注:
如果你看完了下面的文章。就来试试这个KeyGenMe吧,相信你能有所收获。
http://www.52pojie.cn/thread-540179-1-1.html
一、文章开头首先我们要贴上一段易语言代码,并且编译这段代码,从汇编角度分析易语言程序编译后,易语言算法在汇编中的实现过程。
.版本 2.程序集 窗口程序集_启动窗口.子程序 _按钮1_被单击
.局部变量 变量1, 整数型
.局部变量 变量2, 整数型
.局部变量 变量3, 整数型变量2 = 1
变量3 = 2
变量1 = 变量2 + 变量3
为了便于理解,所有的变量我都用中文代替,当点击按钮后,创建三个局部变量,分别是变量1,变量2,变量3
变量2=1,变量3=2 最后计算 变量2+变量3 的值,将计算结果给变量1
二、我们编译此代码,生成为exe文件,编译方式采用静态编译,编译后的文件名为ReverseMe.exe
三、重头戏开始了,我们将ReverseMe.exe载入OllyDbg中,通过按钮事件FF 55 FC 5F 5E 定位到我们关键子程序位置
四、上面最后一张图就是我们关键函数的位置,除去函数头和函数尾,我们可以看出,核心代码如下。
五、通过上面的图可以看到一大堆fild fstp fld fild fadd之类的指令。很明显我们可以推测出,易语言程序就算是最简单的加减乘除,被编译后,汇编中都是采用浮点方式计算的。
下面我们对每句代码加上注释,便于理解。
注:下面两点是需要知道的小知识
1.OD中长得像[local.x]的指令,代表的就是易语言中的局部变量
2.fild,fstp等浮点指令,操作的都是浮点堆栈,也就是OD寄存器窗口中的ST0----ST7
六、通过上面的分析,我们看出,仅仅一个整数加法,易语言编译后在汇编干了这么大一堆事情,其实对于Cracker来说,很多汇编代码都是无用的。
下面我们将刚才的分析精简。今后看到此类浮点运算,就能秒识别他在干什么了。
注:下面两点是需要知道的小知识
1.看到此类浮点计算。找fild,有几个fild就有几个操作数,上面有两个fild,所以该代码操作数为[local.1]和[local.2],也就是变量1和变量2
2.找完fild,找运算指令,排除掉一切堆栈操作指令。就仅剩fadd,这个运算指令,也就是加法指令。
综上所述:
PS:今后看到这样的大段代码,是不是就不会懵逼了呢?
