逆向分析abex'crackme #2

最新推荐文章于 2024-04-20 09:45:48 发布
最新推荐文章于 2024-04-20 09:45:48 发布
阅读量2.5k 收藏 6
点赞数 1
分类专栏: 逆向 文章标签: 逆向工程核心原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SKI_12/article/details/80546988
版权
本文详细介绍了逆向分析abex'crackme #2的过程,揭示了程序如何通过获取Name字符串并加密生成Serial值。通过OllyDbg调试,发现程序先读取Name,然后加密生成Serial。加密算法包括:从Name的前四个字符读取,转换为数字,加64,再转换回字符,最后连接生成Serial。
摘要由CSDN通过智能技术生成

这里接着逆向分析abex' crackme #2。

运行程序,要求填入Name和Serial:

随意填写后点击Check:

 

可以看到,显示这个序列号错误。

由此可知,该程序是通过获取用户输入的Name字符串,再通过加密的方式加密Name字符生成相应的Serial值。这里可以明确一下目标,即逆向分析该加密算法具体是如何实现的。

 

OllyDbg打开该exe文件:

 

MSVBVM60.dll为VB专用引擎。

EP代码前面的代码为IAT区域,是一些调用VB引擎的函数,如ThunRTMain()。接着PUSH指令将RT_MainStruct结构体的地址作为ThunRTMain()函数的参数压入栈,再执行CALL指令即调用ThunRTMain()函数。这里用到的是间接调用的方法调用ThunRTMain()函数,是VC++和VB编译器中常用的间接调用方法。

这里查看一下RT_MainStruct结构体的内容:

 

RT_MainStruct结构体的成员是其他结构体成员的地址,即VB引擎通过参数传递过来的RT_MainStruct结构体获取程序运行需要的所有信息。

接着进入ThunRTMain()函数继续调试:

 

这里是MSVBVM60.dll模块的地址区域,是VB引擎代码而不是程序代码,因而不用对其进行分析。

回想一下,可以利用字符串检索法进行查找:

找到相关字符串点击进去查看,找到条件分支语句:

最低0.47元/天 解锁文章
Mi1k7ea
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
新手逆向(4)——abex'crackme#2的调试
ZZW的博客
06-16 333
运行abexcrackme#2 运行后可以看到要求输入name和serial,首先尝试不输入任何东西,直接check, 可以看到它会提示要求输入至少四个字符的name;那么我们就接着输入name而不输入serial得到一个提示;接着输入合理的name和serial也得到一个提示;可以发现这两次的提示是一样的Nope,this serial is wrong。由此可以推测,serial是由name...
逆向分析CrackMe
小菜鸡的博客
04-24 405
OD快捷键 功能 F2 下断点,也就是指定短点的地址 F3 加载一个可执行文件进行调试分析 F4 程序执行至光标处 F5 缩小,还原窗口 F7 单步步入 F8 单步步过 F9 直接运行程序,遇到断点处程序暂停 Ctrl+F2 重新运行程序到起始点处,一般用于重新调试程序 Ctrl+F9 执行到函数返回处,用于快速跳出函数实现 Alt+F9 执行到用户代码处,用于快输跳出系统函数 Ctrl+G 跟踪函数表达式 加载目标调试文件调试: (Ctrl+G)...
逆向工程核心原理》第8章——abexcrackme #2
diamond_biu的博客
11-29 1544
运行abexcrackme #2 下载地址:https://pan.baidu.com/s/1qXhyt8C 运行程序: 输入符合要求的name与serial,点击check: 弹出wrong serial消息框。 Visual Basic文件的特征 abes’ crackme #2文件由Visual Basic编写而成。调试前首先了解Visual Basic文件特征。 VB专用引擎 VB文件使用名为MSVBVM60.dll的VB专用引擎,比如:显示消息框时,VB代码中要调用MsgBox()函数。.
使用OllyDug分析abex crackme#2程序
最新发布
m0_69407979的博客
04-20 1162
使用OllyDug分析abex crackme#2程序
分析abex'crackme#2
weixin_30876945的博客
08-09 133
文件地址:https://www.wocloud.com.cn/webclient/share/sindex.action?id=i9K_Br6TgE4gbyGIlYkffWKcRy5TUdZ8U6_uiWwxDovNjPaT6IJAgRhtvqTOsW3w 这是一个根据输入的name自动生成serial的VB软件。 1.指令分析 打开之后,外部主要有三条指令。 ...
crackMe的逆向分析
Cosmopolitan的博客
06-27 1965
//源文件下载:http://pan.baidu.com/s/1geK6oQB 密码:nup1 下面是程序的DialogFunc的回调函数: 红色的为下断点的位置,为Register按钮的处理过程,调用了checkAll(我自己改的)函数来验证用户名和密码,还有那些nop指令本来是程序检查是否在GetDlgItemTextA函数下断点,下了的化就程序自己退出,我把它nop掉了
abex' crackme#1 破解练习
03-29
逆向工程核心原理》中第6章的供破解的程序
crackme集合[2/2]
08-17
crackme集合[2/2] 本crackme集合分了10个等级。由linholer[PYG]整理制作
逆向工程原理》-示例程序.rar
05-29
包含书中用到的程序。
crackme集合[1/2]
08-17
crackme集合[1/2] 本crackme集合分了10个等级。由linholer[PYG]整理制作
Abex Document Converter Pro Patch
10-23
Abex Document Converter Pro是一款多功能为一体的文档转换工具,可以高质量的转换PDF文档到HTML, Text, Image、Word、Excel、PowerPoint等格式。同时它支持许多不同格式的文档和图像相互之间的转换。 它支持许多...
abex'crackme #2分析
weixin_30241919的博客
10-23 293
Crackme下载:链接: https://pan.baidu.com/s/1bzi36Y 密码: 7hgg 1.基础 VB文件特征 先来波程序截图 点击Check后会提示Wrong 2.分析 通过搜索字符串找到比较函数 找到了错误信息,双击进入,因为需要判断输入是否正确,所以向上拉可以找到条件跳转...
逆向工程核心原理》学习笔记3 破解abex' crackme #2
EloflyS的博客
02-15 696
逆向工程核心原理》学习笔记3 破解abexcrackme #2 这个crackme比前面一个要难得多,因为涉及到VB的函数,加密 而且代码长度也长的多 首先我们打开这个.exe,出现这样的界面 于是我们随便输入一个字符串在Name栏随便输入一个字符串,REVER 然后Serial也填REVER 点击Check发现显示 所以说明我们输入的这个字符串不对 为了解其中的原因 我们将这个.exe放入...
逆向工程核心原理学习笔记(二十五):abex'crackme #2初步破解
killcoco的小窝
05-13 931
首先我们随便输入试一下 然后我们打开OD进行调试: 我们根据字符串来检索,然后找到相应的地址,OK,我们点进去。 然后,跟进: 我们从这里发现了信息框的标题,信息框的内容,然后上面我们还发现了条件分支,我们猜测这里就有可能是一个字符串的判断后的跳转 上面的call就是判
逆向工程核心原理学习笔记(十二):分析abex' crackme #1
killcoco的小窝
04-28 1025
程序下载地址:http://t.cn/RX1wpX7 我们首先运行一下,看看提示什么: 我们初步推测,这个程序应该是判断磁盘是否运行在一个CD-ROM上。 为了验证我们的推测,我们拖进OD看一下。 我们现在可以划重点了: 这个重要的跳转是信息框提示什么内容的关键。 我
逆向工程核心原理学习笔记(二十四):abex'crackme #2 初探
killcoco的小窝
05-13 2091
下载地址:http://t.cn/RaoP3si 首先OD载入程序: 然后停在了程序的入口点,我们F7跟入下面的call. 发现先调用了VB引擎的主函数,然后push 401e14把RT_MainStruct结构体地址压入栈,然后转过头来调用401232地址处的代码,跳转到了JMP DWORD PTR DS:
abex' crackme #2
wk19951125的博客
02-08 451
abex' crackme #2运行abex' crackme #2VB文件的特征调试 运行abexcrackme #2 VB文件的特征 VB文件可以编译为本地代码(N code)以及伪代码(P code),本地代码一般使用IA-32指令,伪代码是一种解释器语言,由VB引擎实现虚拟机并可自解析. VB程序采用Windows操作系统的事件驱动方式工作,所以在main()或WinMain()中...
逆向工程核心原理学习笔记(二十七):abex'crackme #2 破解算法
killcoco的小窝
05-25 1956
这次我们来看一下这个程序是如何加密的,我们重新开始我们的调试 然后我们在win7中调试的时候利用查找所有参考字符串并没有我们之前的信息框字符串信息: 我们这一次使用中文搜索引擎-智能搜索: 双击倒数第二个,然后我们知道这是一个信息框的提示信息,所以这应该处于一个按钮的处理函
逆向工程核心原理笔记(五)——分析abex crackme-1
a1351937368的博客
05-14 691
逆向工程核心原理笔记(五)——分析abexcrackme#1 下面我们将分析一个很简单的crackme小程序,从而进一步熟悉调试器和汇编代码,当然我们的目标不是进行crack(破解)而是加深汇编打吗和调试技术的认识。 Abexcrackme是一个著名的小程序,这是一个公开用作破解练习的小程序。 首先我们先运行abexcrackme#1这个程序: 显示一个消息窗口,显示"Make me think your HD is a CD-Rom"消息。我们此时并不知道程序在这里是在干什么。于是我们点击确
Visual Basic文件解析与算法探秘
例如,在分析“abex'crackme#2.exe”这样的挑战程序时,我们可以找到VB引擎的入口点ThunRTMain(),并通过设置断点观察程序执行过程。 在调试过程中,可能会遇到程序卡壳的问题,这可能是由于调试器设置不当或者某些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值