有趣的二进制学习 wsample01a.exe

 

这是一个基础的入门小程序，点击运行后发现弹出小框，Hello! Windows

 

用ida静态分析程序，这一段是程序的主逻辑，也是全部逻辑：)

 

可以看到程序只有一个分支test eax,eax是判断条件，直接决定程序的走向。

从头来看

String2 = 2012

String1 = 获取输入的数据

lstrcmpW(eax) 执行函数

Caption “MESSAGE” 设置弹框标题

进入test判断，分两种情况

1、输入的是2012，if eax=0: ZF=1 jnz跳转不实现

else:ZF=0 jnz跳转实现

 

 

00401000  /$  55               push ebp

00401001  |.  8BEC             mov ebp,esp

00401003  |.  8B45 10          mov eax,[arg.3] 读取输入的内容给eax

00401006  |.  68 04214000      push wsample0.00402104                   ; /2012

0040100B  |.  50               push eax                                 ; |String1 = 00000001 ???

0040100C  |.  FF15 00204000    call dword ptr ds:[<&KERNEL32.lstrcmpW>] ; \lstrcmpW

00401012  |.  6A 00            push 0x0                                 ; /Style = MB_OK|MB_APPLMODAL

00401014  |.  68 10214000      push wsample0.00402110                   ; |MESSAGE

00401019  |.  85C0             test eax,eax                             ; |

0040101B  |. /75 18            jnz short wsample0.00401035              ; |

 

这个程序的逻辑已经理清了，接下来通过修改值来改变程序的走向。

1、 修改ZF值

test比较之后的关键跳转jnz，这个跳转有ZF控制，修改ZF值，改变跳转走向。

 

2、 修改汇编跳转

直接改变跳转语句，实现程序走向的改变

 

嘿嘿，基本上差不多了。