0x01 程序及其编译环境

程序如下，功能：我们必须输入正确的密码1234567才能得到密码验证的确认，跳出循环。否则程序提示密码错误再次输入。

#include <stdio.h>#define PASSWORD "1234567"int verify_password(char* password)
{int authenticated;authenticated = strcmp(password, PASSWORD);return authenticated;
}int main(void)
{int valid_flag = 0;char password[1024];while (1){printf("please input password: ");scanf("%s", password);valid_flag = verify_password(password);if (valid_flag){printf("incorrect password!\n\n");}else{printf("Congratulation! You have passed the verification!\n");break;}}
}

程序编译环境：

操作系统：win xp
编译器：VC++6.0
build版本：release版本

对于产生release版本，我们可以在编译时，选择下图内容

如果没上面的界面，我们可以右键空白区域，然后选择组建，就可以出现上面的界面。

程序的运行结果效果图如下：

0x02 分析程序

找到工程的文件夹，我们使用release编译时，会生成一个Release文件夹，在这个文件夹中，我们找到.exe文件

将exe文件直接拖到IDA中，IDA就会把二进制文件翻译成质量上乘的反汇编代码。默认情况下，IDA会自动识别main函数。

按F12会自动绘制出更加专业和详细的函数流程图。

用鼠标选择程序分支点，按空格键切换到汇编代码

这条指令就是我们要找的if分支，内存地址VA：40106E.
用OD打开文件，Ctrl+G，跳转到这个地址。

OD默认情况下将程序中断在PE装载器开始处，而不是main函数的开始。
我们在这个地址打上断点

密码验证函数的返回值存放在EAX中，if语句通过以下两条指令实现。

test eax，eax
JE XXXX

现在我们将je改成jne，现在当我们输入正确密码就会提示错误，输入错误密码就会正确

改过之后，原本JE对应的机器指令为74，改成jnz之后变为75，运行程序，单步执行就可以看到执行了正确密码才应该得到的指令。

0x03 破解程序

方法1

右键----复制到可执行文件-----所有修改

选择全部复制

右键----保存文件，就可以了

运行程序，当我们输入1234567，会让我们继续输入，输入其他会立即退出

方法2

这里我们要认识几个名词：

• 文本偏移地址（File Offset）：数据在PE文件中的地址叫文件偏移地址，这是文件在磁盘上存放时相对于文件开头的偏移。
• 装入基址（Image Base）：PE装入内存时的基地址。默认情况下，EXE文件在内存中的基地址是0x00400000，DLL文件时0x10000000.
• 虚拟内存地址（VA）：PE文件中的指令被装入内存后的地址
• 相对虚拟地址：内存地址相对于映射基址的偏移量
• 节偏移：存储单位差异引起的节基址差
  文件偏移地址=VA-装入基址-节偏移
  节偏移=.text段的虚拟内存地址-文件偏移地址

文件数据在磁盘和内存中的存放：

1. 磁盘：以0x200字节为基本单位进行存放。当一个数据节不足0x200字节时，不足的地方将被0x00填充；当一个数据节超过0x200，下一个0x200将分配给这个节使用。
2. 内存：以0x1000字节为基本单位进行组织。类似的，不足将被补全，如果超出将分配下一个节为其所用。

节偏移就是这些基本单位造成的，也就是0x00填充的地方

用LordPE打开exe文件

我们可以看到.text的虚拟内存地址（Voffset)=0x1000，文件偏移地址（Roffset）也是这个。所以节偏移=0
40106E.这个地址的指令在PE文件中的文件偏移地址=40106E-400000-节偏移=0x106E

用编译器打开exe文件，这里我使用010Editor，Ctrl+G，输入0x106E直接跳转到JE指令的机器代码处，将74改成75

保存后执行，结果和方法1一样。