症状:程序运行一小时后,运行开始不正常。一些字符开始跳动。无其它提示。
思路:这种情况动态分析难度比较大,因为没有一个明确的提示或标志,不容易找到关键代码。从获取系统时间的 API 入手,寻找时间比较的相关代码。相对是一个比较可行的办法。
程序中进行时间比较,必然需要获取当前的时间。一般有两种办法,一种办法是获取当前的系统时间(getlocaltime)。一种办法是获取开机以来的时间(getticktime)。前者受修改系统时间的影响。后者不受修改时间的影响。
启动程序,直接将系统时间后移一小时,程序出现异常。说明修改系统时间可影响到程序对运行时间的判断。故寻找 API getlocaltime。
将程序用ida 载入。在 “functions window” 窗口( 找不到则 菜单 windows-> functions window 或 alt+ 1),查找时间相关的API。
找到函数 getlocaltime。在 getlocaltime 上右键,下断点。
右键 dbl_CEEC9C,选择 rename, 将变量dbl_CEEC9C 标记为 my_dbl_CEEC9_now,以方便识别。
现在我们对程序的设计思路比较清楚了。按现在的分析,程序在启动时记录了系统时间。并不断地检查,如果超过了一小时,就开始捣乱。我们只需要找到读取my_dbl_CEEC9_now 的代码,就能跟踪到关键代码了。
右键 my_dbl_CEEC9_now ,”jump to xref operator”,看到了如下的八处调用。
幸运的是,我们第一次就到了合适的位置。见到了经典的比较和跳转。
以上三处代码:
.text:00404195 call @Sysutils@Now$qqrv ; Sysutils::Now(void)
.text:0040419A fstp [ebp+var_380] ; 取当前时间
.text:004041A0 fld my_dbl_CEEC9C_now ;取启动时保存的时间
.text:004041A6 fadd ds:dbl_404AA0
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!