.004G134C• 3302MOR EDM, ED^；@040134E-80D4nou dlfoh004010E0・ 89 IE 04854001MOU DIj.lURD PTR DS: E4085041.EDX004010£6• SBC8MOU Effi, EO^!sa46iag：-：・ SiEi FF0&0mSiflHD DZ：：==：p000000FF0040105E・ S96D 00S5斗£日MOU DWORD FTR DS:[408500]VEC^00461364• G1EI 00SHL ECMP800401067-03CHHDD ECXPEDX0040106-?-8'?0D FC54400Irii：H..J DIjJORD PTR DSSE4084FC1.ECX0046106F• C1E8 16ShR E砂，IB09461672・ ftS FSS44a0i3HijU DLiJuRn PTR DS： [40S4FS],Efl：==!00461977・ &口 00PUSH 00040107?・ ES HS0R@006CRLL 00401B26004G137E• 59POP ECM0040107F-SECSTEST 巨口〉：： ■巨口X00401081・•-••• 75 88JhE SHORT 004010SB004G1083• to 1CPUSH 1C05461aSE・ ES 9ft060a0MCALL 00401124004610SH・ 59POP EC；==；0046138B> 8365 FC 30AhD DWORD FTR SS;CEBP-4],B000E004613SF-ES P2070006CBLL 0040180600401394-FF1S 03S0460ICfiLL Dl.iJURD PTR DSs C< tKERNEL32.0040109fi•加 F88S4000MOU DWORD PTR DS:C4089F8].EOXS946ia9F・ ES 390^.0600CALL 00401SD4004619口4・ 1=13 E98斗4000rii：H..J DIj.lURD FTF： DS: [4084E0JrEHX004010A?・ E8 D?030006CHLL 00401487Afidiain 口匚■ R：=： 1rui i Lif=iiifii-=：rF6.再往下，看到了调用Get Version函。