靜態分析技術是相對於動態分析而言的。由於在實際分析中,很多場合不方便運行目標(例如病毒程序,設備不兼容,軟件的單獨某一模塊)。那么這個時候靜態分析技術就該上場了。
OD(OllyDbg)和IDA Pro這兩款工具分別是調試逆向的倚天劍和屠龍刀。雖然兩者都兼容動態和靜態的調試方式,但就動態調試而言,OD更為靈活和強大,而靜態調試工具的王者理所應當是功能極為強大的IDA Pro。兩款工具可以在魚C官網下載:www.fishc.com
下面是ollyice界面
對於我們這些初學者,使用最多的就是F2,F9,Ctrl+F9,Alt+F9.
下面舉一個具體實例來修改一個應用程序的的標題(title)
進入頁面,選擇一個可執行程序。
首先會進入光標會停在程序入口點那一行,按F7或者F8執行程序到彈出一個窗口,光標所停的那一行就是代碼執行到的位置,如圖:
找到位置后,按F2加一個斷點,再按Ctrl+F2回到程序入口點。接下來就要從程序開始運行到斷點處(按F9),接下來是最重要的一步了。單步調試找到窗口字符位置。如圖:
記下反匯編代碼運行信息的出現的地址,圖上是00422030.不同的系統可能位置不一樣。接下來在數據窗口點擊右鍵,單擊轉到。輸入剛才的地址,也就是00422030;
這樣就找到了title的信息,如圖:
選中陰影的 i love fishc.com.點擊右鍵,單擊二進制,編輯。然后輸入你想修改的title,例如你要修改為computer。如圖:
接下來就是保存了。選中陰影,點擊右鍵,選中復制可執行文件,
再點擊右鍵,選擇位置,保存文件。
最后我們看看有沒有修改成功,打開剛才保存的文件。還是對比下。
看標題是不是已經改了呢?好吧這只是一種方法,接下來簡要介紹第二種方法。
方法二
對於已經知道的標題,我們是不是可以直接搜尋字符串呢?是的思路就是這樣。
同理也是首先打開文件。然后在反匯編窗口點擊右鍵,依次點擊查找,所有參考字符串。
第一個正好就是我們所需要的字符串,記下反匯編的地址。在數據窗口點擊右鍵,轉到,輸入地址。
接下來的過程就和第一種方法一樣了。是不是很簡單啊!