标签:style blog http color 使用 strong
[反汇编练习] 160个CrackMe之035.
本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160个CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。
其中,文章中按照如下逻辑编排(解决如下问题):
1、使用什么环境和工具
2、程序分析
3、思路分析和破解流程
4、注册机的探索
----------------------------------
提醒各位看客: 如果文章中的逻辑看不明白,那你一定是没有亲手操刀!OD中的跳转提示很强大,只要你跟踪了,不用怎么看代码就理解了!
----------------------------------
1、工具和环境:
WinXP SP3 + 52Pojie六周年纪念版OD + PEID + 汇编金手指。
160个CrackMe的打包文件。
下载地址: http://pan.baidu.com/s/1xUWOY 密码: jbnq
注:
1、Win7系统对于模块和程序开启了随机初始地址的功能,会给分析带来很大的负担,所以不建议使用Win7进行分析。
2、以上工具都是在52PoJie论坛下的原版程序,NOD32不报毒,个人承诺绝对不会进行任何和木马病毒相关内容。
2、程序分析:
想要破解一个程序,必须先了解这个程序。所以,在破解过程中,对最初程序的分析很重要,他可以帮助我们理解作者的目的和意图,特别是对于注册码的处理细节,从而方便我们反向跟踪和推导。
和上一节一样,打开CHM,选择第35个cupofcoffe.1.exe,保存下来。运行程序,程序界面如下:
有信息框提示! 文本框不知道为什么显示的这样? 不知是原本就这样还是我没有它的字体!
PEID:Microsoft Visual Basic 5.0 / 6.0
3、思路分析和破解流程
1、打开OD,将exe拖到OD窗口中,等程序暂停后,直接点击运行按钮(F9),不用理会。
2、随意输入伪码:123456789。点击Check it按钮,弹出信息框,不要关闭,回到OD。
…(哎呀,不是这样的,写这一段写习惯了!!囧)
OD 打开提示数据有压缩,然后大量的不可识别命令,考虑是不是用了P-CODE,使用VB反编译工具看看:
VB Decompiler Pro 提示压缩,尝试解压,然后发现一堆中文乱码。
(此处有埋伏!其实出现中文乱码是使用了VB_Decompilter_Pro_8.2 版本导致的,后来找到的9.2(论坛地址:http://www.52pojie.cn/thread-274209-1-1.html)版本就可以正常使用了!)
好吧,没办法,OD提示压缩是否继续分析,选择是,然后运行exe,右键->中文搜索引擎->智能搜索。
选择Incorrect password 右键->Follow,附近代码如下:
004FEC0E . FF15 D4105000 call dword ptr ds:[<&MSVBVM50.__vbaHresu>; msvbvm50.__vbaHresultCheckObj 004FEC14 > 8B4D E8 mov ecx,dword ptr ss:[ebp-0x18] 004FEC17 . 51 push ecx 004FEC18 . 68 E41B4000 push 00401BE4 ; .......... 004FEC1D . FF15 F8105000 call dword ptr ds:[<&MSVBVM50.__vbaStrCm>; msvbvm50.__vbaStrCmp 004FEC23 . 8BF0 mov esi,eax 004FEC25 . 8D4D E8 lea ecx,dword ptr ss:[ebp-0x18] 004FEC28 . F7DE neg esi 004FEC2A . 1BF6 sbb esi,esi 004FEC2C . F7DE neg esi 004FEC2E . F7DE neg esi 004FEC30 . FF15 4C115000 call dword ptr ds:[<&MSVBVM50.__vbaFreeS>; msvbvm50.__vbaFreeStr 004FEC36 . 8D4D E4 lea ecx,dword ptr ss:[ebp-0x1C] 004FEC39 . FF15 50115000 call dword ptr ds:[<&MSVBVM50.__vbaFreeO>; msvbvm50.__vbaFreeObj 004FEC3F . 66:3BF7 cmp si,di 004FEC42 . 74 6E je short 004FECB2 004FEC44 . B9 04000280 mov ecx,0x80020004 004FEC49 . B8 0A000000 mov eax,0xA 004FEC4E . 894D AC mov dword ptr ss:[ebp-0x54],ecx 004FEC51 . 894D BC mov dword ptr ss:[ebp-0x44],ecx 004FEC54 . 894D CC mov dword ptr ss:[ebp-0x34],ecx 004FEC57 . 8D55 94 lea edx,dword ptr ss:[ebp-0x6C] 004FEC5A . 8D4D D4 lea ecx,dword ptr ss:[ebp-0x2C] 004FEC5D . 8945 A4 mov dword ptr ss:[ebp-0x5C],eax 004FEC60 . 8945 B4 mov dword ptr ss:[ebp-0x4C],eax 004FEC63 . 8945 C4 mov dword ptr ss:[ebp-0x3C],eax 004FEC66 . C745 9C 001C4>mov dword ptr ss:[ebp-0x64],00401C00 ; Incorrect password 004FEC6D . C745 94 08000>mov dword ptr ss:[ebp-0x6C],0x8 004FEC74 . FF15 38115000 call dword ptr ds:[<&MSVBVM50.__vbaVarDu>; msvbvm50.__vbaVarDup 004FEC7A . 8D55 A4 lea edx,dword ptr ss:[ebp-0x5C] 004FEC7D . 8D45 B4 lea eax,dword ptr ss:[ebp-0x4C] 004FEC80 . 52 push edx 004FEC81 . 8D4D C4 lea ecx,dword ptr ss:[ebp-0x3C] 004FEC84 . 50 push eax 004FEC85 . 51 push ecx 004FEC86 . 8D55 D4 lea edx,dword ptr ss:[ebp-0x2C] 004FEC89 . 6A 10 push 0x10 004FEC8B . 52 push edx 004FEC8C . FF15 E0105000 call dword ptr ds:[<&MSVBVM50.#595>] ; msvbvm50.rtcMsgBox
其中,有一个关键跳转:004FEC42 . 74 6E je short 004FECB2
跳了之后就不知跑到哪里了,因为那个地址没有什么提示文本,但是我们可以试试,使用jmp 004FECB2,哈哈,成功了!
4、注册机的探索
在这个关键跳转之前,我们发现了一个明文的文本比较,如下:
004FEC17 . 51 push ecx 004FEC18 . 68 E41B4000 push 00401BE4 ; .......... 004FEC1D . FF15 F8105000 call dword ptr ds:[<&MSVBVM50.__vbaStrCm>; msvbvm50.__vbaStrCmp
这里将ecx与10个点进行比较,然后跳转,我们将爆破代码恢复,输入10个点,然后发现哈哈哈,成功了!
BY 笨笨D幸福
[反汇编练习] 160个CrackMe之035,布布扣,bubuko.com
标签:style blog http color 使用 strong
原文地址:http://www.cnblogs.com/bbdxf/p/3845262.html