[[399113]]

本文使用調(diào)試API針對(duì)CrackMe來(lái)編寫(xiě)一個(gè)顯示密碼的程序。

在編寫(xiě)關(guān)于CrackMe的密碼顯示程序以前需要準(zhǔn)備兩項(xiàng)工作，第一項(xiàng)工作是知道要在什么地方合理地下斷點(diǎn)，第二項(xiàng)工作是從哪里能讀取到密碼。帶著這兩個(gè)問(wèn)題重新來(lái)思考一下。在這里的程序中，要對(duì)兩個(gè)字符串進(jìn)行比較，而比較的函數(shù)是strcmp()，該函數(shù)有兩個(gè)參數(shù)，分別是輸入的密碼和真正的密碼。也就是說(shuō)，在調(diào)用strcmp()函數(shù)的位置下斷點(diǎn)，通過(guò)查看它的參數(shù)是可以獲取到正確的密碼的。在調(diào)用strcmp()函數(shù)的位置設(shè)置INT3斷點(diǎn)，也就是將0xCC機(jī)器碼寫(xiě)入這個(gè)地址。用OD看一下調(diào)用strcmp()函數(shù)的地址，如圖1所示。

圖1  調(diào)用strcmp()函數(shù)的地址

從圖1中可以看出，調(diào)用strcmp()函數(shù)的地址為00401E9E。有了這個(gè)地址，只要找到該函數(shù)的兩個(gè)參數(shù)，就可以找到輸入的錯(cuò)誤的密碼及正確的密碼。從圖1中可以看出，正確的密碼的起始地址保存在EDX中，錯(cuò)誤的密碼的起始地址保存在ECX中。只要在00401E9E地址處下斷點(diǎn)，并通過(guò)線程環(huán)境讀取EDX和ECX寄存器值就可以得到兩個(gè)密碼的起始地址。

進(jìn)行準(zhǔn)備的工作已經(jīng)做好了，下面來(lái)寫(xiě)一個(gè)控制臺(tái)的程序。先定義兩個(gè)常量，一個(gè)是用來(lái)設(shè)置斷點(diǎn)的地址，另一個(gè)是INT3指令的機(jī)器碼。定義如下： 

// 需要設(shè)置 INT3 斷點(diǎn)的位置  
#define BP_VA 0x00401E9E  
// INT3 的機(jī)器碼  
const BYTE bInt3 = '\xCC'; 

把CrackMe的文件路徑及文件名當(dāng)參數(shù)傳遞給顯示密碼的程序。顯示的程序首先要以調(diào)試的方式創(chuàng)建CrackMe，代碼如下： 

// 啟動(dòng)信息  
STARTUPINFO si = { 0 };  
si.cb = sizeof(STARTUPINFO);  
GetStartupInfo(&si);  
// 進(jìn)程信息  
PROCESS_INFORMATION pi = { 0 };  
// 創(chuàng)建被調(diào)試進(jìn)程  
BOOL bRet = CreateProcess(pszFileName,  
  NULL,NULL,NULL,FALSE,  
  DEBUG_PROCESS | DEBUG_ONLY_THIS_PROCESS,  
  NULL,NULL,&si,&pi);  
if ( bRet == FALSE )  
{  
  printf("CreateProcess Error \r\n");  
  return -1;  
}  

然后進(jìn)入調(diào)試循環(huán)，要處理兩個(gè)調(diào)試事件，一個(gè)是CREATE_PROCESS_DEBUG_EVENT，另一個(gè)是EXCEPTION_DEBUG_EVENT下的EXCEPTION_BREAKPOINT。處理CREATE_PROCESS_DEBUG_EVENT的代碼如下： 

// 創(chuàng)建進(jìn)程時(shí)的調(diào)試事件  
case CREATE_PROCESS_DEBUG_EVENT:  
{  
  // 讀取欲設(shè)置 INT3 斷點(diǎn)處的機(jī)器碼  
  // 方便后面恢復(fù)  
  ReadProcessMemory(pi.hProcess,(LPVOID)BP_VA,  
    (LPVOID)&bOldByte,sizeof(BYTE),&dwReadWriteNum); 
  // 將 INT3 的機(jī)器碼 0xCC 寫(xiě)入斷點(diǎn)處  
  WriteProcessMemory(pi.hProcess,(LPVOID)BP_VA,  
    (LPVOID)&bInt3,sizeof(BYTE),&dwReadWriteNum);  
  break;  
} 

在CREATE_PROCESS_DEBUG_EVENT中對(duì)調(diào)用strcmp()函數(shù)的地址處設(shè)置INT3斷點(diǎn)，再將0xCC寫(xiě)入這里時(shí)要把原來(lái)的機(jī)器碼讀取出來(lái)。讀取原機(jī)器碼使用ReadProcess Memory()，寫(xiě)入INT3的機(jī)器碼使用WriteProcessMemory()。讀取原機(jī)器碼的作用是當(dāng)寫(xiě)入的0xCC產(chǎn)生中斷以后，需要將原機(jī)器碼寫(xiě)回，以便程序可以正確繼續(xù)運(yùn)行。

再來(lái)看一下EXCEPTION_DEBUG_EVENT下的EXCEPTION_BREAKPOINT是如何進(jìn)行處理的，代碼如下： 

// 產(chǎn)生異常時(shí)的調(diào)試事件  
case EXCEPTION_DEBUG_EVENT:  
{  
  // 判斷異常類型  
  switch ( de.u.Exception.ExceptionRecord.ExceptionCode )  
  {  
    // INT3 類型的異常  
    case EXCEPTION_BREAKPOINT:  
    {  
      // 獲取線程環(huán)境  
      context.ContextFlags = CONTEXT_FULL;  
      GetThreadContext(pi.hThread, &context);  
      // 判斷是否斷在設(shè)置的斷點(diǎn)位置處  
      if ( (BP_VA + 1) == context.Eip )  
      {  
        // 讀取正確的密碼  
        ReadProcessMemory(pi.hProcess,(LPVOID)context.Edx,  
          (LPVOID)pszPassword,MAXBYTE,&dwReadWriteNum);  
        // 讀取錯(cuò)誤密碼  
        ReadProcessMemory(pi.hProcess,(LPVOID)context.Ecx,  
          (LPVOID)pszErrorPass,MAXBYTE,&dwReadWriteNum);  
        printf("你輸入的密碼是: %s \r\n", pszErrorPass);  
        printf("正確的密碼是: %s \r\n", pszPassword);  
        //指令執(zhí)行了 INT3 而被中斷  
        // INT3 的機(jī)器指令長(zhǎng)度為 1 字節(jié)  
        // 因此需要將 EIP 減一來(lái)修正 EIP  
        // EIP 是指令指針寄存器  
        // 其中保存著下條要執(zhí)行指令的地址  
        context.Eip --;  
        // 修正原來(lái)該地址的機(jī)器碼  
        WriteProcessMemory(pi.hProcess,(LPVOID)BP_VA,  
          (LPVOID)&bOldByte,sizeof(BYTE),&dwReadWriteNum); 
        // 設(shè)置當(dāng)前的線程環(huán)境  
        SetThreadContext(pi.hThread, &context);  
      }  
      break;  
    }  
  }  
} 

對(duì)于調(diào)試事件的處理，應(yīng)該放到調(diào)試循環(huán)中。上面的代碼給出的是對(duì)調(diào)試事件的處理，再來(lái)看一下調(diào)試循環(huán)的大體代碼： 

while ( TRUE )  
{  
  // 獲取調(diào)試事件  
  WaitForDebugEvent(&de, INFINITE);  
  // 判斷事件類型  
  switch ( de.dwDebugEventCode )  
  {  
    // 創(chuàng)建進(jìn)程時(shí)的調(diào)試事件  
    case CREATE_PROCESS_DEBUG_EVENT:  
    {  
      break;  
    }  
    // 產(chǎn)生異常時(shí)的調(diào)試事件  
    case EXCEPTION_DEBUG_EVENT:  
    { 
      // 判斷異常類型  
      switch ( de.u.Exception.ExceptionRecord.ExceptionCode )  
      {  
        // INT3 類型的異常  
        case EXCEPTION_BREAKPOINT:  
        {  
        }  
        break;  
      }  
    }  
  }  
  ContinueDebugEvent(de.dwProcessId,de.dwThreadId,DBG_CONTINUE);  
} 

只要把調(diào)試事件的處理方法放入調(diào)試循環(huán)中，程序就完整了。接下來(lái)編譯連接一下，然后把CrackMe直接拖放到這個(gè)密碼顯示程序上。程序會(huì)啟動(dòng)CrackMe進(jìn)程，并等待用戶的輸入。輸入賬號(hào)及密碼后，單擊“確定”按鈕，程序會(huì)顯示出正確的密碼和用戶輸入的密碼，如圖2所示。

圖2  顯示正確密碼

根據(jù)圖2顯示的結(jié)果進(jìn)行驗(yàn)證，可見(jiàn)獲取的密碼是正確的。程序到此結(jié)束，大家可以把該程序改成通過(guò)附加調(diào)試進(jìn)程來(lái)顯示密碼，以鞏固所學(xué)的知識(shí)。