Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Introduction à la fissuration à partir de zéro en utilisant OllyDbg - Chapitre

Introduction à la fissuration à partir de zéro en utilisant OllyDbg - Chapitre 1 Date messages 1 sen 2006 Introduction à la fissuration à partir de zéro en utilisant OllyDbg - Chapitre 1 - Archives WASM.RU Le but de cette « Introduction à la fissuration à partir de zéro en utilisant OllyDbg», est de donner à ceux qui ont tout juste commencé à apprendre l'art de krekninga, des connaissances de base et, en même temps, faire en sorte que cette connaissance permettra plus de lire et de comprendre des tutoriels plus avancés - tels , qui se trouve dans le « New Deal de CracksLatinos», qui, bien sûr, reste ouvert à de nouveaux ajouts et les achèvements. L'idée de la création du cours est née du fait que bon nombre des tutoriels dans le « New Deal de CracksLations» s’est avéré être trop compliqué pour les débutants, et ceux qui ne pas atteindre le niveau souhaité, sont frustrés et dans de nombreux cas ont refusé de continuer. Par conséquent, l'objectif de la « Introduction ... » n'est pas une répétition des merveilleux tutoriels « New Deal ... », dont le nombre a déjà dépassé 500, mais de jeter les bases à ceux qui suivent ce cours, capable de lire l'outil plus complexe. Cela, comme tout le reste dans notre métier, exige un effort considérable, et la tâche principale est de réduire leur nombre, ce qui donne des connaissances de base et permettant à l'avenir de comprendre le matériel plus complexe. Pourquoi OllyDbg? Nous ne serons pas ici pour parler de la confrontation éternelle Soft-Ice contre OllyDbg, je pense que même les fanatiques de la Soft-Ice reconnaissent qu'il est plus facile de commencer par OllyDbg, parce qu'il y a beaucoup d'informations et il est plus facile d'apprendre. Nous devons entrer dans le monde de la fissuration par la porte sous le nom de «OllyDbg», et seulement après cela, qui doit être en mesure de passer à tout autre débogueur qui sera nécessaire, puisque seulement changé leurs méthodes d'utilisation, mais l'essence reste la même. Commençons dès le début Vous devez d'abord s'armer avec un outil que nous allons utiliser. Cliquez ici et le télécharger. Comme nous commençons à partir de zéro, nous devons d'abord décompresser l'archive téléchargée dans un dossier de votre disque dur où vous pouvez y accéder facilement. La bonne idée est de le créer sur le lecteur C: /. Bien que cela fonctionnera ailleurs aussi, je sélectionné le C: /. Une fois le fichier extrait, allez dans le dossier créé et regarder: Il y a un l’exécutable OLLYDBG.exe dont nous devons créer le raccourci sur le bureau. Ok, vous êtes prêt à le lancer. Cliquez sur OllyDbg: Au lancement un message nous indique que la DLL que nous chargeons dans la bibliothèque est plus ancienne que la DLL du système. Si vous choisissez « Oui », celle du système sera remplacée. Bien que je ne voie pas beaucoup de différence entre les deux, cependant, je préfère celle de la distribution, et, par conséquent, toujours cliquez sur « Non ». L’istallation d’ OllyDbg est propre. Le premier programme que nous allons ouvrir pour se familiariser avec OllyDbg est un CrackMe « CrueHead'a », objet de ce tutoriel. Pour ouvrir un fichier dans OllyDbg, allez dans File -> Open ou cliquez sur l'icône symbolisant un dossier: Une fenêtre apparaît où vous devez trouver le fichier, dans ce cas le « crackme CrueHead'a ». Ouvre-dessus crackme, et au moment où il n'a pas d'importance qu'on ne sait pas ce qui nous est révélé à la vue - aussi longtemps que nous venons de passer par les différentes parties et fonctions OllyDbg et certains des paramètres à quand le prochain tutoriel sera écrit, par exemple, « aller à la déchetterie», vous aurez au moins savoir où cette option. Nous nous trouvons avec quatre fenêtres principales de OllyDbg: 1) Code Disassembler Ici OllyDBG nous montre le code désassemblé du programme dans le debugger. Par défaut OllyDBG est configuré pour analyser le programme lorsqu'il est ouvert. Cependant il peut être modifié dans Options -> Options de débogage. Autrement dit, si la case «AUTO START ANALISIS DU MODULE PRINCIPAL» est cochée OllyDbg analysera le programme et affichera les informations supplémentaires. Ceci est le début de l'annonce analysé le crackme CrueHead'a, et si nous ouvrons sans l'analyse, nous pouvons voir la différence. Dans l'analyse contient beaucoup d'informations, qui, malgré le fait que si nous ne sommes pas très clair, semble très intéressant. Dans le même temps agréable de savoir qu'il peut être retiré à tout moment, si l'analyse n'a pas été très précise, ou il peut contenir une erreur. OllyDbg affiche souvent certaines parties du programme correctement, comme interprète de façon erronée le code exécutable sous forme de données, et il se présente comme suit: Dans ce cas, vous pouvez supprimer manuellement l'analyse en cliquant sur la liste, faites un clic droit et sélectionnez «ANALISIS -> remove ANALYSE DU MODULE». Et puis la liste sera affichée correctement. Une autre option, que vous pouvez utiliser pour faciliter raobty et que je ne aime vraiment pas personnellement (mais les goûts sont différents), un éclairage de saut (transitions) et appels (appels) - cliquez sur la liste, faites un clic droit et sélectionnez «ASPECT -> ÉVIDENCE - > ET LANCE UN APPEL SAUTS ». Reçu les éléments suivants: Ici, nous voyons que la couleur d'azur CALLs mis en évidence et transitions - jaune. Maintenant la liste plus lisible, mais jusqu'à présent, nous n'avons pas la moindre idée de ce que cela signifie, mais il est bon d'avoir un outil préparé pour une utilisation ultérieure. 2) Registres La deuxième fenêtre importante - une fenêtre de registre. Rappelons que la fenêtre de registre est dans la partie droite de OllyDbg, et il semble une quantité importante d'informations. Il y a beaucoup plus d'informations que nous ne voyons pas, mais vous pouvez définir le mode d'affichage dans les trois états ( «VIEW FPU REGISTRES» - registres FPU-affichage, «VIEW 3D REGISTRES maintenant» - affichage « 3D » -registry et «VIEW DEBUG REGISTRES» - registres de débogage d'affichage). Par défaut, le premier. 3) Pile ou « tas » Maintenant, allez à la « pile ou le tas. » Il n'y a pas trop d'options de configuration - sauf que peuvent afficher des informations relatives aux registres ESP et EBP. Le coût par défaut le mode d'affichage de l'information associée à l'ESP (et il est aussi le plus utile), mais il peut être changé en mode d'affichage associé au PAAS, ce qui est nécessaire de cliquer dans la fenêtre, faites un clic droit et sélectionnez «GO TO RASE» et l'utilisation continue de l'élément «GO ESP» nous ramènera au mode précédent. Dans les chapitres suivants, je vais vous expliquer plus pile de fonctionnalités, mais aussi longtemps que nous considérons que ce qui peut être modifié par la configuration. 4) Dump Nous avons beaucoup de modes d'affichage de la fenêtre de vidage qui peut être changé en cliquant sur le bouton droit de la souris dans la zone de décharge et de choisir celle qui est nécessaire. Le mode par défaut utilise 8 octets Hex / ASCII. Mode, la valeur par défaut est aussi le plus couramment utilisé, mais en même temps, nous avons la possibilité de changer pour afficher le démontage (DÉSASSEMBLER), texte (texte) et d'autres formats (court, long, FLOAT). Et nakoets, l'option spéciale -> PE HEADER, qui, comme nous le verrons dans les chapitres suivants, peuvent être très utiles. Maintenant, nous savons que la partie principale de la fenêtre OllyDbg, mais il y a des fenêtres qui ne sont pas directement, mais peut être provoquée en utilisant le menu ou via les boutons du panneau de commande. Considérons chacun d'eux. bouton L ou Affichage-> LOG nous montre ce que OllyDbg écrit dans la fenêtre du journal. Il peut être configuré pour afficher différents types d'informations, mais par défaut, la fenêtre du journal est stocké toutes les informations sur le lancement, ainsi que des informations relatives à «points d'arrêt Condicional JOURNAUX» (journaux de points d'arrêt conditionnels). Depuis le dernier que nous rencontrons beaucoup plus tard, mais pour l'instant nous allons voir des informations sur les processus en cours d'exécution (dans ce cas krekmi CrueHead'a) et les bibliothèques qu'il charge. L'une des caractéristiques les plus importantes de cette fenêtre - il est maintenant le journal dans un fichier sur le cas, si nous voulons enregistrer les informations dans un fichier texte. Pour activer cette option, cliquez sur le bouton droit de la souris et sélectionnez le «LOG DÉPOSER». Bouton E ou Affichage-> EXÉCUTABLES nous montre une liste des modules que le programme utilise: exe, dll, ocx et autres. Il y a aussi le bouton droit de la souris fait apparaître une variété d'options que si nous ne verrons pas, mais nous avons déjà vu dans l'étude de la fenêtre principale OllyDbg. M ou Affichage-> bouton MEMORY affiche la mémoire utilisée par notre programme. Ici, nous voyons la section d'application de la bibliothèque en utilisant la pile de processus et uploads/Management/ introduction-a-la-fissuration-a-partir-de-zero-en-utilisant-ollydbg1.pdf