160个练手CrackMe-004

最新推荐文章于 2022-05-28 08:45:00 发布
最新推荐文章于 2022-05-28 08:45:00 发布
阅读量635 收藏
点赞数
分类专栏: 160个练手CM 文章标签: 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/M_N_N/article/details/78163575
版权

1、准备工作

无壳,Delphi编写,工具:DarkDe4(Delphi反汇编工具,定位事件地址)


2、OD载入运行,搜索字符串。


双击定位


0045803B为关键跳转。

[esi+0x30C] == 0x85 才提示注册成功,向上查看哪个地方有赋值操作。

在Panel1DbClick函数中发现赋值操作。

00457EFE  |.  C786 0C030000>mov dword ptr ds:[esi+0x30C],0x85



而给[esi+0x30C]赋值的条件是[esi+0x30C] == 0x3E,继续查看哪个地方写入了0x3E。

编辑框的chkcode函数中发现赋值操作。

而赋值条件是Call CKme.00403C。

到此知道了整个注册流程:

     a.输入正确的Key

     b.单击图片框

     c.双击图片框,会显示图片,提示注册成功





单步运行到00457D35时,数据窗口中跟随edx就可以看到正确的Key了:“黑头Sun Brird8dseloffc-012-OK123”

此时可以分析内存关系,可以写内存注册机了。


3、内存注册机

从[ebx + 0x318]开始,向上层函数查。

00457C56  |.  8BD8          mov ebx,eax                               ; ebx的值由eax得来,eax是上层函数传的参数

00428185   .  8B83 C4010000 mov eax,dword ptr ds:[ebx+0x1C4]          ; eax <- [ebx+0x1C4]
00428181   .  8BD8          mov ebx,eax                               ; ebx <- eax

此处省略几步。。。
004281FC   .  53            push ebx
004281FD   .  56            push esi
004281FE   .  8BF2          mov esi,edx
00428200   .  8BD8          mov ebx,eax                               ; ebx <- eax 到这里猜想eax可能就没变化了。所以先试试。此时eax=0x02275028
00428202   .  8BD6          mov edx,esi
00428204   .  8BC3          mov eax,ebx                               ;  这一层相关的是eax,  eax <- ebx, 再往上看
姑且把eax的值当做基值。
内存注册机: 

#include <iostream>
#include <windows.h>
using namespace std;

int main(){
    int pid;
    int Base_adr = 0x02275028;                                        //基值
    int Key_adr;
    int tmp_adr;
    char key[50] = {0};
    int num = 0;
    unsigned char tmp;



    printf("PID:");
    scanf("%d", &pid);

    HANDLE hProcess = OpenProcess(2035711, false, pid);
    if(hProcess == NULL)
        cout << "Error!" << endl;
    else{
        ReadProcessMemory(hProcess, (LPCVOID)(Base_adr+0x1C4), &tmp_adr, 4, NULL);     //第一层关系
        ReadProcessMemory(hProcess, (LPCVOID)(tmp_adr+0x318), &Key_adr, 4, NULL);      //正确的Key的地址
        ReadProcessMemory(hProcess, (LPCVOID)Key_adr, &tmp, 1, NULL);
        while(tmp != 0 && num < 50){                                                   //循环取值,取到0表示结束 
            key[num++] = tmp;
            ReadProcessMemory(hProcess, (LPCVOID)Key_adr+num, &tmp, 1, NULL);
        }

    }
//    printf("%X\n", Key_adr);
    printf("%s\n", key);                                                               //当前name正确的key

    return 0;
}


尝试了一下。

输入正确的Key后,单击双击操作后显示图片。

但这个内存注册机只对分析出基值的程序有效,上面所谓的基值新开一个程序就变了。好像和下面这个模块有关。

如果这个地址显示为02230000,则上面代码中基值应该是0x02235028。        022C0000则基值为0x022C5028 。暂时不知道解决办法。有机会再解决。

补:

查了一波资料,可以吧内存注册机当做一个小的调试器,以Debug方式创建进程,在Key漏出来的地方下断点,然后读取相关寄存器的值。


源码:

#include <iostream>
#include <windows.h>
using namespace std;

int main() {
    char exePath[100] = {"C:\\CKme.exe"};
    int int3_adr = 0x00457D35;      // 设置断点的地方
    unsigned char CC = 0xCC;
    unsigned char E8 = 0xE8;
    STARTUPINFO si;
    PROCESS_INFORMATION pi;
    DEBUG_EVENT devent;
    CONTEXT context;
    char key[50] = {0};
    char tmp = 0;
    int num = 0;
//    LPCONTEXT lpContext;

    ZeroMemory( &si, sizeof(si));
    si.cb = sizeof(STARTUPINFO);
    si.dwFlags = STARTF_USESHOWWINDOW;
//    si.hStdInput = GetStdHandle(STD_INPUT_HANDLE);
    si.wShowWindow = SW_SHOW;
    ZeroMemory( &pi, sizeof(pi) );


//    cout << "File Path:";
//    scanf("%s", exePath);

    if(CreateProcess(exePath,
                     NULL, NULL, NULL,
                     FALSE,
                     DEBUG_PROCESS,
                     NULL, NULL, &si, &pi)){	// 以Debug方式创建进程 
        cout << "OK" << endl;
        while(TRUE){
            if(WaitForDebugEvent(&devent, INFINITE)){	//等待Debug事件 
//                cout << "Lai MI" << endl;
                switch(devent.dwDebugEventCode){		// 过滤事件 
                    case CREATE_PROCESS_DEBUG_EVENT:
//                        cout << pi.dwProcessId << endl;
                        WriteProcessMemory(pi.hProcess, (LPVOID)int3_adr, &CC, 1, NULL);		//进程被创建时下断点 
                        break;
                    case EXCEPTION_DEBUG_EVENT:
//                        SuspendThread(pi.hThread);
						if(devent.u.Exception.ExceptionRecord.ExceptionCode == EXCEPTION_BREAKPOINT){	// 判断异常信息(int 3 断点信息为0x80000003)   
                            SuspendThread(pi.hThread);		// 暂停线程 
                            context.ContextFlags = CONTEXT_CONTROL;		// 此Flags表示get或set Eip,Ebp...等寄存器 
                            if(GetThreadContext(pi.hThread, &context)){
                                cout << "Eip:" << hex << context.Eip << endl;
                                if(context.Eip != int3_adr + 1){		// 判断异常的地方是否是我们想要的地方 
//                                	cout << hex << devent.u.Exception.ExceptionRecord.ExceptionCode << endl;
                                	ResumeThread(pi.hThread);		// 其他地方的断点直接恢复线程 
								}else{
									context.ContextFlags = CONTEXT_INTEGER;		// 此Flags表示get或set Eax,Ebx...等寄存器 
									if(GetThreadContext(pi.hThread, &context)){	// 这里我们要get Edx的值,Edx指向了注册码 
										cout << "Edx:" << hex << context.Edx << endl;
										ReadProcessMemory(pi.hProcess, (LPCVOID)context.Edx, &tmp, 1, NULL);
										while(tmp != 0 && num < 50){
											key[num++] = tmp;
											ReadProcessMemory(pi.hProcess, (LPCVOID)(context.Edx+num), &tmp, 1, NULL);
										}
										cout << "This is the registration code:"; 
										cout << key << endl;	//输出注册码 
									}
									WriteProcessMemory(pi.hProcess, (LPVOID)int3_adr, &E8, 1, NULL);		// 还原断点 
									context.ContextFlags = CONTEXT_CONTROL;
									context.Eip -= 1;
									SetThreadContext(pi.hThread, &context);		// 还原 Eip 
									ResumeThread(pi.hThread);					// 恢复线程 
								}                                
                            }
                   		}
                        break;
                }
                ContinueDebugEvent(devent.dwProcessId, devent.dwThreadId, DBG_CONTINUE);		// 继续Debug事件 
            }else{
                cout << "Error";
                cout << GetLastError();
                return 0;
            }
        }
    }else{
        cout << "Error";
        cout << GetLastError();
    }

    return 0;
}


效果图:程序运行起来后先随便几个字符。



4、追码

00457C40  /.  55            push ebp                                 ;  chkcode 真正判断函数
00457C41  |.  8BEC          mov ebp,esp
00457C43  |.  51            push ecx
00457C44  |.  B9 05000000   mov ecx,0x5
00457C49  |>  6A 00         /push 0x0
00457C4B  |.  6A 00         |push 0x0
00457C4D  |.  49            |dec ecx
00457C4E  |.^ 75 F9         \jnz XCKme.00457C49
00457C50  |.  51            push ecx
00457C51  |.  874D FC       xchg [local.1],ecx
00457C54  |.  53            push ebx
00457C55  |.  56            push esi
00457C56  |.  8BD8          mov ebx,eax
00457C58  |.  33C0          xor eax,eax
00457C5A  |.  55            push ebp
00457C5B  |.  68 3D7E4500   push CKme.00457E3D
00457C60  |.  64:FF30       push dword ptr fs:[eax]
00457C63  |.  64:8920       mov dword ptr fs:[eax],esp
00457C66  |.  8BB3 F8020000 mov esi,dword ptr ds:[ebx+0x2F8]         ;  name的长度?
00457C6C  |.  83C6 05       add esi,0x5
00457C6F  |.  FFB3 10030000 push dword ptr ds:[ebx+0x310]
00457C75  |.  8D55 F8       lea edx,[local.2]
00457C78  |.  8BC6          mov eax,esi
00457C7A  |.  E8 85FEFAFF   call CKme.00407B04
00457C7F  |.  FF75 F8       push [local.2]                           ;  参数1:str(len(name)+5)
00457C82  |.  FFB3 14030000 push dword ptr ds:[ebx+0x314]            ;  参数2:'dseloffc-012-OK'
00457C88  |.  8D55 F4       lea edx,[local.3]
00457C8B  |.  8B83 D4020000 mov eax,dword ptr ds:[ebx+0x2D4]
00457C91  |.  E8 B2B6FCFF   call CKme.00423348                       ;  获取name
00457C96  |.  FF75 F4       push [local.3]                           ;  参数3:name
00457C99  |.  8D83 18030000 lea eax,dword ptr ds:[ebx+0x318]         ;  参数4:目标地址
00457C9F  |.  BA 04000000   mov edx,0x4                              ;  参数5:4
00457CA4  |.  E8 93BFFAFF   call CKme.00403C3C                       ;  连接字符串
00457CA9  |.  33D2          xor edx,edx
00457CAB  |.  8B83 F4020000 mov eax,dword ptr ds:[ebx+0x2F4]

这一段还不是太明白,只知道大致效果是这样。


写注册机: 

name = input("Name:")
key = '黑头Sun Bird' + str(len(name)+5) + 'dseloffc-012-OK' + name
print('Key:', key, sep='')




Mnnk
关注
专栏目录
CrackMe】160CrackMe--001 Acid burn 做完这160个练习题,90%的软件你就能搞定了
L2510408497的博客
07-10 934
160道题目网盘链接 链接:https://pan.baidu.com/s/15bqvffOLM6V5bff98DkT6w 提取码:3hc6
专业反编译Delphi工具DeDeDark 无壳版
01-06
专业反编译delphi工具,专业反编译delphi工具-delphi professional anti-compiler tools, professional anti-compiler tool delphi
适合破解新手的160crackme练手.zip
06-03
适合破解新手的160crackme练手.chm,结合ollydbg等工具可以很好的掌握
160CrackMe之004
w_g3366的博客
08-03 448
160CrackMe之004 环境和工具 Win10+x32dbg+PEID 程序分析 程序说明:没有按钮,错误没有提示,如果成功会出现一张照片. 1.先查壳:无壳.Delphi程序 2.尝试注册: 用户名:123456789012 发现用户名最多12位 注册码:abcdefghijk 注册码好像没有长度限制 目前就这些信息了,开始分析 分析过程 没什么头绪,先搜索字符串看看,发现注册成功...
[反汇编练习] 160CrackMe之004
LindaXu1220的博客
06-13 219
[反汇编练习] 160CrackMe之004. 本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。 其中,文章中按照如下逻辑编排(解决如下问题): 1、使用什么环境和工具 2、程序分析 3、思路分析和破解流程 4、注册机的探索 -----------------...
delphi gui编辑工具源码_想看朱茵吗?160CrackMe精解(图文+视频+注册机源码) -004...
weixin_39982017的博客
11-25 118
前言这篇文章,可以让你熟悉Delphi反汇编工具,Dededark准备【环境和工具】win7/xp虚拟机环境CrackMe004(CKme.exe)ollydbgDededark【学习层次】爆破,但是这个CM作者声明了,爆破他是不认可的解密流程,写注册机详解视频所有CrackMe系列视频,新手值得一看,他可以告诉你所以然,"受之于鱼不如授之与渔",CrackMe攻防学的就是方法思路。新手160个C...
适合破解新手的160crackme练手
05-02
吾爱论坛网友整理的160crackme练手,论坛有详细解答步骤,适合学习使用。
适合破解新手的160crackme练手.rar
08-12
适合破解新手的160crackme练手
160crackme练手.rar
08-23
分享一个逆向练手资源集——160CrackMe,适合新手练习使用。
VMP学习笔记之壳基础(一)
u014738665的博客
10-12 3984
【文章标题】: Vmp1.21学习笔记 【文章作者】: 黑手_鱼 【软件名称】: Vmp1.21 【下载地址】: 自己搜索下载 【加壳方式】: UPX 0.89.6 - 1.02 / 1.05 - 2.90 (Delphi) 【编写语言】: Borland Delphi 4.0 - 5.0 【操作平台】: win7 32位 【作者声明】: 以看雪作者waiWH的VMP还原系列为原型逆向分析 ---------------------------------------------------
DeDe_3.10_1527.rar
11-28
DarkDe4.exe是DEDE 3.50.4的修改版(超强版:P) by DarkNess0ut 01.修改了Title和ClassName "DeDe"->"DarK",绝大部分的Anti检测都没有用了 02.DIY原DEDE,使得可以反汇编得到非标准程序的Forms格式和Procedures的事件(^_^) 03.直接反汇编功能的选项,原DEDE就提供了 "When this is checked DeDe will try to load the target and will read some valueable information from the new process memory that will be used later on. I do recommend this option to be ALWAYS checked! If it is not,DeDe will work little faster, but you will not have global var references, no unit inforamati on, DOI engine will work no more than 40% of its potential and many more *bad* things." Caption = 'Dump extra data and search for obj/prop references' 04.增加对特殊处理过的PACKAGEINFO的Uint List的显示,设定GetSectionIndexByRVA默认返回值是-1or2 选项在Option->configuration->Preferences->General-> Not Special Program And PACKAGEINFO,No Warn Saving 选择,将提供缺省功能; 不选,则增加对PACKAGEINFO的搜索功能和GetSectionIndexByRVA函数的默认返回值=2. (通常应该采用缺省模式,当反汇编有错误或PackageInfo有错时,尝试使用) 原有的"Do not allow report to be saved in existing folder"功能,继续保留,借鸡生蛋而已:) 使用原有english.ini的话, 选项将显示"Do not allow report to be saved in existing folder",请自行修改 05.修改原有的"Open With DEDE"的注册键错误&BUG,可以使用右键运行DEDE反汇编Delphi/BCB 06.去处NAG显示 07.修复原有Dump Active Process的BUG 可以 使用Shift+Alt+Ctrl+D Dump Process ->Dump.dmp文件 使用Shift+Alt+Ctrl+I Dump Info ->procinf_dmp.txt 08.Enable Dump按钮(画蛇添足:P) 09.修复拖放处理程序时,确认对话框的BUG! 10.修复Forms下将DFM保存为RES文件的BUG! 11.Enable Procedures下右键的Analize Class功能 12.修复Forms下DFM的"Open With NotePad"功能 13.heXer提供修复反汇编引擎的代码,修复后,爽歪歪啊:P 主要是解决了反汇编的错误
破解常用工具五合一(dede,od,peido,exescope,rescope)
05-07
反编译dede,查壳peido,脱壳od,查exe和dll文件的exescope,rescope,皆是常用工具。 附带某些文件在dede使用时出现stream read error解决说明。
delphi反编译工具 dede3.99
01-08
DeDe is a very fast program that can analyze executables compiled with Delphi 2,3,4,5 and Builder and give you the following: - All dfm files of the target. You will be able to open and edit them with Delphi. - All published methods in well commented ASM code with references to strings, imported function calls, classes methods calls, components in the unit, Try-Except and Try-Finally blocks. (By default DeDe retrieves only the published methods sources, but you may also process another procedure in a executable if you know the RVA offset using the Tools|Disassemble Proc menu.) - A lot of additional information. - You can create a Delphi project folder with all dfm, pas, dpr files. Note: pas files contains the mentioned above well commented ASM code. They can not be recompiled ! You can also: - View the PE Header of all PE Files and change/edit the sections flags. - Use the opcode-to-asm tool for translating intel opcode to assembler. - Use RVA-to-PhysOffset tool for fast converting physical and RVA addresses. - Use the DCU Dumper (view dcu2int.txt for more details) to retrieve near to pascal code of your DCU files. - Use BPL(DPL) Dumper to see BPL exports and create symbol files to use with DeDe disassembler. - Disassemble a target EXE directly from memory in case of a packed exe.
CrackMe032:UPX脱壳+keyfile+DarkDe+Process Monitor
可乐松子的博客
05-28 860
下面是网上的160CrackMe的部分逆向笔记,包括逆向思路、注册机实现和逆向中常用的知识整理 注意:逆向前一定要先操作一下软件,熟悉软件的运行现象;逆向一定要自己操作一遍,看是很难看会的(高手除外) 文章目录1.脱壳+基本分析脱壳DarkDe分析2.KeyFile破解KeyFile基础知识破解本程序3.注册界面破解step 1.DarkDe分析按钮事件step 2.OK按钮分析step3 .4个序列号事件step 3-1.Edit处理的框架step 3-2.关键函数分析step 3-3.验证4.注册
Delphi反汇编笔记
JUST DO IT.
12-22 1692
<br />TField<br />取字段名:mov     eax, dword ptr [eax+38],这里的eax是self指针。<br /> <br /> 
DEDEv5.3动态调用顶一下和踩一下的方法
liuwg1226的专栏
12-21 2530
在织梦内容管理系统v5.3中,顶一下和踩一下并不是动态的,必须更新html才能显现真正的数量,以下方法可以动态调用。 把以下内容保存为/plus/getdigg.php 以下为引用的内容: require_once(dirname(__FILE__)."/../include/common.inc.php"); $action = isset($ac
160练手CrackMe-020
还是上会网吧~
10-26 372
1、查壳,Delphi编写WWPack32 1.x -> Piotr Warezak,比较简单的壳。 2、脱壳首先要了解下Delphi程序的OEP格式。 OD载入,单步跟踪,向上跳转的地方直接在它下一行F4,慢慢跟。 当遇到一个大的JMP,基本就是OEP了。 OEP: 反汇编窗口右击,用OllyDump脱壳调试程序。直接点脱壳,保存,方式1不行就尝试方式2。 再查壳,直接显示Delphi
crackme160的解题步骤
最新发布
03-30
对于一个CrackMe来说,解题的步骤会因题目难度和设计而有所不同。下面是一般情况下的解题步骤: 1. 分析题目和二进制文件:首先,需要了解题目的背景和目的,以及二进制文件的类型和结构。可以使用反汇编器、调试器等工具,深入了解二进制文件的代码逻辑和控制流程。 2. 寻找关键函数和代码逻辑:在分析代码时,需要寻找与题目相关的关键函数和代码逻辑,例如密码验证函数、加密/解密函数等。 3. 破解密码验证:如果CrackMe的目的是验证输入的密码是否正确,那么需要破解密码验证函数。可以使用反汇编器或调试器来跟踪密码验证函数的执行过程,找到输入密码的地方,并尝试修改密码验证函数的代码,以绕过验证。 4. 破解加密/解密:如果CrackMe的目的是加密/解密某些数据,那么需要破解加密/解密函数。可以使用反汇编器或调试器来跟踪加密/解密函数的执行过程,找到加密/解密算法的关键代码,并尝试修改算法代码,以破解加密/解密。 5. 编写破解程序:最终目的是编写一个破解程序,用于自动化破解CrackMe。可以使用汇编语言、C/C++等编程语言来编写破解程序,实现自动化破解CrackMe的功能。 需要注意的是,解题过程中需要遵守法律和道德准则,不得在未经授权的情况下盗用他人知识产权。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值