OllyDBG 入门系列（五）－消息断点及 RUN 跟踪

核心提示： 在地址401082处的那条指令上双击一下，来到以下位置：现在我们在地址4010A6处的那条指令上按F2，OllyDBG 入门系列（五）－消息断点及 RUN 跟踪(7)，删除所有其它的断点，点菜单调试->关闭RUN跟踪，直接打开RUN跟踪，添加“所有函数过程的入口”后

在地址　401082　处的那条指令上双击一下，来到以下位置：

　

现在我们在地址　4010A6　处的那条指令上按　F2，删除所有其它的断点，点菜单调试->关闭　RUN　跟踪，现在我们就可以开始分析了：

004010E2　|.　8BFE　　　　　　　　　　　　　MOV　EDI,ESI　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　用户名送　EDI
004010E4　|.　03F8　　　　　　　　　　　　　ADD　EDI,EAX
004010E6　|.　FC　　　　　　　　　　　　　　　CLD
004010E7　|.　F3:A4　　　　　　　　　　　　REP　MOVS　BYTE　PTR　ES:[EDI],BYTE　PTR　DS:[ESI]
004010E9　|.　33C9　　　　　　　　　　　　　XOR　ECX,ECX　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　清零，设循环计数器
004010EB　|.　BE　71214000　　　　　　MOV　ESI,cycle.00402171　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　注册码送ESI
004010F0　|>　41　　　　　　　　　　　　　　　INC　ECX
004010F1　|.　AC　　　　　　　　　　　　　　　LODS　BYTE　PTR　DS:[ESI]　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　取注册码的每个字符
004010F2　|.　0AC0　　　　　　　　　　　　　OR　AL,AL　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　判断是否为空
004010F4　|.　74　0A　　　　　　　　　　　　JE　SHORT　cycle.00401100　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　没有则跳走
004010F6　|.　3C　7E　　　　　　　　　　　　CMP　AL,7E　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　判断字符是否为非ASCII字符
004010F8　|.　7F　06　　　　　　　　　　　　JG　SHORT　cycle.00401100　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　非ASCII字符跳走
004010FA　|.　3C　30　　　　　　　　　　　　CMP　AL,30　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　看是否小于30H，主要是判断是不是数字或字母等
004010FC　|.　72　02　　　　　　　　　　　　JB　SHORT　cycle.00401100　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　小于跳走
004010FE　|.^　EB　F0　　　　　　　　　　　JMP　SHORT　cycle.004010F0
00401100　|>　83F9　11　　　　　　　　　　CMP　ECX,11　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　比较注册码位数，必须为十进制17位
00401103　|.　75　1A　　　　　　　　　　　　JNZ　SHORT　cycle.0040111F
00401105　|.　E8　E7000000　　　　　　CALL　cycle.004011F1　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　关键，F7跟进去
0040110A　|.　B9　01FF0000　　　　　　MOV　ECX,0FF01
0040110F　|.　51　　　　　　　　　　　　　　　PUSH　ECX
00401110　|.　E8　7B000000　　　　　　CALL　cycle.00401190　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　关键，跟进去
00401115　|.　83F9　01　　　　　　　　　　CMP　ECX,1
00401118　|.　74　06　　　　　　　　　　　　JE　SHORT　cycle.00401120
0040111A　|>　E8　47000000　　　　　　CALL　cycle.00401166　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　注册失败对话框
0040111F　|>　C3　　　　　　　　　　　　　　　RETN
00401120　|>　A1　68214000　　　　　　MOV　EAX,DWORD　PTR　DS:[402168]
00401125　|.　8B1D　6C214000　　　　MOV　EBX,DWORD　PTR　DS:[40216C]
0040112B　|.　33C3　　　　　　　　　　　　　XOR　EAX,EBX
0040112D　|.　3305　82214000　　　　XOR　EAX,DWORD　PTR　DS:[402182]
00401133　|.　0D　40404040　　　　　　OR　EAX,40404040
00401138　|.　25　77777777　　　　　　AND　EAX,77777777
0040113D　|.　3305　79214000　　　　XOR　EAX,DWORD　PTR　DS:[402179]
00401143　|.　3305　7D214000　　　　XOR　EAX,DWORD　PTR　DS:[40217D]
00401149　|.^　75　CF　　　　　　　　　　　JNZ　SHORT　cycle.0040111A　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　这里跳走就完蛋
0040114B　|.　E8　2B000000　　　　　　CALL　cycle.0040117B　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　;　注册成功对话框

写到这准备跟踪算法时，才发现这个　crackme　还是挺复杂的，具体算法我就不写了，实在没那么多时间详细跟踪。有兴趣的可以跟一下，注册码是17 位，用户名采用复制的方式扩展到　16　位，如我输入“CCDebuger”，扩展后就是“CCDebugerCCDebug”。大致是先取扩展后用户名的前　8　位和注册码的前　8　位，把用户名的前四位和后四位分别与注册码的前四位和后四位进行运算，算完后再把扩展后用户名的后　8　位和注册码的后　8　位分两部分，再与前面用户名和注册码的前　8　位计算后的值进行异或计算，最后结果等于　0　就成功。注册码的第　17　位我尚未发现有何用处。对于新手来说，可能这个　crackme　的难度大了一点。没关系，我们主要是学习　OllyDBG　的使用，方法掌握就可以了。

最后说明一下：

1、这个程序在设置了消息断点后可以省略在代码段上设访问断点那一步，直接打开　RUN　跟踪，消息断点断下后按　CTR+F12　组合键让程序执行，RUN　跟踪记录中就可以找到关键地方。

2、对于这个程序，你可以不设消息断点，在输入用户名和注册码后先不按那个“Check”按钮，直接打开　RUN　跟踪，添加“所有函数过程的入口”后再回到程序中点“Check”按钮，这时在　OllyDBG　中打开　RUN　跟踪记录同样可以找到关键位置。

编缉推荐阅读以下文章

• OllyDBG 入门系列（四）－内存断点
• OllyDBG 入门系列（三）－函数参考
• OllyDBG 入门系列（二）－字串参考
• OllyDBG 入门系列（一）－认识OllyDBG