逆向工程实战用OllyDbg动态解析浮点校验的CrackMe在逆向分析领域浮点运算就像加密算法中的盐值——它让简单的数值比较变得扑朔迷离。上周我遇到一个有趣的CrackMe输入验证部分使用了七层浮点校验逻辑常规的整数断点完全失效。这促使我深入研究了FPU寄存器的运作机制最终发现调试器中的ST(0)到ST(7)寄存器栈才是破解的关键线索。1. 搭建逆向分析实验环境选择x64dbg作为主要调试工具OllyDbg 1.x对现代PE文件支持有限配合010 Editor进行二进制修补。测试目标是一个名为FloatGuard的CrackMe样本其核心验证算法包含以下特征使用FCOM指令链进行多级浮点校验通过FNSTSW将状态字存入AX寄存器采用SAHF转换标志位控制跳转必备工具链配置# 调试器插件配置 x64dbg Plugins ScyllaHide 勾选HideDebugger x64dbg Options Preferences Engine 启用Memory breakpoints浮点运算的特殊性在于其精度处理。在调试过程中我发现当CrackMe计算3.1415926535时实际存储在内存中的可能是40 09 21 FB 54 44 2D 18 # IEEE 754标准的64位双精度表示2. FPU寄存器栈的动态追踪技巧在x86架构中FPU采用栈式寄存器结构。当遇到FLD指令时数据会被压入ST(0)原有数据依次下移。这个特性使得我们需要特别关注TOP指针的变化。典型寄存器栈操作序列FLD QWORD PTR [ebp-8]将变量压入ST(0)FADD ST(0), ST(1)栈顶与次栈顶相加FSTP QWORD PTR [ebp-10h]弹出结果到内存在x64dbg中观察FPU寄存器的正确姿势右键CPU窗口 FPU 显示FPU寄存器关键寄存器状态解读CW控制字精度控制位8-9位SW状态字C0-C3条件码位置TW标记字寄存器有效性标记注意当看到标记字显示Empty时说明对应ST寄存器未初始化直接访问会导致#IA异常3. 浮点比较指令的逆向破解CrackMe最狡猾的部分在于使用了三级浮点比较FCOM QWORD PTR [ebp-10h] ; 比较用户输入与预设值 FNSTSW AX ; 存储状态字 SAHF ; 导入EFLAGS JA VALID ; 条件跳转通过实战总结出浮点比较的破解路线图指令组合对应高级语言破解关键点FCOMFSTSWif(a b)修改C0/C2/C3任一标志位FCOMIJNEif(a ! b)在FCOMI后硬编码ZF值FUCOMPPFNSTSWwhile(ab)逆向修改TW标记字动态修改技巧在x64dbg中当程序执行到SAHF指令时右键FPU寄存器窗口 修改SW值为0x0000清除所有标志或直接修补跳转指令JE - JMP # 将74改为EB JNE - NOP # 用90填充指令4. 实战破解多层浮点校验以FloatGuard v1.2为例其验证流程分为三个阶段初级校验明码比较FLD QWORD PTR [403000h] ; 加载预设值3.1415926 FCOMP QWORD PTR [ebp-8] ; 与用户输入比较中级校验计算验证FILD DWORD PTR [ebp-0Ch] ; 加载整数参数 FYL2X ; ST(1)ST(1)*log2(ST(0)) FSTP QWORD PTR [ebp-10h] ; 存储结果终极校验误差容忍FABS ; 取绝对值 FCOM REAL8 PTR [403008h] ; 与epsilon1E-6比较破解方案实施步骤在FCOMP指令下断点bp 0040102A观察栈帧获取预设值# IDA Python脚本提取常量 for addr in XrefsTo(0x0040102A, 0): print(GetFloat(PrevHead(addr.frm)))修改FPU控制字降低精度MOV EAX, 0x027F FLDCW WORD PTR [ESP-2]5. 高级对抗技巧与防护方案现代商业软件会采用更复杂的浮点混淆技术例如时间轴混淆// 将单次比较拆分为时序操作 double delta fabs(input - secret); Sleep((int)(delta * 1000)); // 用延时隐藏比较结果矩阵变换FMUL ST(0), ST(0) ; 平方 FADD ST(0), ST(0) ; 乘2 FSUB QWORD PTR [ebx8] ; 减特征值防护建议在关键比较前插入垃圾指令FSTENV [esp-28h] ; 保存环境 FRNDINT ; 随机干扰 FLDCW [esp-28h] ; 恢复环境使用SSE2指令替代传统FPUMOVSD XMM0, [secret] COMISD XMM0, [input]经过三天的反复调试当最后看到Cracked!弹窗时那些在ST寄存器间跳动的十六进制值突然变得亲切起来。记得在修改FPU控制字时把精度从64位降到32位会导致校验误差累积这反而成了绕过验证的突破口——有时候不完美的解法恰恰是最有效的。
逆向工程实战:如何用OllyDbg动态分析程序中的浮点运算(以CrackMe为例)
逆向工程实战用OllyDbg动态解析浮点校验的CrackMe在逆向分析领域浮点运算就像加密算法中的盐值——它让简单的数值比较变得扑朔迷离。上周我遇到一个有趣的CrackMe输入验证部分使用了七层浮点校验逻辑常规的整数断点完全失效。这促使我深入研究了FPU寄存器的运作机制最终发现调试器中的ST(0)到ST(7)寄存器栈才是破解的关键线索。1. 搭建逆向分析实验环境选择x64dbg作为主要调试工具OllyDbg 1.x对现代PE文件支持有限配合010 Editor进行二进制修补。测试目标是一个名为FloatGuard的CrackMe样本其核心验证算法包含以下特征使用FCOM指令链进行多级浮点校验通过FNSTSW将状态字存入AX寄存器采用SAHF转换标志位控制跳转必备工具链配置# 调试器插件配置 x64dbg Plugins ScyllaHide 勾选HideDebugger x64dbg Options Preferences Engine 启用Memory breakpoints浮点运算的特殊性在于其精度处理。在调试过程中我发现当CrackMe计算3.1415926535时实际存储在内存中的可能是40 09 21 FB 54 44 2D 18 # IEEE 754标准的64位双精度表示2. FPU寄存器栈的动态追踪技巧在x86架构中FPU采用栈式寄存器结构。当遇到FLD指令时数据会被压入ST(0)原有数据依次下移。这个特性使得我们需要特别关注TOP指针的变化。典型寄存器栈操作序列FLD QWORD PTR [ebp-8]将变量压入ST(0)FADD ST(0), ST(1)栈顶与次栈顶相加FSTP QWORD PTR [ebp-10h]弹出结果到内存在x64dbg中观察FPU寄存器的正确姿势右键CPU窗口 FPU 显示FPU寄存器关键寄存器状态解读CW控制字精度控制位8-9位SW状态字C0-C3条件码位置TW标记字寄存器有效性标记注意当看到标记字显示Empty时说明对应ST寄存器未初始化直接访问会导致#IA异常3. 浮点比较指令的逆向破解CrackMe最狡猾的部分在于使用了三级浮点比较FCOM QWORD PTR [ebp-10h] ; 比较用户输入与预设值 FNSTSW AX ; 存储状态字 SAHF ; 导入EFLAGS JA VALID ; 条件跳转通过实战总结出浮点比较的破解路线图指令组合对应高级语言破解关键点FCOMFSTSWif(a b)修改C0/C2/C3任一标志位FCOMIJNEif(a ! b)在FCOMI后硬编码ZF值FUCOMPPFNSTSWwhile(ab)逆向修改TW标记字动态修改技巧在x64dbg中当程序执行到SAHF指令时右键FPU寄存器窗口 修改SW值为0x0000清除所有标志或直接修补跳转指令JE - JMP # 将74改为EB JNE - NOP # 用90填充指令4. 实战破解多层浮点校验以FloatGuard v1.2为例其验证流程分为三个阶段初级校验明码比较FLD QWORD PTR [403000h] ; 加载预设值3.1415926 FCOMP QWORD PTR [ebp-8] ; 与用户输入比较中级校验计算验证FILD DWORD PTR [ebp-0Ch] ; 加载整数参数 FYL2X ; ST(1)ST(1)*log2(ST(0)) FSTP QWORD PTR [ebp-10h] ; 存储结果终极校验误差容忍FABS ; 取绝对值 FCOM REAL8 PTR [403008h] ; 与epsilon1E-6比较破解方案实施步骤在FCOMP指令下断点bp 0040102A观察栈帧获取预设值# IDA Python脚本提取常量 for addr in XrefsTo(0x0040102A, 0): print(GetFloat(PrevHead(addr.frm)))修改FPU控制字降低精度MOV EAX, 0x027F FLDCW WORD PTR [ESP-2]5. 高级对抗技巧与防护方案现代商业软件会采用更复杂的浮点混淆技术例如时间轴混淆// 将单次比较拆分为时序操作 double delta fabs(input - secret); Sleep((int)(delta * 1000)); // 用延时隐藏比较结果矩阵变换FMUL ST(0), ST(0) ; 平方 FADD ST(0), ST(0) ; 乘2 FSUB QWORD PTR [ebx8] ; 减特征值防护建议在关键比较前插入垃圾指令FSTENV [esp-28h] ; 保存环境 FRNDINT ; 随机干扰 FLDCW [esp-28h] ; 恢复环境使用SSE2指令替代传统FPUMOVSD XMM0, [secret] COMISD XMM0, [input]经过三天的反复调试当最后看到Cracked!弹窗时那些在ST寄存器间跳动的十六进制值突然变得亲切起来。记得在修改FPU控制字时把精度从64位降到32位会导致校验误差累积这反而成了绕过验证的突破口——有时候不完美的解法恰恰是最有效的。
