缓冲区溢出实战教程系列（三）：利用OllyDbg了解程序运行机制

想要进行缓冲区溢出的分析与利用，当然就要懂得程序运行的机制。今天我们就用动态分析神器ollydbg来了解一下在windows下程序是如何运行的。

戳这里看之前发布的文章：

缓冲区溢出实战教程系列（一）：第一个缓冲区溢出小程序：https://www.freebuf.com/articles/system/195614.html

缓冲区溢出实战教程系列（二）：dev c++编译汇编代码：https://www.freebuf.com/articles/system/197116.html

0×00 OD基本介绍及用法

1. OD界面

我们将程序拖入OD中，会出现如下界面，在这里我分为四个主要区块，分别是汇编代码窗口、寄存器窗口、二进制窗口、堆栈窗口。当然也有分为五个区块的，但没有太大区别。接下来我给大家讲讲有个基本概念。等下在程序分析里给大家具体做讲解。

2. OD常用操作

F2：设置断点

F4与F9：F4是运行到光标位置，F9是运行到断点处

F7与F8：F7是单步步入，F8是单步步进

Ctrl+F9：是从F7步入的代码段中返回之前代码段

0×01 寻找程序入口

1. 程序介绍

今天拿MessageBox的代码为例，先贴出代码：

#include<windows.h>

int main()

{

	MessageBox(0,"You have been hacked","warning",0);

	return 0;

}

可以看出这是一个非常简单的弹出提示框的代码，只有5行代码。但麻雀虽小五脏俱全，通过一个小程序我们更容易理解程序的基本运行原理。

2. OD分析程序起点

将程序拖入到OD：

我们会看到程序停在了0x004014E0的位置，但这不是程序真正的入口。通常用OllyDBG打开一个程序之后，并没有直接跳到程序主函数入口地址，而是在进行一些初始化工作。这个我们暂时不用管我们这里只要找到主程序入口就好。

一般用OllyDBG打开程序的时候，并不是直接定位到程序入口，而是还要先进行一系列的初始化工作，但做这些工作的反汇编代码我们是不需要的，所以我们要快速跳过，直接到程序入口。

3. 程序真正入口点

找程序入口呢一个是凭经验一路F8，还有一个就是借助工具，今天跟大家说一下利用IDA找程序入口。

在IDA中打开程序，在左侧栏中找到_main,点击右侧代码栏第一行，看底下的地址就好了。我们记住入口地址就好。

main函数地址是0×00401500。

我们回到OD，右键goto-expression跳转到main函数所在位置。

我们按F2在这设个断点，接下来我们要用到。

0×03 主函数运行过程

我们在0×401500处下好断点，按F9运行到断点处。当我们看见地址的字成红色背景变为黑色时，就说明程序已经运行到我们的断点处了。

找到主函数我们今天的任务就完成一半了，我们先分析一下主函数运行的过程，其实主函数运行过程也是压栈弹栈的过程，只是这个过程与我们直接调用MassageBox的堆栈调用略有不同，为了方便理解先看一下下面的小知识点。

栈顶（esp）：栈的低址，就是栈空间地址小的一端

栈顶（ebp）：栈的高址，就是栈空间地址较大的一端

栈空间的增长：由高地址向低地址增长（ebp—>esp）

好让我们继续，先F8运行到0x40150B。

这时我们要观察一下现在栈顶和栈底的情况这时候esp栈顶是0x28FEB8，ebp栈底是0x28FF88。

继续F8两次，这里就出现了与调用函数不同的地方，这里指令SUB ESP,14是让esp直接减14的意思，我们现在的esp是0x28FEB4。

果断打开计算器0x28FEB4-0×14=0x28FEA0，那说明我执行完这个指令过后esp的值就应该是0x28FEA0。

让我们F8验证一下，果然不出所料，目前栈顶的位置就是 0x28FEA0。

记住这里都是16进制的运算所以0×14是10进制的20，而每个地址相差4，也就是栈顶到栈底一下子多了5个地址，但没有赋值，这里也就是跟我们平时说的压栈的方式不一样的地方。一般而言压栈是一个一个从高址向低址入栈。这里我先把它称为开辟栈空间然后赋值吧。

继续F8，不过这时我们要观察开辟出的5个地址值得变化，我们先截图记录一下：

当我们运行过CALL 00401EA0时发现这五个地址的值没有变化。

当我们运行过MOV DWORD PTR SS:[LOCAL.4],0时我们发现0x28FEAC的值变成了0。

接着运行MOV DWORD PTR SS:[LOCAL.5],OFFSET 0×404000 ，这时0x28FEA8的值变成了0×404000。

接着运行 MOV DWORD PTR SS:[LOCAL.6],OFFSET 0×404008，这时0x28FEA4的值变成了0×404008。

接着运行 MOV DWORD PTR SS:[LOCAL.7],0 ，这时我们的esp变成了0。

这些就是主函数中在运行MassageBox之前栈中的变化，只不过这里是利用esp-14的方法先开辟了个空间然后再入栈。

这里再补充一下0×404000和0×404008 是什么，其实在截图里我们已经看到OD已经给出了，它们分别代表warning和You have been hacked。那它们是怎么来的呢？其实我们在程序编译的时候已经把这些变量集中放到了数据段，这涉及到PE结构了，大家目前理解为变量值集中存放的地方。好我们验证一下，在左下角二进制窗口依次右键—>go to—>expression接着在弹出窗口中输入404000，查找，我们看下结果：

我们在看一下warning在线通过工具转换成ASC码的结果，刚好与上图前七个字节对上。

以上说明0×404000和 0×404008这样的地址就类似高级语言里的变量，我们把真正的值赋给变量，然后我们只操作变量就好了。

以上就是今天讲的内容，大家跟着步骤仔细操作一下，要不然后边的就会越听越迷糊。下篇文章就要真正讲到调用MassageBox时栈的变化了，也就是真正栈的知识了，希望大家能够打好基础。