古云:磨刀不误砍柴工,为了更好的破解一个软件,构造一个最佳的工具平台是每一个黑客的追求。在选用工具之前应该明白,工具没有好坏,关键是配合使用。
工具
Dede3.5中文版:Delphi及C++ bulid编写程序的反汇编杀手;
OllyDbgl.09D:集成反汇编及动态测试,程序修改等功能;
Peid0.9:军情探子;
Aspdiel.41:专门脱壳的程序;
例1:破除Fonmail5.OBetn2账号访问口令保护
收集程序相关信息
收集信息是每个黑客必备的良好习惯,可以设想为刺探军情和情报收集。先运行一下带访问口令的foxmail,会出现要求输入密码的窗口,如果密码输入不正确,则不能查看账号内的邮件。
我们开始用Peid0.9打开程序,分析这个程序。
定位密码处理函数
根据前面手机的情报我们发现,本军师现在要开始做出如下的推测和对策,程序啃那个是对输入的密码与预先正确的密码进行比较,如果不正确,则提示错误。现在关键的一步是怎么快速定位密码的位置,看一下程序是怎么处理密码和怎么提示出错的,这是基本的黑客思维,是任何一个黑客必须掌握的。
现在开始验证我的设想(由于破不同程序的信息不可能是一样的,所以我们应该懂得灵活变通)。
现在有请猛将Dede出马,用Dede载入程序,由于Dede是把程序载入内存进行分析,所以会等待一段时间载入。
带入完成后,首先在类单元名中选择main这个单元,在右边事件窗口中会列出当前的事件,现在我们来找密码的处理事件。通过我的查找,发现BoxTreeExpanding事件最为可疑,双击BoxTreeExpanding事件进入汇编部分,得到首地址为:0057C074.
动态分析密码处理过程
现在轮到OllyDbg出场了,现在入foxmail程序,OllyDbg自动反汇编程序,按Ctrl+C打开CPU窗口,再按Ctrl+G,在跳出的窗口中输入上面得到的地址值:0057C074。
然后运行程序,切换到foxmail程序,双击账号,程序被中断,转到OllyDbg,代码如下:
只要走到005B8F72这句,edx处就是以明文形式出现真密码,真是晕,大名鼎鼎的邮件处理专家竟然用明码保护账号,怪不得学黑客的人越来越多..........
本文内容所提及均为本地测试或经过目标授权同意,旨在提供教育和研究信息,内容已去除关键敏感信息和代码,以防止被恶意利用。文章内提及的漏洞均已修复,作者不鼓励或支持任何形式的非法行为。