160个CrackMe 002 Afkayas.1

最新推荐文章于 2023-10-31 10:26:42 发布
最新推荐文章于 2023-10-31 10:26:42 发布
阅读量786 收藏
点赞数
分类专栏: 160个crackme 文章标签: windows下的逆向 Visual Basic 博客
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/legend_pawn/article/details/51484813
版权

首先,同样的操作,PEID查壳:
2.png-16.7kB

VB的程序,没有壳,OK,注意一下VB中的函数就可以了,这里推荐一个博客,总结了在逆向中常用到的VB的函数
VB程序逆向反汇编常见的函数

试着自己运行:
1.png-6.4kB

OD运行起来,右键,查找,查找所有参考文本字符串,找到错误字符串的位置

image_1ajeo3i4u1hc9qpo1nmlobj13lop.png-103.6kB

看到我们的错误字符串了,You Get Wrong,并且在上面还发现了应该是正确的字符串,两个字符串相距不远,嗯嗯,这个题目应该不难(至少跳转会少些..)

双击字符串进入位置,发现了跳转指令
image_1ajeo75ha157e55j1vv22preu016.png-54kB

在跳转的位置F2下断,重新运行程序,输入我们瞎扯的字符串上去:
image_1ajeoc63fbal1ehs1g5d14g01s811j.png-34.9kB

好,停住,向上分析代码,找到及其关键的函数_vbastrcmp()字符串比较函数
image_1ajeogisb1h2iig31lad1ibi1td920.png-31.9kB
这样的话说明在这时的序列号已经生成了,所以对输入的name和生成的name比较,序列号生成代码就在这片汇编代码中
于是我丧心病狂的找到了这个函数的头部,F2下断:
image_1ajeoif051mpv16mn1l901h66ch32d.png-24.9kB

重新运行起来,F9到断点的位置,F8一步一步地调试,遇到重要的不认识的VB函数,就去博客上查,知道它是做什么用的就可以,具体分析的过程就不说了,耐心,很简单,分析源码:

00402409   > \8B95 50FFFFFF mov edx,dword ptr ss:[ebp-0xB0]
0040240F   .  8B45 E4       mov eax,dword ptr ss:[ebp-0x1C]                      ;  输入的name:12345
00402412   .  50            push eax                                             ; /String = 0000000A ???
00402413   .  8B1A          mov ebx,dword ptr ds:[edx]                           ; |
00402415   .  FF15 E4404000 call dword ptr ds:[<&MSVBVM50.__vbaLenBstr>]         ; \__vbaLenBstr   获得一个字符串的长度
0040241B   .  8BF8          mov edi,eax                                          ;  函数的返回值放在EAX寄存器中,本例为5
0040241D   .  8B4D E8       mov ecx,dword ptr ss:[ebp-0x18]
00402420   .  69FF FB7C0100 imul edi,edi,0x17CFB                                 ;  edi为name的长度乘以0x17CFB
00402426   .  51            push ecx                                             ; /String="1" 取出name的首字符
00402427   .  0F80 91020000 jo Afkayas_.004026BE                                 ; |
0040242D   .  FF15 F8404000 call dword ptr ds:[<&MSVBVM50.#rtcAnsiValueBstr_516>>; \rtcAnsiValueBstr 计算name首字符的Ascii值
00402433   .  0FBFD0        movsx edx,ax                                         ;  最终edi的值为name的长度乘以0x17cfb在加上第一个字符的ASCII码值
00402436   .  03FA          add edi,edx
00402438   .  0F80 80020000 jo Afkayas_.004026BE
0040243E   .  57            push edi                                             ;  msvbvm50.__vbaStrCat
0040243F   .  FF15 E0404000 call dword ptr ds:[<&MSVBVM50.__vbaStrI4>]           ;  msvbm50._vbaStrI4 edi中值16进制转成10进制
00402445   .  8BD0          mov edx,eax                                          ;  得到正确serila的数字部分
00402447   .  8D4D E0       lea ecx,dword ptr ss:[ebp-0x20]
0040244A   .  FF15 70414000 call dword ptr ds:[<&MSVBVM50.__vbaStrMove>]         ;  msvbvm50.__vbaStrMove
00402450   .  8BBD 50FFFFFF mov edi,dword ptr ss:[ebp-0xB0]
00402456   .  50            push eax
00402457   .  57            push edi                                             ;  msvbvm50.__vbaStrCat
00402458   .  FF93 A4000000 call dword ptr ds:[ebx+0xA4]
0040245E   .  85C0          test eax,eax
00402460   .  7D 12         jge short Afkayas_.00402474
00402462   .  68 A4000000   push 0xA4
00402467   .  68 5C1B4000   push Afkayas_.00401B5C
0040246C   .  57            push edi                                             ;  msvbvm50.__vbaStrCat
0040246D   .  50            push eax
0040246E   .  FF15 04414000 call dword ptr ds:[<&MSVBVM50.__vbaHresultCheckObj>] ;  msvbvm50.__vbaHresultCheckObj
00402474   >  8D45 E0       lea eax,dword ptr ss:[ebp-0x20]
00402477   .  8D4D E4       lea ecx,dword ptr ss:[ebp-0x1C]
0040247A   .  50            push eax
0040247B   .  8D55 E8       lea edx,dword ptr ss:[ebp-0x18]
0040247E   .  51            push ecx
0040247F   .  52            push edx
00402480   .  6A 03         push 0x3
00402482   .  FF15 5C414000 call dword ptr ds:[<&MSVBVM50.__vbaFreeStrList>]     ;  msvbvm50.__vbaFreeStrList
00402488   .  83C4 10       add esp,0x10
0040248B   .  8D45 D4       lea eax,dword ptr ss:[ebp-0x2C]
0040248E   .  8D4D D8       lea ecx,dword ptr ss:[ebp-0x28]
00402491   .  8D55 DC       lea edx,dword ptr ss:[ebp-0x24]
00402494   .  50            push eax
00402495   .  51            push ecx
00402496   .  52            push edx
00402497   .  6A 03         push 0x3
00402499   .  FF15 F4404000 call dword ptr ds:[<&MSVBVM50.__vbaFreeObjList>]     ;  msvbvm50.__vbaFreeObjList
0040249F   .  8B06          mov eax,dword ptr ds:[esi]
004024A1   .  83C4 10       add esp,0x10
004024A4   .  56            push esi
004024A5   .  FF90 04030000 call dword ptr ds:[eax+0x304]
004024AB   .  8B1D 0C414000 mov ebx,dword ptr ds:[<&MSVBVM50.__vbaObjSet>]       ;  msvbvm50.__vbaObjSet
004024B1   .  50            push eax
004024B2   .  8D45 DC       lea eax,dword ptr ss:[ebp-0x24]
004024B5   .  50            push eax
004024B6   .  FFD3          call ebx                                             ;  msvbvm50.__vbaStrMove; <&MSVBVM50.__vbaObjSet>
004024B8   .  8BF8          mov edi,eax
004024BA   .  8D55 E8       lea edx,dword ptr ss:[ebp-0x18]
004024BD   .  52            push edx
004024BE   .  57            push edi                                             ;  msvbvm50.__vbaStrCat
004024BF   .  8B0F          mov ecx,dword ptr ds:[edi]
004024C1   .  FF91 A0000000 call dword ptr ds:[ecx+0xA0]
004024C7   .  85C0          test eax,eax
004024C9   .  7D 12         jge short Afkayas_.004024DD
004024CB   .  68 A0000000   push 0xA0
004024D0   .  68 5C1B4000   push Afkayas_.00401B5C
004024D5   .  57            push edi                                             ;  msvbvm50.__vbaStrCat
004024D6   .  50            push eax
004024D7   .  FF15 04414000 call dword ptr ds:[<&MSVBVM50.__vbaHresultCheckObj>] ;  msvbvm50.__vbaHresultCheckObj
004024DD   >  56            push esi
004024DE   .  FF95 40FFFFFF call dword ptr ss:[ebp-0xC0]                         ;  msvbvm50.741CC368
004024E4   .  50            push eax
004024E5   .  8D45 D8       lea eax,dword ptr ss:[ebp-0x28]
004024E8   .  50            push eax
004024E9   .  FFD3          call ebx                                             ;  msvbvm50.__vbaStrMove
004024EB   .  8BF0          mov esi,eax
004024ED   .  8D55 E4       lea edx,dword ptr ss:[ebp-0x1C]
004024F0   .  52            push edx
004024F1   .  56            push esi
004024F2   .  8B0E          mov ecx,dword ptr ds:[esi]
004024F4   .  FF91 A0000000 call dword ptr ds:[ecx+0xA0]
004024FA   .  85C0          test eax,eax
004024FC   .  7D 12         jge short Afkayas_.00402510
004024FE   .  68 A0000000   push 0xA0
00402503   .  68 5C1B4000   push Afkayas_.00401B5C
00402508   .  56            push esi
00402509   .  50            push eax
0040250A   .  FF15 04414000 call dword ptr ds:[<&MSVBVM50.__vbaHresultCheckObj>] ;  msvbvm50.__vbaHresultCheckObj
00402510   >  8B45 E8       mov eax,dword ptr ss:[ebp-0x18]
00402513   .  8B4D E4       mov ecx,dword ptr ss:[ebp-0x1C]
00402516   .  8B3D 00414000 mov edi,dword ptr ds:[<&MSVBVM50.__vbaStrCat>]       ;  msvbvm50.__vbaStrCat
0040251C   .  50            push eax
0040251D   .  68 701B4000   push Afkayas_.00401B70                               ;  UNICODE "AKA-"
00402522   .  51            push ecx                                             ; /String = 80020004 ???
00402523   .  FFD7          call edi                                             ; \__vbaStrCat
00402525   .  8B1D 70414000 mov ebx,dword ptr ds:[<&MSVBVM50.__vbaStrMove>]      ;  msvbvm50.__vbaStrMove
0040252B   .  8BD0          mov edx,eax
0040252D   .  8D4D E0       lea ecx,dword ptr ss:[ebp-0x20]
00402530   .  FFD3          call ebx                                             ;  msvbvm50.__vbaStrMove; <&MSVBVM50.__vbaStrMove>
00402532   .  50            push eax                                             ;  "AKA-487704"
00402533   .  FF15 28414000 call dword ptr ds:[<&MSVBVM50.__vbaStrCmp>]          ;  msvbvm50.__vbaStrCmp
00402539   .  8BF0          mov esi,eax                                          ;  比较结果存在EAX中,是FFFFFFFF,说明失败了

其中在这个位置的函数_VbaStrI4()

 0040243E   .  57            push edi
    0040243F   .  FF15 E0404000 call dword ptr ds:[<&MSVBVM50.__vbaStrI4>]           ;  msvbm50._vbaStrI4 edi中值16进制转成10进制
    00402445   .  8BD0          mov edx,eax                                          ;  得到正确serila的数字部分
    00402447   .  8D4D E0       lea ecx,dword ptr ss:[ebp-0x20]

它的作用我简单查了一下,没有找到(当然我努力找肯定能找到),但是
3.png-8.5kB

和第一题一样的套路...16进制转10进制字符串

将本例的结果试验一下:
4.png-4.8kB

成功!
image_1ajep3mlgd5411pupcdlebup936.png-9.7kB

算法分析:
最终生成的serial是
AKA-((name的长度)*0x17CFB+第一个字符的ASCII码值)转成10进制字符串)

OK,写注册机,我要用python

str1=raw_input('input your name:')
length=str1.__len__()
c=ord(str1[0])
serial=length*97531+c
print 'serial:'
print 'AKA-'+str(serial)

最后还有的几个JO命令的地方是判断是否溢出的,溢出就直接ERROR。这个我心算了一下...,应该很难溢出,就不考虑了..

这题目还可以用VB的反汇编工具,例如:VB Decompiler
直接看VB源码:
image_1ajerose6ab7sj11vbv33namv9.png-91.5kB
这个是不是很简单

源码:

Private Sub OK_Click() '402310
  Dim var_24 As TextBox
  Dim var_B0 As TextBox
  loc_0040237A: var_C0 = CrackMe.RegSerial 'Ignore this
  loc_00402387: Set var_2C = CrackMe.RegSerial
  loc_00402394: var_B0 = var_2C
  loc_0040239A: var_C4 = CrackMe.Text1 'Ignore this
  loc_004023A7: Set var_24 = var_2C
  loc_004023B6: var_18 = Text1.Text
  loc_004023D3: call var_C4(Me, Me, Me, edi, Me, var_24)
  loc_004023ED: var_1C = Text1.Text
  loc_00402420: Len(var_1C) = Len(var_1C) * 97531
  loc_00402436: Len(var_1C) = Len(var_1C) + Asc(var_18)
  loc_0040243F: call var_4040E0(Len(var_1C))
  loc_0040244A: var_20 = var_4040E0(Len(var_1C))
  loc_00402458: Text1.Text = var_20
  loc_004024C1: var_18 = Serial.Text
  loc_004024DE: call var_C0(Me, Me)
  loc_004024F4: var_1C = Serial.Text
  loc_00402530: var_20 = "AKA-" & var_1C
  loc_0040254A: esi = (var_18 = var_20) + 1
  loc_0040258B: If (var_18 = var_20) + 1 = 0 Then GoTo loc_004025E5
  loc_004025AB: var_34 = "You Get It" & "vbCrLf" & "KeyGen It Now"
  loc_004025E3: GoTo loc_0040263B
  loc_004025E5: 'Referenced from: 0040258B
  loc_00402600: var_34 = "You Get Wrong" & "vbCrLf" & "Try Again"
  loc_0040263B: 'Referenced from: 004025E3
  loc_00402652: GoTo loc_0040269E
  loc_0040269D: Exit Sub
  loc_0040269E: 'Referenced from: 00402652
  loc_0040269E: Exit Sub
End Sub



相比汇编,这个很容易看懂了,不过借助工具终究是外力,总有工具是有限制的,唯一能改变这点的就是自己NB,谁都骗不过你喽(我还是新手,勿喷).
xrivendell7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CrackMe002-Afkayas.1
02-04
用于学习软件逆向和软件破解的Crack Me可执行文件,含破解后的文件。
[反汇编练习] 160CrackMe之002
LindaXu1220的博客
06-10 124
[反汇编练习] 160CrackMe之002。 本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。 其中,文章中按照如下逻辑编排(解决如下问题): 1、使用什么环境和工具 2、程序分析 3、思路分析和破解流程 4、注册机的探索 1、工具和环境...
程序逆向Visual Basic程序逆向分析
Reveone的博客
09-27 1337
目前VB语言碰到的都是crackme里的一些验证算法中利用VB做一个图形界面,下面记载的知识点也基本是针对VB在Crack中的应用。VB函数的调用遵循 stdcall 原则,并且函数之间会有NOP分隔,而且VB程序不是直接调Windows API函数,而是调用VB库里的函数。可以看到下图导入的函数都来自于MSVBVM50.dllVB文件使用名为MSVBVM60.dll的VB专用引擎(Microsoft Visual Basic Virtual Machine 6.0)
VBA字符串处理
B!ng
10-27 5122
目录1 VBA中的字符串2 VBA中处理字符串的函数    2.1 比较字符串    2.2 转换字符串    2.3 创建字符串    2.4 获取字符串的长度    2.5 格式化字符串    2.6 查找字符串    2.7 提取字符/字符串    2.8 删除空格    2.9 返回字符代码    2.10 返回数值代表的相应字符    2.11 使用字节的函数    2.12 返回数组的
160CrackMe之002
m0_64180167的博客
06-05 911
这道题就很简单有了第一道题目的支持 我们就能做首先 我们先要下载然后我们可以运行程序了比之前那个还简单就是输入 然后比对 报错或者成功。
crackme练习#2 Afkayas.1.exe
qq_51619737的博客
02-08 567
目录一、准备二、分析破解总结 一、准备 工具:OllyDbg 软件:Afkayas.exe 二、分析破解 先打开程序查看程序功能,该程序需要输入Name和Serial。随便输入获取错误信息。 用OD打开程序,通过EP的形式可以知道这是VB的程序。使用中文搜索引擎中的智能搜索,定位到“You get Wrong”。往上查找,找到分支的语句,将其用nop填充即可实现暴力破解。 接着向上找到过程的起点。按F8单步运行,感觉VB代码较为冗杂,很多都看不懂。但不要紧,在向下运行的同时观察寄存器和栈。直到出
VB程序逆向反汇编常见的函数
chinaherolts2008的博客
07-30 954
VB程序逆向常用的函数 1) 数据类型转换: a) __vbaI2Str 将一个字符串转为8 位(1个字节)的数值形式(范围在 0 至 255 之间) 或2 个字节的数值形式(范围在 -32,768 到 32,767 之间)。 b)__vbaI4Str 将一个字符串转为长整型(4个字节)的数值形式(范围从-2,147,483,6482,147,483,647) c)__vbar4Str 将一个字符串转为单精度单精度浮点型(4个字节)的数值形式 d)__vbar8Str 将一个字符串转为双...
“破解我!“---160CrackMe练习002-Afkayas.1.Exe
最新发布
Sciurdae的博客
10-31 164
系列之002,记录学习。
VB的一些函数
LLC
08-20 2124
在逆一个crackme,vb写的,注册成功,标签上有提示,注册失败,标签上无提示,对于VB程序的套路,我还是不太熟悉, 贴上一些VB函数   00401000 >72A49841 msvbvm60.__vbaVarTstGt 00401004 >72A477EA msvbvm60.__vbaVarSub 00401008 >72A20507 msvbvm60.__vbaStrI2
CrackMe003-AfKayAs.2
02-20
用于学习软件逆向和软件破解的Crack Me可执行文件,含破解后的文件。
crackme-with-angr:一个小裂纹,很容易被愤怒炸毁
03-20
crackme-with-angr:一个小裂纹,很容易被愤怒炸毁
适合破解新手的160crackme练手.rar
08-12
适合破解新手的160crackme练手
160CrackMe算法分析.chm
09-12
我制作的《新160CrackMe算法分析》视频的配套文件,内含全部课件及评分。
适合破解新手的160crackme练手.chw
01-18
适合破解新手的160crackme练手.chw
160CrackMe 001 Acid burn
风城
05-23 3243
首先PEID查壳 Delphi,没有壳就好说了,OD起来语言关系并不太大。 首先,运行发现有一个nag,一个key,一个name/serial,一个一个来。具体瞎网上输入去看对话框什么的我就不扯了... Nag: OD运行起来,F8或者shift+F8,找到这几个CALL的作用 在第一个nag弹出的位置下断,F9过去,之后进入Call中。 不断利用F8去找弹出Nag的具体位置,
160crackme 004 ajj.1
风城
06-06 1130
这个crackme是有点奇葩的,输入name和Serial之后,就没有然后,然后了... 打开以后,输入伪码之后,什么也没有,没有按钮,一副死猪不怕开水烫的样子。 PEid,看一下,Delphi的程序: 首先,用Delphi的神器:DeDe: 打开之后,找到过程,发线有几个过程,依次去看: 00457BD0 53 push e
160CrackMe 027 Cosh.1
风城
06-04 775
首先打开 发现这是一个CD-check的题目 这里推荐一下《加密与解密 第三版》的5.7节CD-Check还有一个博客 CD-check 大家可以参考 之后PEID查,没有壳,C++程序,CD-Check我们只能够通过爆破: OD运行: 接下来大致分成三种找到关键位置的方式: 1.正常运行:F9之后弹出对话框,我们点击Check for CD之后,弹出错误对话框,不点击确定,直
160CrackMe 029 Cosh.3
风城
06-04 676
我们一起来看这个系列的第三题是不是水题.. PEID,没有查到有壳,依旧是一个C++的逆向: 伪码检验: 同样OD中查找文本字符串,定位到该字符串位置: 这三个题目都没有在定位上为难cracker。 于是还是同样的工作,向上找到函数的头部下断点,F9运行,之后,输入伪代码,F8进行代码分析: 这是这之后一部分的代码流程: 004014EC |. 8B4D E0
public void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(C0294R.layout.activity_main); this.f58bt = (Button) findViewById(C0294R.C0296id.button); this.machine_text = (TextView) findViewById(C0294R.C0296id.editText); this.machine_text.setText(getDeviceId()); this.f58bt.setOnClickListener(new MyListener() { // from class: com.example.crackme.crackapp.MainActivity.1 @Override // com.example.crackme.crackapp.MainActivity.MyListener, android.view.View.OnClickListener public void onClick(View v) { MainActivity.this.authcode = (TextView) MainActivity.this.findViewById(C0294R.C0296id.editText2); AlertDialog.Builder builder = new AlertDialog.Builder(MainActivity.this); String aesstr = AESUtils.encrypt("%^&!@#s__f3$%(*+", MainActivity.this.machine_text.toString()); if (MainActivity.md5(aesstr).equals(MainActivity.this.authcode.getText().toString())) { builder.setMessage("恭喜你!授权码输入正确!"); builder.show(); } else { builder.setMessage("授权码输入错误!"); builder.show(); } Log.i("AES加密", aesstr); } }); }
07-12
接着,为按钮设置点击事件监听器,创建一个匿名内部类`MyListener`实现`OnClickListener`接口,并重写其中的`onClick()`方法。在`onClick()`方法中,获取输入的授权码并进行加密处理,然后与存储的正确的授权码进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值