Vous êtes sur la page 1sur 17

Introduction la fissuration partir de zro en utilisant

OllyDbg - Chapitre 1
Date messages 1 sen 2006

Introduction la fissuration partir de zro en utilisant


OllyDbg - Chapitre 1 - Archives WASM.RU
Le but de cette Introduction la fissuration partir de zro en utilisant OllyDbg, est de donner
ceux qui ont tout juste commenc apprendre l'art de krekninga, des connaissances de base et, en
mme temps, faire en sorte que cette connaissance permettra plus de lire et de comprendre des
tutoriels plus avancs - tels , qui se trouve dans le New Deal de CracksLatinos, qui, bien sr,
reste ouvert de nouveaux ajouts et les achvements.

L'ide de la cration du cours est ne du fait que bon nombre des tutoriels dans le New Deal de
CracksLations sest avr tre trop compliqu pour les dbutants, et ceux qui ne pas atteindre le
niveau souhait, sont frustrs et dans de nombreux cas ont refus de continuer. Par consquent,
l'objectif de la Introduction ... n'est pas une rptition des merveilleux tutoriels New Deal ... ,
dont le nombre a dj dpass 500, mais de jeter les bases ceux qui suivent ce cours, capable de
lire l'outil plus complexe. Cela, comme tout le reste dans notre mtier, exige un effort considrable,
et la tche principale est de rduire leur nombre, ce qui donne des connaissances de base et
permettant l'avenir de comprendre le matriel plus complexe.

Pourquoi OllyDbg?

Nous ne serons pas ici pour parler de la confrontation ternelle Soft-Ice contre OllyDbg, je pense
que mme les fanatiques de la Soft-Ice reconnaissent qu'il est plus facile de commencer par
OllyDbg, parce qu'il y a beaucoup d'informations et il est plus facile d'apprendre. Nous devons
entrer dans le monde de la fissuration par la porte sous le nom de OllyDbg, et seulement aprs
cela, qui doit tre en mesure de passer tout autre dbogueur qui sera ncessaire, puisque seulement
chang leurs mthodes d'utilisation, mais l'essence reste la mme.

Commenons ds le dbut

Vous devez d'abord s'armer avec un outil que nous allons utiliser. Cliquez ici et le tlcharger.

Comme nous commenons partir de zro, nous devons d'abord dcompresser l'archive tlcharge
dans un dossier de votre disque dur o vous pouvez y accder facilement. La bonne ide est de le
crer sur le lecteur C: /. Bien que cela fonctionnera ailleurs aussi, je slectionn le C: /.
Une fois le fichier extrait, allez dans le dossier cr et regarder:

Il y a un lexcutable OLLYDBG.exe dont nous devons crer le raccourci sur le bureau.

Ok, vous tes prt le lancer. Cliquez sur OllyDbg:


Au lancement un message nous indique que la DLL que nous chargeons dans la bibliothque est
plus ancienne que la DLL du systme. Si vous choisissez Oui , celle du systme sera remplace.
Bien que je ne voie pas beaucoup de diffrence entre les deux, cependant, je prfre celle de la
distribution, et, par consquent, toujours cliquez sur Non .

Listallation d OllyDbg est propre. Le premier programme que nous allons ouvrir pour se
familiariser avec OllyDbg est un CrackMe CrueHead'a , objet de ce tutoriel.

Pour ouvrir un fichier dans OllyDbg, allez dans File -> Open ou cliquez sur l'icne symbolisant un
dossier:

Une fentre apparat o vous devez trouver le fichier, dans ce cas le crackme CrueHead'a .

Ouvre-dessus crackme, et au moment o il n'a pas d'importance qu'on ne sait pas ce qui nous est
rvl la vue - aussi longtemps que nous venons de passer par les diffrentes parties et fonctions
OllyDbg et certains des paramtres quand le prochain tutoriel sera crit, par exemple, aller la
dchetterie, vous aurez au moins savoir o cette option.
Nous nous trouvons avec quatre fentres principales de OllyDbg:

1) Code Disassembler

Ici OllyDBG nous montre le code dsassembl du programme dans le debugger. Par dfaut
OllyDBG est configur pour analyser le programme lorsqu'il est ouvert. Cependant il peut tre
modifi dans Options -> Options de dbogage.

Autrement dit, si la case AUTO START ANALISIS DU MODULE PRINCIPAL est coche
OllyDbg analysera le programme et affichera les informations supplmentaires.
Ceci est le dbut de l'annonce analys le crackme CrueHead'a, et si nous ouvrons sans l'analyse,
nous pouvons voir la diffrence.

Dans l'analyse contient beaucoup d'informations, qui, malgr le fait que si nous ne sommes pas trs
clair, semble trs intressant. Dans le mme temps agrable de savoir qu'il peut tre retir tout
moment, si l'analyse n'a pas t trs prcise, ou il peut contenir une erreur.

OllyDbg affiche souvent certaines parties du programme correctement, comme interprte de faon
errone le code excutable sous forme de donnes, et il se prsente comme suit:
Dans ce cas, vous pouvez supprimer manuellement l'analyse en cliquant sur la liste, faites un clic
droit et slectionnez ANALISIS -> remove ANALYSE DU MODULE.

Et puis la liste sera affiche correctement.

Une autre option, que vous pouvez utiliser pour faciliter raobty et que je ne aime vraiment pas
personnellement (mais les gots sont diffrents), un clairage de saut (transitions) et appels (appels)
- cliquez sur la liste, faites un clic droit et slectionnez ASPECT -> VIDENCE - > ET LANCE
UN APPEL SAUTS .
Reu les lments suivants:

Ici, nous voyons que la couleur d'azur CALLs mis en vidence et transitions - jaune.

Maintenant la liste plus lisible, mais jusqu' prsent, nous n'avons pas la moindre ide de ce que cela
signifie, mais il est bon d'avoir un outil prpar pour une utilisation ultrieure.

2) Registres

La deuxime fentre importante - une fentre de registre.

Rappelons que la fentre de registre est dans la partie droite de OllyDbg, et il semble une quantit
importante d'informations.

Il y a beaucoup plus d'informations que nous ne voyons pas, mais vous pouvez dfinir le mode
d'affichage dans les trois tats ( VIEW FPU REGISTRES - registres FPU-affichage, VIEW 3D
REGISTRES maintenant - affichage 3D -registry et VIEW DEBUG REGISTRES - registres
de dbogage d'affichage). Par dfaut, le premier.
3) Pile ou tas

Maintenant, allez la pile ou le tas. Il n'y a pas trop d'options de configuration - sauf que
peuvent afficher des informations relatives aux registres ESP et EBP.

Le cot par dfaut le mode d'affichage de l'information associe l'ESP (et il est aussi le plus utile),
mais il peut tre chang en mode d'affichage associ au PAAS, ce qui est ncessaire de cliquer dans
la fentre, faites un clic droit et slectionnez GO TO RASE et l'utilisation continue de l'lment
GO ESP nous ramnera au mode prcdent.

Dans les chapitres suivants, je vais vous expliquer plus pile de fonctionnalits, mais aussi longtemps
que nous considrons que ce qui peut tre modifi par la configuration.

4) Dump

Nous avons beaucoup de modes d'affichage de la fentre de vidage qui peut tre chang en cliquant
sur le bouton droit de la souris dans la zone de dcharge et de choisir celle qui est ncessaire. Le
mode par dfaut utilise 8 octets Hex / ASCII.
Mode, la valeur par dfaut est aussi le plus couramment utilis, mais en mme temps, nous avons la
possibilit de changer pour afficher le dmontage (DSASSEMBLER), texte (texte) et d'autres
formats (court, long, FLOAT).

Et nakoets, l'option spciale -> PE HEADER, qui, comme nous le verrons dans les chapitres
suivants, peuvent tre trs utiles.

Maintenant, nous savons que la partie principale de la fentre OllyDbg, mais il y a des fentres qui
ne sont pas directement, mais peut tre provoque en utilisant le menu ou via les boutons du
panneau de commande.

Considrons chacun d'eux.

bouton L ou Affichage-> LOG nous montre ce que OllyDbg crit dans la fentre du journal. Il peut
tre configur pour afficher diffrents types d'informations, mais par dfaut, la fentre du journal est
stock toutes les informations sur le lancement, ainsi que des informations relatives points d'arrt
Condicional JOURNAUX (journaux de points d'arrt conditionnels). Depuis le dernier que nous
rencontrons beaucoup plus tard, mais pour l'instant nous allons voir des informations sur les
processus en cours d'excution (dans ce cas krekmi CrueHead'a) et les bibliothques qu'il charge.

L'une des caractristiques les plus importantes de cette fentre - il est maintenant le journal dans un
fichier sur le cas, si nous voulons enregistrer les informations dans un fichier texte. Pour activer
cette option, cliquez sur le bouton droit de la souris et slectionnez le LOG DPOSER.
Bouton E ou Affichage-> EXCUTABLES nous montre une liste des modules que le programme
utilise: exe, dll, ocx et autres.

Il y a aussi le bouton droit de la souris fait apparatre une varit d'options que si nous ne verrons
pas, mais nous avons dj vu dans l'tude de la fentre principale OllyDbg.

M ou Affichage-> bouton MEMORY affiche la mmoire utilise par notre programme. Ici, nous
voyons la section d'application de la bibliothque en utilisant la pile de processus et des sections
diffrentes, le systme d'emploi, et souvent le programme pendant l'excution de la mmoire
occupe par la nouvelle section.

Un clic droit peut Recherchons dans la mmoire se trouve dans sa ligne de diffrents types (texte,
hexadcimal, Unicode), ont aussi les points d'arrt de podstvetit d'opportunit dans les sections, ainsi
que la possibilit de modifier les droits d'accs ce dernier (slectionnez ACCESS SET).

T bouton ou Affichage-> FILETS nous montre une liste de threads (threads) programme.

Bien que nous ne savons pas ce qu'elle est, et nous savons qu'il est seulement dans les chapitres
suivants, lire chacune des fentres ne sera pas superflu. En les utilisant, nous apprendrons plus tard.
W ou Affichage-> bouton WINDOWS nous montre la fentre du programme, mais parce qu'il n'a
pas encore t excute, la liste de la fentre reste vide.

bouton H ou Affichage-> POIGNEES affiche les poignes, et je vais expliquer plus tard ce qu'ils
sont.

bouton C ou Affichage-> CPU remonte la fentre principale OllyDbg.

Bouton / ou Affichage-> Listes NAPPES rapiage, si le programme a t modifi. Tant qu'aucune


modification n'a t apporte, la fentre reste vide aujourd'hui.

bouton K ou Affichage-> STACK affiche CALL pile d'appels, liste d'appels, que nous avons
rencontr au point o le programme est arrt.

B ou Affichage-> bouton provoque la liste des points d'arrt de la limite commune situe dans le
programme. Il n'y avait pas de matriel de points d'arrt ou de la mmoire, des points d'arrt juste
l'habituel.
bouton R ou Affichage-> fentre Rfrences montre les liens que nous avons obtenus la suite des
liens de recherche dans Ollie.

Le bouton ... ou Affichage-> RUN TRACE affiche le rsultat de la commande RUN TRACE.
nous pouvons galement slectionner ici Log fichier en option), la prservation de la sortie de
trace dans un fichier texte.

Nous avons examin la barre avec les touches les plus importantes que vous soyez familier avec les
capacits qu'ils fournissent, quand nous commenons les tudier plus en profondeur dans les
chapitres suivants.

OllyDbg JIT (Just In Time DEBUGGER)

Bien sr, nous ne serons pas tout le temps d'utiliser le JIT, mais seulement dans des cas particuliers,
comme lorsqu'une erreur se produit avec un programme en cours d'excution dans notre voiture, on
n'a pas besoin d'utiliser le Ollie (par dfaut, le JIT est utilis Dr.Watson ).

Pour OllyDbg JIT-dbogueur, vous devez aller dans Options-> JUSTE DANS LE TEMPS
DEBUGGING

FAIRE OllyDbg JUSTE TEMPS DEBUGGER y DONE

Pour supprimer cette fonction, vous devez le mme emplacement, cliquez sur le RESTORE JUST
IN TIME DEBUGGER et FAIT.
La fiche de connexion dans OllyDbg

OllyDbg vous permet de connecter des plug-ins qui peuvent tre utiles pour rsoudre un problme
particulier. Tant que nous nous bornons embotable barre de commande, pour savoir comment le
faire.

Nous tlcharger le plugin d'ici (le lien mentionn dans l'article original, est mort, donc je tlcharg
le plug - in partir d' Internet et affich sur wasm.ru - . Prim.per ).

Aprs que dballer le plug-in et voir le contenu du dossier, o il a t fait:

Tout d'abord, vous devez crer un dossier pour les plug-ins. Je vais construire C: / et appeler
PLUGINS.
Bien sr, les plug-ins peuvent tre partout, mais je tiens mettre tout en C. Quoi qu'il en soit, il faut
maintenant configurer OllyDbg, qu'elle a reconnu un ce dossier comme l'emplacement de tous les
plug-ins.

Pour ce faire, allez la Options-> Apparence.

Et dans la fentre qui apparat, ouvrez l'onglet Directories.

On voit que comme un moyen de plugins spcifier le rpertoire o est-il OllyDbg.exe, et pourrait
tre mis des plugins, mais je tiens les garder spars, puis en cliquant sur PLAGIN Path->
PARCOURIR, pour trouver le dossier que vous avez cr nous.

Choisir dossier PlugIns et enregistrer les modifications.

Autrement dit, vous devez redmarrer Olli avoir reconnu le nouveau dossier avec les plug-ins, mais
vous devez d'abord copier au dernier tlcharg le plug-in.
Copiez tout le contenu de l'archive dans le dossier PLUGINS.

Maintenant, tous les fichiers de plugin Barre de commande sont dans le dossier PLUGINS en elle,
il doit tre plac, et le reste (souvent impossible de copier tous les fichiers dans l'archive, mais
seulement une dll).

Maintenant, fermez OllyDbg, si elle tait encore ferme, et recommencer. On voit que dans le menu
PLUGINS apparu BAR et ses COMMAND options.

Au bas de OllyDbg voir ensemble BAR DE COMMANDE.


Ceci est un champ de texte pour saisir les commandes que nous pouvons tre utiles dans de
nombreux cas, et plus tard, nous verrons leur application, et alors qu'il est important d'apprendre
comment connecter les plug-ins.

PLUGIN pour dsinstaller simplement supprimer la dll correspondante du dossier PlugIns et


redmarrez OllyDbg, et branchez loin. Cependant, il est prudent de toujours garder la barre de
commande active.

Encore une fois, ouvert krekmi CrueHead'v OllyDbg.

Les touches les plus utiles OllyDbg suivantes:

F7: Effectue une seule ligne de code (si elle est situe dans l'appel, allez alors partie de code
l'intrieur caus)

F8: Excute une ligne de code (si vous tes sur l'appel, il est tout simplement un appel sans passer et
va la ligne suivante de l'appel).

Ces deux types de manuel de traage trs diffrent et quand utiliser chacun d'entre eux seront
examins plus loin.

F2: tablir rgulirement breakpoint sur la ligne marque. Pour supprimer le point d'arrt, vous
devez appuyer nouveau sur F2.

Par exemple:

Nous voulons tablir d'tablir un point en position 40101A, donc marquer cette ligne avec la souris.

Avec un seul clic de la souris, il est marqu et il devient gris comme dans l'image. Appuyez ensuite
sur F2.

On voit que la position correspondante dans la premire colonne devient rouge, ce qui indique qu'il
y a un point d'arrt. En appuyant sur F2 nouveau, vous pouvez le supprimer.
F9: Lance le programme qui sera excut tant que rencontre le point d'arrt sans exception ou tout
simplement cesser de travailler pour une raison quelconque. Lorsque le programme est en cours
d'excution dans le coin en bas droite affiche le mot OllyDbg RUNNING.

Courir CrueHead'a krekmi, nous voyons ce qui suit:

Pour arrter temporairement le programme, appuyez sur F12 ou Debug-> PAUSE.

Nous voyons que OllyDbg affiche le mot PAUSED (pause). Poursuivre le programme, vous pouvez
appuyer sur F9 ou Debug-> RUN.

Pour fermer le programme en cours de dbogage, slectionnez Debug-> FERMER.

Ce fut un bref aperu OllyDbg, une tude plus approfondie des diffrentes options et possibilits que
nous continuerons d'explorer dans les chapitres suivants. La principale chose que vous avez
tlcharg le programme, configurer, regarda nouveau tout ce qui a t dcrit dans ce tutoriel, il
suffit de connecter la pozapuskali fiche et poostanavlivali krekmi CrueHead'a, a essay de mettre un
point d' arrt au chapitre suivant, toutes ces choses ne sont pas la cause votre hsitation et le doute.
Ricardo Narvaha, trans. Aquila