码迷,mamicode.com
首页 > 其他好文 > 详细

[反汇编练习] 160个CrackMe之018

时间:2014-06-26 16:21:27      阅读:220      评论:0      收藏:0      [点我收藏+]

标签:style   class   blog   http   tar   ext   

[反汇编练习] 160个CrackMe之018.

本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160个CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。

其中,文章中按照如下逻辑编排(解决如下问题):

1、使用什么环境和工具

2、程序分析

3、思路分析和破解流程

4、注册机的探索

----------------------------------

提醒各位看客: 如果文章中的逻辑看不明白,那你一定是没有亲手操刀!OD中的跳转提示很强大,只要你跟踪了,不用怎么看代码就理解了!

----------------------------------

1、工具和环境:

WinXP SP3 + 52Pojie六周年纪念版OD + PEID + 汇编金手指。

160个CrackMe的打包文件。

下载地址: http://pan.baidu.com/s/1xUWOY  密码: jbnq

注:

1、Win7系统对于模块和程序开启了随机初始地址的功能,会给分析带来很大的负担,所以不建议使用Win7进行分析。

2、以上工具都是在52PoJie论坛下的原版程序,NOD32不报毒,个人承诺绝对不会进行任何和木马病毒相关内容。

bubuko.com,布布扣

 

2、程序分析:

想要破解一个程序,必须先了解这个程序。所以,在破解过程中,对最初程序的分析很重要,他可以帮助我们理解作者的目的和意图,特别是对于注册码的处理细节,从而方便我们反向跟踪和推导。

和上一节一样,打开CHM,选择第18个Brad Soblesky.1.exe,保存下来。运行程序,程序界面如下:

bubuko.com,布布扣

3、思路分析和破解流程

又见信息框,哈哈哈!

PEID查看: Microsoft Visual C++ 6.0

和以前的一样,直接上步骤:

1、打开OD,将exe拖到OD窗口中,等程序暂停后,直接点击运行按钮(F9),不用理会。

2、在exe中输入伪码:123123。点击OK按钮,弹出错误信息框,不要关闭。

3、在OD中点击暂停按钮(Ctrl+F12),再点击堆栈K按钮(Ctrl+K),可以看到当前堆栈情况。堆栈区很长,我们从底部开始看:

bubuko.com,布布扣

由于大量地使用了mfc42模块,基本100%可断定使用的是C++的MFC框架写的。下面的那部分属于消息派遣,在最后的一个调用的地方,我们右键跟进去看看:

00401C73  |.  50            push eax                                 ; /pStartupinfo
00401C74  |.  FF15 0C204000 call dword ptr ds:[<&KERNEL32.GetStartup>; \GetStartupInfoA
00401C7A  |.  F645 D0 01    test byte ptr ss:[ebp-0x30],0x1
00401C7E  |.  74 11         je short 00401C91
00401C80  |.  0FB745 D4     movzx eax,word ptr ss:[ebp-0x2C]
00401C84  |.  EB 0E         jmp short 00401C94
00401C86  |>  803E 20       /cmp byte ptr ds:[esi],0x20
00401C89  |.^ 76 D8         |jbe short 00401C63
00401C8B  |.  46            |inc esi
00401C8C  |.  8975 8C       |mov [local.29],esi
00401C8F  |.^ EB F5         \jmp short 00401C86
00401C91  |>  6A 0A         push 0xA
00401C93  |.  58            pop eax
00401C94  |>  50            push eax
00401C95  |.  56            push esi
00401C96  |.  53            push ebx
00401C97  |.  53            push ebx                                 ; /pModule
00401C98  |.  FF15 08204000 call dword ptr ds:[<&KERNEL32.GetModuleH>; \GetModuleHandleA
00401C9E  |.  50            push eax
00401C9F  |.  E8 5E000000   call 00401D02
00401CA4  |.  8945 98       mov [local.26],eax
00401CA7  |.  50            push eax                                 ; /status
00401CA8  |.  FF15 AC214000 call dword ptr ds:[<&MSVCRT.exit>]       ; \exit
00401CAE  |.  8B45 EC       mov eax,[local.5]
00401CB1  |.  8B08          mov ecx,dword ptr ds:[eax]
00401CB3  |.  8B09          mov ecx,dword ptr ds:[ecx]
00401CB5  |.  894D 88       mov [local.30],ecx
00401CB8  |.  50            push eax
00401CB9  |.  51            push ecx
00401CBA  |.  E8 15000000   call <jmp.&MSVCRT._XcptFilter>
00401CBF  |.  59            pop ecx
00401CC0  |.  59            pop ecx
00401CC1  \.  C3            retn

根据GetStartUp,GetModuleHandleA很容易判断出不是进行注册码处理的,所以,我们还要继续向上看信息框部分:

bubuko.com,布布扣

这里就很容易地发现了信息框部分!并且注意到在信息框被调用之前有一个exe模块调用的函数,<jmp.&MFC42.#4224>被调用的函数为Brad_sob.004015BC,我们选中这一句,右键->Show call。

4、在反汇编窗口向上浏览相关代码,发现两处很明显的提示内容:

0040155F  |.  50            push eax                                 ; /String
00401560  |.  FF15 04204000 call dword ptr ds:[<&KERNEL32.lstrlenA>] ; \lstrlenA
00401566  |.  8945 F0       mov [local.4],eax
00401569  |.  837D F0 01    cmp [local.4],0x1
0040156D  |.  73 16         jnb short 00401585
0040156F  |.  6A 40         push 0x40
00401571  |.  68 2C304000   push 0040302C                            ;  ASCII "CrackMe"
00401576  |.  68 34304000   push 00403034                            ;  ASCII "Enter Registration Number"
0040157B  |.  8B4D E0       mov ecx,[local.8]
0040157E  |.  E8 7B050000   call <jmp.&MFC42.#4224>
00401583  |.  EB 3C         jmp short 004015C1
00401585  |>  8D4D E4       lea ecx,[local.7]
00401588  |.  51            push ecx                                 ; /String2 = "<BrD-SoB>"
00401589  |.  8D55 F4       lea edx,[local.3]                        ; |
0040158C  |.  52            push edx                                 ; |String1 = "123123"
0040158D  |.  FF15 00204000 call dword ptr ds:[<&KERNEL32.lstrcmpA>] ; \lstrcmpA
00401593  |.  85C0          test eax,eax
00401595  |.  75 16         jnz short 004015AD
00401597  |.  6A 40         push 0x40
00401599  |.  68 50304000   push 00403050                            ;  ASCII "CrackMe"
0040159E  |.  68 58304000   push 00403058                            ;  ASCII "Correct way to go!!"
004015A3  |.  8B4D E0       mov ecx,[local.8]
004015A6  |.  E8 53050000   call <jmp.&MFC42.#4224>
004015AB  |.  EB 14         jmp short 004015C1
004015AD  |>  6A 40         push 0x40
004015AF  |.  68 6C304000   push 0040306C                            ;  ASCII "CrackMe"
004015B4  |.  68 74304000   push 00403074                            ;  ASCII "Incorrect try again!!"
004015B9  |.  8B4D E0       mov ecx,[local.8]
004015BC  |.  E8 3D050000   call <jmp.&MFC42.#4224>

C++代码就是好啊,汇编代码及其干净!lstrcmp这个函数进行了文本比较,然后就根据比较结果判断成功还是失败!jnz 004015AD就是关键跳转啦!我们选中这一行,右键->Binary->Fill with NOPs。试试看,哈哈,是不是成功啦!

 

4、注册机的探索

我们已经知道了注册码比较的位置,先直接看看注册码是什么样的?在 lstrcmp 这个函数上下断F2,然后就如同上面那个汇编注释的内容一样,他竟然是固定的!!

<BrD-SoB>

或许我们猜错了,试一试,OK!确实是固定的!

bubuko.com,布布扣

 

BY  笨笨D幸福

[反汇编练习] 160个CrackMe之018,布布扣,bubuko.com

[反汇编练习] 160个CrackMe之018

标签:style   class   blog   http   tar   ext   

原文地址:http://www.cnblogs.com/bbdxf/p/3809019.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!