第八单元 debug 破解技术

1. 第八单元debug破解技术 授课:李龙景

2. 重点、难点 • 重点 • Debug中的U、T、G、命令 • 汇编中的JMP、JZ、JE、JNZ等转移指令 • 难点 • 断点设置、程序流程分析 计算机信息加密与解密

3. Debug相关命令 • Debug 文件名：:跟踪某文件的执行过程 • U命令：列出待执行的程序 • T命令：执行一条语句 • G 地址号：从当前语句执行到地址号 • D 数值：从数值开始列出数据段的数据 • Q命令：退出跟踪 计算机信息加密与解密

4. 汇编中常用的指令 • MOV 地址1，地址2：将地址2中的数据送入地址1 • JMP 地址：转移到地址去执行 • CMP 地址1，地址2 ：两数比较 • JE、JZ 地址：相等，转到地址去执行 • JNE、JNZ 地址：不相等转到地址执行 • JB、JBE….. • CALL 地址：调用从地址开始的子程序 计算机信息加密与解密

5. 跟踪过程 计算机信息加密与解密

6. g 0>g 3d>g 5d>g 9c g 5d>g 94>g 9a g 94>g 96 t 9f>g d2>g de g d2>g d9 g d2>gd7 t 120>g120>g149>g154>g16c g 154>g 15c g154>g 158 t 373>g373 g 154>g 15c g154>g 158 t 373>g373 g373>g3ae>g 3b8 g 38f 是清屏 g 392 出现please input the password g 3a3 输入 g3a7 出现* 跟踪过程 计算机信息加密与解密

7. 跟踪过程 • 1、首先找到输入密码的提示部分 • 2、设法找到密码的比较处 • 耐心，细致，发现线索，逐步缩小范围。 • g 160 出现输入密码，密码判断结果，退出重来。 • g 150 没出现输入密码提示。 • u 发现下面有三个call语句， • g 15f 与 g 160 结果一样，故 15c call 0373是密码处理子程序，退出重来。 计算机信息加密与解密

8. 跟踪过程 • g 154 t t u 下面分析从373开始的子程序。发现有两个子程序调用语句：388 call 1386 和 38f call 20e1 • g 38b 发现这一个子程序是清屏子程序 u • g 392 出现输入提示：Please input the password: • u 命令后发现 39a call 16b8 和 3a4 call 20e1两个子程序 • g 3a0 没有变化，再看 3a4 call 20e1 • g 3a7 出现一个*号，证明这个子程序是接收键盘字符的子程序。下面找出比较语句：cmp • u 后就后发现 6 个 cmp byte ptr [bp-09],38 语句，而‘8’的ASLL值正是 38，由此得到密码为888888。 计算机信息加密与解密

9. 小结 • 用汇编语言跟踪的方式，在理论上是可以破解任何密码。 • 破解的过程是一个复杂、辛苦，有时是痛苦的过程，需要有坚强的毅力。 • 经验可以大大提高效率，所以要多熟悉，多练习。 • 从本单元可以看出，信息安全从来都是相对的，没有绝对的安全。 • 对要Windows下加密软件的破解，我们在后面再介绍。 计算机信息加密与解密

10. 再 见 ! 计算机信息加密与解密