Tiger's Crackme

最新推荐文章于 2019-04-07 18:47:21 发布
最新推荐文章于 2019-04-07 18:47:21 发布
阅读量641 收藏
点赞数
分类专栏: Crackme/Keygenme/Reverseme
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hades1996/article/details/9007927
版权
今天一早起来将以前的分析,注释全部删掉,重新分析这个CM,总结出来一些东西,当瞥见网上关于此CM的一篇破文的某一部分时,突然有了思路,再看下去,果然是这样。。
上一次发了一篇不太全的分析,这次来收尾,总结了一下网上关于这个CM的破文和自己跟出来的东西。

在分析之前,先看看CrackMe的模样:


Same old same old,Name+Serial

第一步:反汇编算法分析
Button1的汇编代码:

004501DD      55            push    ebp

004501DE  |.  68 4F034500   push    0045034F

004501E3  |.  64:FF30       push    dword ptr fs:[eax]

004501E6  |.  64:8920       mov     dword ptr fs:[eax], esp

004501E9  |.  8D55 FC       lea     edx, dword ptr [ebp-4]

004501EC  |.  8B83 FC020000 mov     eax, dword ptr [ebx+2FC]

004501F2  |.  E8 25F2FDFF   call    0042F41C

004501F7  |.  8D55 F8       lea     edx, dword ptr [ebp-8]

004501FA  |.  8B83 00030000 mov     eax, dword ptr [ebx+300]

00450200  |.  E8 17F2FDFF   call    0042F41C

00450205  |.  8D45 F4       lea     eax, dword ptr [ebp-C]

00450208  |.  BA 68034500   mov     edx, 00450368                    ;  i am bin laden

0045020D  |.  E8 963CFBFF   call    00403EA8

00450212  |.  8D45 F0       lea     eax, dword ptr [ebp-10]

00450215  |.  BA 80034500   mov     edx, 00450380                    ;  i am yi zhi lao hu

0045021A  |.  E8 893CFBFF   call    00403EA8

0045021F  |.  8B45 FC       mov     eax, dword ptr [ebp-4]

00450222  |.  E8 A93EFBFF   call    004040D0

00450227  |.  83F8 0A       cmp     eax, 0A

0045022A  |.  0F8C FC000000 jl      0045032C

00450230  |.  8B45 FC       mov     eax, dword ptr [ebp-4]

00450233  |.  E8 983EFBFF   call    004040D0

00450238  |.  83F8 10       cmp     eax, 10

0045023B  |.  0F8F EB000000 jg      0045032C                         ;  用户名长度在10到16之间

00450241  |.  8B45 F8       mov     eax, dword ptr [ebp-8]

00450244  |.  E8 873EFBFF   call    004040D0

00450249  |.  83F8 11       cmp     eax, 11

0045024C  |.  0F8C DA000000 jl      0045032C

00450252  |.  8B45 F8       mov     eax, dword ptr [ebp-8]

00450255  |.  E8 763EFBFF   call    004040D0

0045025A  |.  83F8 16       cmp     eax, 16

0045025D  |.  0F8F C9000000 jg      0045032C                         ;  密码长度在17到22之间

00450263  |.  8D45 FC       lea     eax, dword ptr [ebp-4]

00450266  |.  8B55 F4       mov     edx, dword ptr [ebp-C]

00450269  |.  E8 6A3EFBFF   call    004040D8                         ;  合并 UsrBin=用户名+szBin

0045026E  |.  BB 64000000   mov     ebx, 64

00450273  |.  8D45 88       lea     eax, dword ptr [ebp-78]

00450276  |>  C600 2E       /mov     byte ptr [eax], 2E

00450279  |.  40            |inc     eax

0045027A  |.  4B            |dec     ebx

0045027B  |.^ 75 F9         \jnz     short 00450276                  ;  初始化12F5B4到12F617为0x2E

0045027D  |.  8B45 FC       mov     eax, dword ptr [ebp-4]

00450280  |.  E8 4B3EFBFF   call    004040D0

00450285  |.  8BF8          mov     edi, eax

00450287  |.  85FF          test    edi, edi

00450289  |.  7E 47         jle     short 004502D2

0045028B  |.  BB 01000000   mov     ebx, 1                           ;  i=1

00450290  |>  8B45 F0       /mov     eax, dword ptr [ebp-10]

00450293  |.  E8 383EFBFF   |call    004040D0

00450298  |.  8BF0          |mov     esi, eax

0045029A  |.  85F6          |test    esi, esi

0045029C  |.  7E 30         |jle     short 004502CE

0045029E  |.  B9 01000000   |mov     ecx, 1                          ;  j=1

004502A3  |>  8B45 FC       |/mov     eax, dword ptr [ebp-4]

004502A6  |.  0FB64418 FF   ||movzx   eax, byte ptr [eax+ebx-1]

004502AB  |.  8B55 F8       ||mov     edx, dword ptr [ebp-8]

004502AE  |.  0FB6540A FF   ||movzx   edx, byte ptr [edx+ecx-1]

004502B3  |.  F7EA          ||imul    edx

004502B5  |.  51            ||push    ecx

004502B6  |.  B9 1A000000   ||mov     ecx, 1A

004502BB  |.  33D2          ||xor     edx, edx

004502BD  |.  F7F1          ||div     ecx

004502BF  |.  59            ||pop     ecx

004502C0  |.  83C2 41       ||add     edx, 41

004502C3  |.  8D0419        ||lea     eax, dword ptr [ecx+ebx]

004502C6  |.  885405 87     ||mov     byte ptr [ebp+eax-79], dl      ;  String[i+j]=UsrBin[i]*Code[j]%26+65

004502CA  |.  41            ||inc     ecx

004502CB  |.  4E            ||dec     esi

004502CC  |.^ 75 D5         |\jnz     short 004502A3                 ;  j<=18

004502CE  |>  43            |inc     ebx

004502CF  |.  4F            |dec     edi

004502D0  |.^ 75 BE         \jnz     short 00450290                  ;  i<=24

004502D2  |>  8D45 EC       lea     eax, dword ptr [ebp-14]

004502D5  |.  E8 363BFBFF   call    00403E10

004502DA  |.  8B45 F8       mov     eax, dword ptr [ebp-8]

004502DD  |.  E8 EE3DFBFF   call    004040D0

004502E2  |.  8BF8          mov     edi, eax

004502E4  |.  85FF          test    edi, edi

004502E6  |.  7E 1F         jle     short 00450307

004502E8  |.  8D5D 8E       lea     ebx, dword ptr [ebp-72]

004502EB  |>  8D45 84       /lea     eax, dword ptr [ebp-7C]

004502EE  |.  8A13          |mov     dl, byte ptr [ebx]

004502F0  |.  E8 033DFBFF   |call    00403FF8

004502F5  |.  8B55 84       |mov     edx, dword ptr [ebp-7C]

004502F8  |.  8D45 EC       |lea     eax, dword ptr [ebp-14]

004502FB  |.  8B4D EC       |mov     ecx, dword ptr [ebp-14]

004502FE  |.  E8 193EFBFF   |call    0040411C

00450303  |.  43            |inc     ebx

00450304  |.  4F            |dec     edi

00450305  |.^ 75 E4         \jnz     short 004502EB                  ;  String+6"之后的len(code)个位的字符串倒置作为密码

00450307  |>  8B45 EC       mov     eax, dword ptr [ebp-14]

0045030A  |.  8B55 F8       mov     edx, dword ptr [ebp-8]

0045030D  |.  E8 0A3FFBFF   call    0040421C

00450312  |.  75 18         jnz     short 0045032C

00450314  |.  6A 40         push    40

00450316  |.  B9 94034500   mov     ecx, 00450394                    ;  恭喜你

0045031B  |.  BA 9C034500   mov     edx, 0045039C                    ;  注册成功!请联系我!qq:609841314

00450320  |.  A1 04204500   mov     eax, dword ptr [452004]

00450325  |.  8B00          mov     eax, dword ptr [eax]

00450327  |.  E8 48E9FFFF   call    0044EC74

0045032C  |>  33C0          xor     eax, eax

0045032E  |.  5A            pop     edx

0045032F  |.  59            pop     ecx

00450330  |.  59            pop     ecx

第二步:用C语言还原算法
虽然最后一步的还原不是太地道,不过算出来就是了

#include <stdio.h>

#include <string.h>

//从网上找了两个字符串操作函数稍微改动一了下************************

/*从字符串的左边截取n个字符*/

void GetLeftStr(char *dst,char *src, int n)

{

    char*p = src;

    intlen = strlen(src);

    if(n>len)n = len;

    while(n--)*(dst++) = *(p++);

    *(dst++)='\0';

    return;

}

/*把字符串反过来*/

void reverse(char s[])

{  

 intc,j,i;

 for(i=0,j=strlen(s)-1;i<j;i++,j--)//完成倒置功能,不包括字符串结束符'/0'

 {

  c=s[i];

  s[i]=s[j];

  s[j]=c;

 }

}

 

int main()

{

  char szBen[]="i am Bin Laden";

  char user[50]="";

  int UsrLen=0;

  int i=0,j,code1=0,code2=0,code12=0,code22=0,k=0,pass1=0,pass2=0;

  int i2,j2,k2,ijkSignal=0;

  char code[50]="";

  char Pass[50]="";

  char LeftStr[50]="";

  char LeftStr2[50]="";

  int CodeLen=0;

  int count=1;

  memset(user,0,50);

  memset(code,0,50);

  memset(Pass,0,50);

  memset(LeftStr,0,50);

 

  //因为怕调试麻烦,所以我就不用scanf,而是直接设置用户和密码了

  strcpy(user,"abcdefghij");

  strcpy(code,"12klmnopqrstuvwxyz");

 

  UsrLen=strlen(user);

  if(UsrLen<0x0A|| UsrLen>0x10)

      goto end;

 

  CodeLen=strlen(code);

  if(CodeLen<0x0A|| CodeLen>0x16)

      goto end;

  strcat(user,szBen);

  UsrLen=strlen(user);

  //计算第一部分

  for(i=0;i<UsrLen;i++)

     for(j=0;j<18;j++)

     {

      Pass[i+j]=(user[i]*code[j])%26+65;            //这里是重点***这里是重点

     }

  //计算第二部分

 GetLeftStr(LeftStr,Pass,CodeLen+5);

  reverse(LeftStr);

 GetLeftStr(LeftStr2,LeftStr,CodeLen);

  printf("\nMiddleString:%s\n",LeftStr2);

end:

  return0;       

}  

第三步:研究其规律并根据规律写注册机
根据在VC调试第二步中的代码,发现“计算第一部分”中生成的字符,不全是第一次被设置成一个值之后,以后就会是这个值。
换句话说Pass[1]在i=0,j=1的时候被设置成了x,但是Pass[1]的最终取值取决于它在双重循环中最后被赋值的那个操作。
根据调试得知它最后被赋值是在i=1,j=0的时候。
很奇妙地,Pass[2]最后被赋值是在i=2,j=0的时候(看出规律了?)
现在我们把C语言还原出来的算法中重点的一句拿出来看看
Pass[i+j]=(user[i]*code[j])%26+65;            //这里是重点***这里是重点 
从上面研究出来的规律我们可以看出,要使得算出来的Pass中的某个元素为最终的模样,j必须为0,也就是说我们完全可以把这条语句替换为
Pass[i]=(user[i]*code[0])%26+65;            //这里是重点***这里是重点  

现在我们要做的事情就是求出code[0]了
在求出code[0]之前,我们首先看看第一步分析汇编算法时,在“成功信息”弹出来之前有" 将String+6"之后的len(code)个位的字符串倒置作为密码"的操作,从这个操作我们看出
1 用user[0],user[1],user[2],user[3],user[4]算出来的Pass对应的字符跟最终的密码没半毛线关系
2 用user[5]算出来的Pass中对应的字符实际上就是算出来的Key的最后一位(也就是说从i=5开始,第一次算出来的Pass字符是最后一个序列号字符,同理:i=6时算出来的Pass字符是序列号倒数第二个字符)
举个例,当输入的密码为18位的时候
Pass[17]=name[5]*code[0]%26+65
Pass[16]=name[6]*code[0]%26+65
Pass[15]=name[7]*code[0]%26+65
Pass[14]=name[8]*code[0]%26+65
Pass[13]=name[9]*code[0]%26+65
Pass[12]=name[10]*code[0]%26+65
Pass[11]=name[11]*code[0]%26+65
Pass[10]=name[12]*code[0]%26+65
Pass[9]=name[13]*code[0]%26+65
Pass[8]=name[14]*code[0]%26+65
Pass[7]=name[15]*code[0]%26+65
Pass[6]=name[16]*code[0]%26+65
Pass[5]=name[17]*code[0]%26+65
Pass[4]=name[18]*code[0]%26+65
Pass[3]=name[19]*code[0]%26+65
Pass[2]=name[20]*code[0]%26+65
Pass[1]=name[21]*code[0]%26+65
Pass[0]=name[22]*code[0]%26+65
了解这些知识之后我们来算code[0]
 我们应用上面举的例子中的最后一条来算code[0],代码如下
    for(code[0]=65; code[0]<91; code[0]++)
    if(code[0]==name[22]*code[0]%26+65)
      break;
现在既然求出code[0]了, 那么根据表达式
 Pass[i]=(user[i]*code[0])%26+65; 
其他位的序列号也可以算出来了
for(int i=1;i<=LenOfCode;i++)
    Pass[i]=user[i+4]*code[0]%26+65


CraclkMe源码(因为这个exe链接失效了,所以我找到了作者发的源码重新编译一遍

procedure TForm1.Button1Click(Sender: TObject);
var
   name,code,laden,tiger,str:string;
   i,j:integer;
   part:array[1..100]of char;
begin
     name:=edit1.Text;
     code:=edit2.Text;
     laden:='i am Bin Laden';
     tiger:='i am yi zhi lao hu';
     if (length(name)<10) or (length(name)>16) then
         exit;
     if (length(code)<17) or (length(code)>22) then
         exit;
     name:=name+laden;
     for i:=1 to 100 do
         part[i]:='.';
     for i:=1  to length(name) do
        for j:=1 to length(tiger) do
            part[i+j]:=chr(((ord(name[i])*ord(code[j]))mod 26)+65);
     str:='';
     for i:=1 to length(code) do
         str:=part[i+6]+str;
     if str=code then
       Application.MessageBox('注册成功!请联系我!QQ:609841314','恭喜你',MB_ICONINFORMATION+MB_OK);
end;


Hades1996
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
crackme00.apk
12-15
CrackeMe00 是一个简单的登录逻辑APK,在不知道密码的情况下登录进主界面。 CrackeMe00 是一个简单的登录逻辑APK,在不知道密码的情况下登录进主界面。 CrackeMe00 是一个简单的登录逻辑APK,在不知道密码的情况...
CrackMe 之 006
sxr__nc的博客
10-19 209
在吾爱上边找到的资源,160个Crack me,第六个,网上有很多大佬也有写文章来讲解,当然在破解的时候也有参考,姑且记录下来,当作自己的学习资料: 拿到程序之后,查壳: die查壳: 可以看到是Delphi的程序,直接上手Darkde进行反编译,这都是后话,在查完壳之后,获取到程序的一些基本信息。下一步先运行一下程序,对于程序有一个大致的了解: ...
160个Crackme006
鬼手的博客
03-06 999
文章目录查壳导入符号分析程序分析关键函数写出注册机验证结果分析ok按钮点击事件分析关键函数写出注册机校验结果 查壳 同样也是用Delphi写的,没有壳。 导入符号 将程序载入到IDA,添加所有的Delphi的签名,然后导出为map文件,在OD中加载map文件,强大的签名库可以减少后面的分析时间。 分析程序 接下来分析一下这个程序,OK那个按钮被禁用了,这是什么套路? 旁边还有个help,不过...
160个CrackMe002
鬼手的博客
02-19 970
文章目录查壳分析程序校验结果写出注册机 查壳 程序使用Virtual Basic写的 无壳 分析程序 程序是使用用户名和序列号的方式加密 载入OD 随便输入一个用户名和密码 来到第一处关键校验处 校验过程如下 1. 求出了用户名的长度 2. 将用户名长度乘以0x17CFB 得到结果 如果溢出则跳转 3. 将结果再加上用户名的第一个字符的ASCII 4. 将结果转为十进制 5. 将结果和...
第一个CrackMe
qq_43762574的博客
04-07 815
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
uc-crackme.zip
04-16
uc_crackme相关资源 博客地址 https://blog.csdn.net/u012787710/article/details/130153385
crackme by 困难户.exe
08-02
一个加壳的易语言程序
crackme.rar
03-04
用于学习软件逆向和软件破解的Crack Me可执行文件,共160个例子。
PEDIY CrackMe 2007.7z
08-20
PEDIY CrackMe 2007.7z PEDIY CrackMe 2007.7z
CRC32的CrackMe
潜心学习
08-12 1395
http://bbs.pediy.com/showthread.php?p=1208996
Aesculapius's Crackme
潜心学习
06-02 1241
先运行下,是Serial型的,在这里我们用账号aaaaaa 密码bbbbbb 文件载入OD,看起来是汇编写的: 00401016 aescul.push 0                                               ; /pModule = NULL 00401018                        call
CrackMe等级自测(3)
潜心学习
07-29 1241
今天早上看到这个CrackMe等级自测,直接来试试等级三好了 打开一下,发现没有注册按钮,拿资源工具把按钮调出来就行,只是隐藏了而已 如果觉得这样很不爽,是投机取巧的话,你也可以到DeDe里面找,找到编辑框变化事件的代码就行了,我试过了,也行的~ 以下是注册按钮的代码(突然发现汇编程序也能搞高亮,CSDN内置的不行喔。。) 00430E10  /.  55
XiaoZi's CrackMe
潜心学习
07-20 1173
不知道是不是经验累积还是这个CrackMe太简单的关系?一下子就弄出来了 新手可以拿这个来练练 扫了一眼破文,说主要是anti难 打开一下程序就把桌面给隐藏了。。总感觉像那种黑客恶作剧软件什么的 载入程序F9运行一下,会有一个内存访问异常(有一条指令往内存地址0处写数据) 00401564 |. C700 01000000 mov dword ptr [eax], 1
Triangle CrackMe
潜心学习
07-25 1061
刚才已经发在看雪了,不想在粘贴了 http://bbs.pediy.com/showthread.php?p=1202615#post1202615
Souhail's Keygenme
潜心学习
08-14 1047
这是个朋友做过的CrackMe,说注册机挺难写,跟踪了一下好像没有什么特别的,注册机也不难写额。。只是一个关键点就是要让数据符合某个表达式,用随机+穷举就行了。总体上来说应该是 (要自己练的看附件吧) 发一下代码和注释: 00401000 > 6A 00 push 0x0 ; /Style = MB_OK|
Crackme(direct comparsion)
潜心学习
06-02 791
这是12年写的文章,非常弱智,本来不想发,但是想想以后可能有新手需要还是发吧 MFC写的垃圾CRACKME void CCrackMeDlg::OnButton1() { MessageBox("flag!!!"); CWnd *h1; CString s1; char *a; int r; int c=IDC_EDIT1; h1=GetDl
Duelist's Crackme #3
潜心学习
06-02 776
这是在《Crack2007》,分类“矩阵方式”下的一个CM,帖子地址如下 http://bbs.pediy.com/showthread.php?threadid=30368 因为一开始就想错了方向(其实也不算想错了,是往难的方法想了,竟然想到了遍历二叉树之类的方法,结果难的方法也没写得出算法来只好作罢了),已经拖了很多天了,只好在国外发CM的网站搜了搜 果然找到了solution,然后就搞明
Bigman's Crackme6
潜心学习
06-02 773
以前都不敢动看雪里面的CrackMe,怕打击自信了,因为一眼看到别人发的破文都不知道在说什么。 今天索性不看了,拿起看雪的《Crack2007》的第一个Crackme自己调试竟然也做出了注册机 本来我真想写破文,不过提起笔来就泄气了,太长了懒的写啊。。 那就写写概括的过程和吧  首先,程序接收到Name和Serial之后先以Name为基础计算出一个字符串来,然后再将这个字符串做另外一系列的
OD逆向crackme
最新发布
09-02
在 [安全攻防进阶篇] 中,有关于逆向分析的教程可以帮助你了解如何使用OllyDbg逆向CrackMe程序。 OllyDbg是一种常用的逆向工具,可以用于分析和修改程序的执行流程和内存。使用内存断点和普通断点,可以在程序执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值