32位汇编第六讲,OllyDbg逆向植物大战僵尸,快速定位阳光基址

　　　　　　32位汇编第六讲,OllyDbg逆向植物大战僵尸,快速定位阳光基址

一丶基址,随机基址的理解

首先,全局变量的地址,我们都知道是固定的,是在PE文件中有保存的

但是高版本有了随机基址,那么要怎么解决这个问题,不解决这个问题,那么如果以后逆向分析的时候,找不到基址,那么就不能进行下一层的操作

首先看下固定基址,和随机基址

①丶新建工程

(这里使用VS2013 ,VC++6.0不支持随机基址)

自己新建一个程序,添加个CPP文件

编写如下代码

#include <stdio.h>

#include <stdlib.h>

int g_szText = ;int main()

{

    printf("g_szText address =  %p\r\n", &g_szText);

    system("pause");

}

我们看下设置,是否随机基址已经启动

1.找到项目属性

看下 连接器 -> 高级 -> 随机基址

现在我们的程序是随机基址,每次打开都是随机的

备份一下,然后修改为不随机基址

不随机基址,就是地址没次运行都是一样的,现在我们比较两个文件,随机基址在文件中是存的一个标记

我们在PE文件中更改这个标记,则可以达到基址是一样的了

Text1是随机基址的,TEst是不随机的

使用Winhex对比

比对

首先我们排除一下,标志不会在下面,因为程序一启动则要加载

随意在上面PE 后面我们一个自己一个字节的尝试

这里我就不尝试了,标志是PE 后面数6个字节,然后下方就是

也就是02 和 03

02是随机基址,03是不随机

现在改一下试一下

因为程序权限问题,这里不让我更改,不过我们可以写文件更改

第二种方法

如果对于修改文件,我们不爱做,我们也可以通过程序算偏移去做

具体

有公式可以计算

全局变量的地址 - 模块首地址  = 偏移

每次程序启动加载模块

模块 + 偏移 = 全局变量的地址,也是可以一样的访问

这里是把全局变量当做DLL使用

 二丶OllyDbg分析植物大战僵尸,快速定位阳光基址

1.对于植物大战僵尸,我们需要一款内存搜索工具 (Cheat Engine 简称CE)

为什么使用这款工具,因为这款游戏不同于上次讲的扫雷,上次的扫雷,我们可以通过Bitblt

去寻找,绘图,而这次如果在通过绘图去找,那么很麻烦,所以我们使用这款工具

2.首先CE加载植物大战僵尸的进程

进程名称: PlantsVsZombies.exe

3.搜索阳光的数量

我猜测他是4个字节存放阳光的数值,那么我们可以是4个byte搜索,先搜索精确的数值

4.然后增加或者减少阳光,在已有的基础上,搜索现有的阳光数量

5.找到一个,我们看下修改值是否会把阳光修改了

发现成功修改

那么我们看下这个地址有没有别的变量保存

例如 int *p = 0x 106F6EB0

Int *p1 = p ;有可能是这样存储的

复制出来搜索一下

以16进制扫描,来一个新的扫描

我们发现没有保存,那么我们可以认为他是存储阳光的(但是又怎么简单吗)

我们重新打开游戏,看下这个地方是否变化了,如果没变,那么这个基址就是保存了阳光的数值

什么是基址?

上面说了很多基址的概念,什么是基址

比如看下列代码

全局区

Int *G_RunCount = NULL  //全局

Int main()

{

    Int *p1 = 0x11122233当前存储了阳光的个数)

    P = p1   //保存地址

    System(“pause”);

}

那么像我们上面所说,如果重新打开游戏,那么这个地址不存在了,也就是说地址里面存的不是阳光的数量,那么我们可以认为他不是最顶层的地址

最顶层的地址就是 全局变量,只要找到全局变量那么以后都不用修改了,因为全局变量中存储了这个地址

那么我们试一下

我们发现这块地址不是,很有可能是局部变量存储了

那么我们重新进行上面的几个步骤,找出当前的局部变量存储的地址

10711A38

打开OD,附加当前植物大战僵尸的进程,在数据区域Ctrl + G 跳转到重新找到的局部变量地址

我们修改一下

正式我们要找的存放阳光数量的地址

那么现在我们下一个内存访问断点,看看谁访问了这个地方

我们看到,他是加了一个偏移寻到了5560

也就是 [base + 5560] 取内容 = 阳光的个数

那么现在主要是base(地址)是什么,在上面可以看出,base是edx,那么现在主要是edx的值

(注意,寻找的时候你们可能看的不一样,因为地址是不固定的,固定的是全局变量,也就是说为什么我们要全局变量地址+偏移的方式来访问数值的)

我们去CE搜索一下这个变量有没有存储

我们发现这块局部变量地址,也有人来保存,那么我们OD查一下这块局部变量的地址,看下内容(为什么要再次搜索,因为如果有保存这个值的局部变量,那么就不是最终的地址,所以一定找到顶层)

(别忘了OD的内存断点取消)

我们发现有很多,但是,我们需要用排除法了,首先,根据上面我们的经验,全局变量的地址不是 0018开头的,这个很像局部变量,如果是局部变量,那么往上查找很困难

那么我们往下拉,看看还有没有了

我们依次下内存断点,我们会发现,有的时候下了内存断点,你的植物大战僵尸暂停界面会停止不动,那么可能是我们找错了,删除内存断点,重新继续

我们排除0018开头的,因为不光是局部变量,如果是你写代码,你有可能会写很多地址相似的位置一起保存Base基址吗

例如

Int *p1 = p

Int *p2 = p

Int *p3 = p

Int *p4 = p

....

所以找不同的

我们发现再次搜索,发现就这两个不通,我们把第一个弄下来,然后数据窗口中搜索,下内存断点,(内存访问)

,内存断下了来了

现在我们知道base的地址是怎么得到了

以前是 [base + 5560]  = 阳光的个数

但是现在因为求base所以base变为了

[[base + 768]+5560] = 阳光的个数

看看Base是多少

我们重新看下这个地址有没有保存,如果有,那么继续往上寻找

CE搜这个地址

搜索完成之后发现有几个绿色的,以后看到绿色的优先尝试,因为这个可能就是全局基址了

先看第一个

双击地址,发现了这个,那么这个是什么意思,这个的意思就是 (游戏首地址 + 偏移的意思)

游戏首地址怎么看

我们打开PChunter工具(注意,64位系统,请用64位的,32的用32的,我的是64的所以用64的)

找到植物大战僵尸的进程

看下模块路径,以及植物大战僵尸的基地址入口点

所以我们的公式可以得到补充了

[[006A9EC0 + 768]+5560] = 取出的内容等于阳光的个数

为什么我们确定是006A9EC0,而不是下面的3个绿色的

我们可以数据窗口中搜索这个地址,接着内存下访问的断点

我们可能会得出很多个加偏移的,不过没关系,一个一个的场浩司,总会找到

最终会找到,如下图

那么现在我们用CE的添加地址功能 把我们的地址+偏移添加上,看看是否阳光一样

对了,那么以后写代码就是基址 + 偏移 + 偏移访问

对于找基址的不太熟悉的话,可以看下面的图片

,看下指针结构图后面的内容

也就是 006A9EC0  里面的值 02209CA8

Struct A

{

    Struct B

    {

        Int a   //存放阳光的个数

    }

}

Int a存储了阳光的个数

我们要寻找a

B(地址) + 偏移(5560) = a的地址,然后取内 = 阳光个数

B的地址又要寻找,那么

A的地址 + 偏移(768) = B的地址

A的地址寻找

找到了一个实例

相当于 A  p1 = new A();   我们寻找的P1的地址

P1的地址取内容  = new A的地址(也就是A的地址)

A + 768(得出B的地址) + 5560 = int a成员变量的地址,对其取内容 = 阳光个数

课堂资料:

链接：http://pan.baidu.com/s/1cbGf18 密码：gk7s