我正在尝试学习反向工程,并以扫雷作为样本应用程序。 我找到了这篇MSDN文章,介绍了一个简单的WinDbg命令,可以显示所有地雷,但是它已经过时,没有详细解释,并且并不是我要找的东西。
我拥有IDA Pro反汇编器和WinDbg调试器,并将winmine.exe加载到它们两个中。 请问有人能够在这些程序中提供一些实用的技巧,以找到代表地雷区域的数据结构的位置吗?
在WinDbg中,我可以设置断点,但很难想象在什么时候以及在哪个内存位置上设置断点。 同样,在IDA Pro中查看静态代码时,我不确定该从何处开始寻找表示地雷区域的函数或数据结构。
Stackoverflow上是否有任何反向工程师可以指导我朝正确的方向前进?
如果您是认真进行逆向工程的人-请忘记训练器和作弊引擎。
优秀的逆向工程师应该首先了解操作系统、核心API函数、程序的一般结构(运行循环、窗口结构、事件处理例程)、文件格式(PE)。Petzold经典著作“Windows编程”可以提供帮助(www.amazon.com/exec/obidos/ISBN=157231995X),还有在线MSDN。
首先,您应该考虑地雷场初始化例程可能被调用的位置。我想到以下几点:
我决定查看F2加速器命令。
要找到加速器处理代码,您需要找到窗口消息处理过程(WndProc)。它可以通过CreateWindowEx和RegisterClass调用来跟踪下来。
阅读:
.text:0100225D mov [ebp+WndClass.lpfnWndProc], offset mainWndProc
.text:01002264 mov [ebp+WndClass.cbClsExtra], edi
.text:01002267 mov [ebp+WndClass.cbWndExtra], edi
.text:0100226A mov [ebp+WndClass.hInstance], ecx
.text:0100226D mov [ebp+WndClass.hIcon], eax
.text:01002292 call ds:RegisterClassW
在函数名称上按Enter键(使用“N”将其重命名为更好的名称)
现在看一下
.text:01001BCF mov edx, [ebp+Msg]
.text:01001D5B sub eax, 111h
.text:01001D60 jz short loc_1001DBC
右键单击111h,使用“符号常量” -> “使用标准符号常量”,输入WM_并按Enter。现在您应该拥有
.text:01001D5B sub eax, WM_COMMAND
.text:01001D60 jz short loc_1001DBC
好的,让我们继续使用F2按钮。
根据使用键盘加速器,当按下F2按钮时,wndProc函数会接收到WM_COMMAND或WM_SYSCOMMAND消息。wParam参数的低位字包含加速器的标识符。
... 接收到WM_COMMAND或WM_SYSCOMMAND消息。wParam参数的低位字包含加速器的标识符。
好的,我们已经找到了处理WM_COMMAND的地方,但是如何确定相应的wParam参数值呢?这就是资源编辑器发挥作用的地方。将其提供的二进制文件输入,它会显示所有内容,比如我的加速器表。
alt text http://files.getdropbox.com/u/1478671/2009-07-29_161532.jpg
你可以在这里看到,F2按钮对应的wParam为510。
现在让我们回到处理WM_COMMAND的代码,它将wParam与不同的常量进行比较。
.text:01001DBC HandleWM_COMMAND: ; CODE XREF: mainWndProc+197j
.text:01001DBC movzx eax, word ptr [ebp+wParam]
.text:01001DC0 mov ecx, 210h
.text:01001DC5 cmp eax, ecx
.text:01001DC7 jg loc_1001EDC
.text:01001DC7
.text:01001DCD jz loc_1001ED2
.text:01001DCD
.text:01001DD3 cmp eax, 1FEh
.text:01001DD8 jz loc_1001EC8
使用上下文菜单或'H'键快捷方式显示十进制值,您可以看到我们的跳跃
.text:01001DBC HandleWM_COMMAND: ; CODE XREF: mainWndProc+197j
.text:01001DBC movzx eax, word ptr [ebp+wParam]
.text:01001DC0 mov ecx, 528
.text:01001DC5 cmp eax, ecx
.text:01001DC7 jg loc_1001EDC
.text:01001DC7
.text:01001DCD jz loc_1001ED2
.text:01001DCD
.text:01001DD3 cmp eax, 510
.text:01001DD8 jz loc_1001EC8 ; here is our jump
.text:01001EC8 loc_1001EC8: ; CODE XREF: mainWndProc+20Fj
.text:01001EC8 call sub_100367A ; startNewGame ?
.text:01001EC8
.text:01001ECD jmp callDefAndExit ; default
这是启动新游戏的函数吗?最后一部分会有答案!敬请关注。
让我们来看看该函数的第一部分。
.text:0100367A sub_100367A proc near ; CODE XREF: sub_100140C+CAp
.text:0100367A ; sub_1001B49+33j ...
.text:0100367A mov eax, dword_10056AC
.text:0100367F mov ecx, uValue
.text:01003685 push ebx
.text:01003686 push esi
.text:01003687 push edi
.text:01003688 xor edi, edi
.text:0100368A cmp eax, dword_1005334
.text:01003690 mov dword_1005164, edi
.text:01003696 jnz short loc_10036A4
.text:01003696
.text:01003698 cmp ecx, dword_1005338
.text:0100369E jnz short loc_10036A4
有两个值(dword_10056AC,uValue)读入寄存器eax和ecx,并与另外两个值(dword_1005164,dword_1005338)进行比较。
使用WinDBG查看实际值(“bp 01003696”;在中断时“p eax; p ecx”)-它们对我来说就像地雷场的尺寸。通过自定义地雷场大小进行游戏,发现第一对是新尺寸,第二对是当前尺寸。让我们设置新名称。
.text:0100367A startNewGame proc near ; CODE XREF: handleButtonPress+CAp
.text:0100367A ; sub_1001B49+33j ...
.text:0100367A mov eax, newMineFieldWidth
.text:0100367F mov ecx, newMineFieldHeight
.text:01003685 push ebx
.text:01003686 push esi
.text:01003687 push edi
.text:01003688 xor edi, edi
.text:0100368A cmp eax, currentMineFieldWidth
.text:01003690 mov dword_1005164, edi
.text:01003696 jnz short loc_10036A4
.text:01003696
.text:01003698 cmp ecx, currentMineFieldHeight
.text:0100369E jnz short loc_10036A4
.text:010036A7 mov currentMineFieldWidth, eax
.text:010036AC mov currentMineFieldHeight, ecx
.text:010036B2 call sub_1002ED5
当我看到它时
.text:01002ED5 sub_1002ED5 proc near ; CODE XREF: sub_1002B14:loc_1002B1Ep
.text:01002ED5 ; sub_100367A+38p
.text:01002ED5 mov eax, 360h
.text:01002ED5
.text:01002EDA
.text:01002EDA loc_1002EDA: ; CODE XREF: sub_1002ED5+Dj
.text:01002EDA dec eax
.text:01002EDB mov byte ptr dword_1005340[eax], 0Fh
.text:01002EE2 jnz short loc_1002EDA
我完全确定我找到了地雷阵列。因为循环将360h字节长度的数组(dword_1005340)初始化为0xF。
为什么360h = 864?下面有一些线索,每行占用32个字节,864可以被32整除,因此数组可以容纳27 * 32个单元格(尽管UI允许最大24 * 30个字段,但是数组周围有一个字节的填充边框)。
以下代码生成地雷场的顶部和底部边框(0x10字节)。我希望您能在这个混乱中看到循环迭代;我不得不使用纸和笔。
.text:01002EE4 mov ecx, currentMineFieldWidth
.text:01002EEA mov edx, currentMineFieldHeight
.text:01002EF0 lea eax, [ecx+2]
.text:01002EF3 test eax, eax
.text:01002EF5 push esi
.text:01002EF6 jz short loc_1002F11 ;
.text:01002EF6
.text:01002EF8 mov esi, edx
.text:01002EFA shl esi, 5
.text:01002EFD lea esi, dword_1005360[esi]
.text:01002EFD
.text:01002F03 draws top and bottom borders
.text:01002F03
.text:01002F03 loc_1002F03: ; CODE XREF: sub_1002ED5+3Aj
.text:01002F03 dec eax
.text:01002F04 mov byte ptr MineField?[eax], 10h ; top border
.text:01002F0B mov byte ptr [esi+eax], 10h ; bottom border
.text:01002F0F jnz short loc_1002F03
.text:01002F0F
.text:01002F11
.text:01002F11 loc_1002F11: ; CODE XREF: sub_1002ED5+21j
.text:01002F11 lea esi, [edx+2]
.text:01002F14 test esi, esi
.text:01002F16 jz short loc_1002F39
其余的子程序绘制左右边框。
.text:01002F18 mov eax, esi
.text:01002F1A shl eax, 5
.text:01002F1D lea edx, MineField?[eax]
.text:01002F23 lea eax, (MineField?+1)[eax+ecx]
.text:01002F23
.text:01002F2A
.text:01002F2A loc_1002F2A: ; CODE XREF: sub_1002ED5+62j
.text:01002F2A sub edx, 20h
.text:01002F2D sub eax, 20h
.text:01002F30 dec esi
.text:01002F31 mov byte ptr [edx], 10h
.text:01002F34 mov byte ptr [eax], 10h
.text:01002F37 jnz short loc_1002F2A
.text:01002F37
.text:01002F39
.text:01002F39 loc_1002F39: ; CODE XREF: sub_1002ED5+41j
.text:01002F39 pop esi
.text:01002F3A retn
聪明地使用WinDBG命令可以为您提供酷炫的扫雷转储(自定义大小9x9)。查看边框!
0:000> db /c 20 01005340 L360
01005340 10 10 10 10 10 10 10 10-10 10 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005360 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005380 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
010053a0 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
010053c0 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
010053e0 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005400 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005420 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005440 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005460 10 0f 0f 0f 0f 0f 0f 0f-0f 0f 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
01005480 10 10 10 10 10 10 10 10-10 10 10 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
010054a0 0f 0f 0f 0f 0f 0f 0f 0f-0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
010054c0 0f 0f 0f 0f 0f 0f 0f 0f-0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
010054e0 0f 0f 0f 0f 0f 0f 0f 0f-0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f 0f ................................
嗯,看起来我需要另一篇文章来关闭这个话题
看起来你试图反汇编源代码,但你需要做的是查看正在运行程序的内存空间。十六进制编辑器 HxD有一个功能可以让你做到这一点。
一旦进入内存空间,关键就在于在您操作后对内存进行快照。隔离哪些内容发生了变化和哪些没有变化。当您认为已找到数据结构在十六进制内存中所在位置时,请尝试在内存中编辑它,看看是否会导致板子发生更改。
你想要的过程很像是为视频游戏构建“trainer”。这些通常基于查找像生命值和弹药这样的值在内存中的位置并在运行时更改它们。你可能能够找到一些关于如何构建游戏trainer的好教程。
请查看这篇代码项目文章,它比你提到的博客文章更加深入。
http://www.codeproject.com/KB/trace/minememoryreader.aspx
虽然不是直接关于扫雷游戏的文章,但这篇文章为您提供了使用WinDbg逐步寻找内存的良好指南:
http://www.codingthewheel.com/archives/extracting-hidden-text-with-windbg
同样地,虽然这不是关于扫雷游戏的文章,但它确实给了我一些关于内存调试的启发,这里有大量的教程:
http://memoryhacking.com/forums/index.php
此外,下载CheatEngine(由Nick D.提到)并完成其附带的教程。
这个网站可能会更有帮助:
http://www.subversity.net/reversing/hacking-minesweeper
一般的做法是:好吧,在第二次阅读时,似乎您想要一个关于如何使用调试器(如WinDBG)的指南,而不是通常的逆向工程问题。我已经向您展示了告诉您需要搜索哪些值的网站,那么问题是,如何搜索?
在此示例中,我使用的是记事本,因为我没有安装扫雷游戏。但是思路是相同的。
您输入
s <options> <memory start> <memory end> <pattern>
按下“?”再按“s”查看帮助。
一旦您找到想要的内存模式,您可以按alt+5来打开内存查看器以获得良好的显示。
WinDBG需要一些时间去适应,但它和其他调试器一样好。
矿井可能会存储在某种二维数组中。这意味着它可以是指针数组或布尔值的单个C风格数组。
每当表单接收到鼠标抬起事件时,就会引用此数据结构。索引将使用鼠标坐标计算,可能使用整数除法。这意味着您应该查找一个cmp或类似指令,其中一个操作数使用偏移量和x计算,其中x是涉及整数除法的计算结果。然后,偏移量将是数据结构开头的指针。
可以合理地假设,关于地雷的信息在内存中是连续排列的,至少对于行来说(即它是一个二维数组或者数组的数组)。因此,我会尝试打开同一行中的几个相邻单元格,在进行过程中进行内存转储,然后将它们进行比较,并查找在同一内存区域中是否有任何重复更改(即第一步更改了1个字节,下一步更改为完全相同的值,以此类推)。
还有可能是紧缩位数组(每个地雷需要3位就足够记录所有可能的状态-关闭/打开、地雷/非地雷、标记/未标记),所以我也会留意这一点(模式也是可重复的,但更难以发现)。但这不是一个方便处理的结构,而且我认为内存使用量不是扫雷的瓶颈,因此不太可能使用这种方法。
虽然不是严格意义上的“逆向工程师工具”,而更像是一个傻瓜都能使用的玩具,但你可以看看Cheat Engine。它使得跟踪内存哪些部分已经改变,何时改变变得相对容易,并且甚至有跟踪通过指针改变的内存部分的规定(尽管你可能不需要)。还包括一个不错的交互式教程。