静态分析技术是相对于动态分析而言的。由于在实际分析中,很多场合不方便运行目标(例如病毒程序,设备不兼容,软件的单独某一模块)。那么这个时候静态分析技术就该上场了。
OD(OllyDbg)和IDA Pro这两款工具分别是调试逆向的倚天剑和屠龙刀。虽然两者都兼容动态和静态的调试方式,但就动态调试而言,OD更为灵活和强大,而静态调试工具的王者理所应当是功能极为强大的IDA Pro。两款工具可以在鱼C官网下载:www.fishc.com
下面是ollyice界面
对于我们这些初学者,使用最多的就是F2,F9,Ctrl+F9,Alt+F9.
下面举一个具体实例来修改一个应用程序的的标题(title)
进入页面,选择一个可执行程序。
首先会进入光标会停在程序入口点那一行,按F7或者F8执行程序到弹出一个窗口,光标所停的那一行就是代码执行到的位置,如图:
找到位置后,按F2加一个断点,再按Ctrl+F2回到程序入口点。接下来就要从程序开始运行到断点处(按F9),接下来是最重要的一步了。单步调试找到窗口字符位置。如图:
记下反汇编代码运行信息的出现的地址,图上是00422030.不同的系统可能位置不一样。接下来在数据窗口点击右键,单击转到。输入刚才的地址,也就是00422030;
这样就找到了title的信息,如图:
选中阴影的 i love fishc.com.点击右键,单击二进制,编辑。然后输入你想修改的title,例如你要修改为computer。如图:
接下来就是保存了。选中阴影,点击右键,选中复制可执行文件,
再点击右键,选择位置,保存文件。
最后我们看看有没有修改成功,打开刚才保存的文件。还是对比下。
看标题是不是已经改了呢?好吧这只是一种方法,接下来简要介绍第二种方法。
方法二
对于已经知道的标题,我们是不是可以直接搜寻字符串呢?是的思路就是这样。
同理也是首先打开文件。然后在反汇编窗口点击右键,依次点击查找,所有参考字符串。
第一个正好就是我们所需要的字符串,记下反汇编的地址。在数据窗口点击右键,转到,输入地址。
接下来的过程就和第一种方法一样了。是不是很简单啊!