1、實(shí)驗(yàn)環(huán)境
操作系統(tǒng)： mac os x 10.12
調(diào)試工具：hopper disassemble v4
程序：010 editor for mac 
官網(wǎng)地址：http://www.sweetscape.com/010editor/

2、開(kāi)始分析
2.1、尋找線索
看一下正常執(zhí)行時(shí)的整個(gè)流程，并從中獲得線索。
在關(guān)于里面找到注冊(cè)然后彈出注冊(cè)的信息框，輸入用戶名和密碼，點(diǎn)擊 check license，然后提示 “Invalid name or password…….”，如圖-1。
現(xiàn)在找到了第一條線索，記為線索1。線索1:stringInvalidNameOrPassword字符串“Invalid name or password…”。

圖-1


2.2、分析線索1
打開(kāi) hopper disassembler v4，將010editor 拖拽到hopperdisassembler上，如下圖：
 
通過(guò)hopper中的字符串查找定位到stringInvalidNameOrPassword出現(xiàn)的位置，如圖-2。
 
圖-2

再查看stringInvalidNameOrPassword在哪些地方被引用了。
選中stringInvalidNameOrPassword所在地址，按一下“X”鍵，顯示出該地址的所有引用，如圖-3。
 
圖-3 

雙擊圖-3中的地址，即可顯示出該調(diào)用地址處的反匯編代碼，如圖-4。
接下來(lái)就要分析 sub_1002e5f10 這個(gè)函數(shù)。到這里，我門(mén)又有了新的疑點(diǎn)：
1、        stringInalidNameOrPassword這條路是從哪里走過(guò)來(lái)的？
2、        該函數(shù)中有沒(méi)有正確的路？如果有，哪么正確的路在哪里？
3、        正確的路與stringInalidNameOrPassword的路是在哪里走岔的？
上面的三個(gè)疑點(diǎn)都在 sub_1002e5f10 函數(shù)中找。
 
圖-4

光標(biāo)放在1002e69e4 處，然后點(diǎn)擊工具欄中的CFG module 顯示函數(shù)流程圖如圖-5。
       
圖-5

總的來(lái)說(shuō)loc_1002e6900 是一條錯(cuò)誤的路(trial+invalidNameOrPassword)。
再找loc_1002e6900 的來(lái)源，如圖-6。
 
圖-6

再向上找，找 loc_1002e65b8 的來(lái)源，如圖-7�？梢钥吹绞窃趌oc_1002e6363處和正常的授權(quán)路分岔了。
關(guān)鍵是 ebx的值，如果ebx == 0xdb 該函數(shù)就走授權(quán)的路。
現(xiàn)在用偽代碼模式查看這塊代碼，如圖-8。這時(shí)，我們定位到了三個(gè)重要函數(shù) sub_1000c9230 sub_1000c90e0 sub_1002e9e40。
其中sub_1002e9e40函數(shù)是用來(lái)聯(lián)網(wǎng)校驗(yàn)授權(quán)信息的，這里就不進(jìn)入該函數(shù)分析來(lái)。
ebx 的值是 sub_1000c9230 的返回值，所以如果能控制sub_1000c90e0 的返回值就能控制該函數(shù)走授權(quán)的路了。
 
圖-7
 
圖-8

進(jìn)入sub_1000c90e0 函數(shù)進(jìn)行分析,如圖-9。sub_1000c90e0 的返回值有 0x113, 0xdb, 0x20c, 0xed, 0x71, 0x177, 0xf9,0x2f共8種。
其中0xdb是走的授權(quán)路線。在該函數(shù)中調(diào)用了sub_1000c9230 函數(shù)，如果能控制 sub_1000c9230 的返回值為0x2d 就能讓sub_1000c90e0返回 0xdb。
其實(shí)為了保險(xiǎn)起見(jiàn)可以將 sub_1000c90e0 函數(shù)中的第三行 rax = 0x113改成rax = 0xdb。這樣就能保證 sub_1000c90e0 返回的是 0xdb。
 
圖-9

函數(shù)分析sub_1000c9230。
先來(lái)查看該函數(shù)的所以引用。
00000001000c9106         call       sub_1000c9230 ;在sub_1000c90e0 函數(shù)中。 
00000001002e62f2         call       sub_1000c9230 ;在sub_1002e5f10 函數(shù)中。 
沒(méi)有授權(quán)時(shí)，在sub_1002e5f10返回的是0xe7,在 sub_1000c90e0中返回的不是 0x2d。
函數(shù)sub_1000c9230的返回值有rax= 0x93, 0xe7, 0x2d,0x4e四種，每個(gè)返回值都有自己的特殊含義。
其中0x2d就是走授權(quán)道路的返回值；0x93 是tial 或者 Invalid name or password。
[size=14.6667px]
修改 sub_1000c9230函數(shù)使其只返回0x2d，我的修改方式是將[size=14.666666984558105px]