序列号型CrackMe逆向之IDA技巧篇

最新推荐文章于 2024-03-25 10:28:53 发布
最新推荐文章于 2024-03-25 10:28:53 发布
阅读量2.9k 收藏 5
点赞数 1
分类专栏: 逆向技巧
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SilverMagic/article/details/40631727
版权

    前面我们探讨了用OD来定位验证逻辑位置,现在我们来探讨下如何使用IDA来定位验证逻辑位置~

控件ID搜索法

    如果一个windows程序使用了rc资源(把程序往Resrouce Hacker一拖,能看到对话框之类的资源的说明就使用了rc资源),并且控件的ID比较特殊的,就是搜索不容易出现大量重复指令的ID,就可以使用搜索立即数的方式定位对应验证逻辑,方法如下(这边使用crackme.chm的figugegl.1.exe作为演示用例)~

    将程序载入IDA,然后搜索立即数101或102,找到指令格式为PUSH 0x65(101的十六进制格式)并且注释为nIDDlgItem的指令(有些时候可能没有注释,但是指令的格式必须是PUSH的),指令所在的地址就是我们要找的程序验证逻辑,这边两个函数都有这种指令,还需要进一步分析,请见下


    我们先看双击跟进第一个指令所在的地址,然后使用F5查看对应的C代码,发现这个是窗口样式初始化的代码,并不是我们要找的验证逻辑(看到SetClassLongA就知道了)

    我们来看第二条指令所在的地址,F5仔细分析下程序逻辑基本可以断定这就是我们要找的程序验证逻辑,验证算法这边就不分析了

搜索虚表

    如果按钮的控件ID不够特殊,并且当验证按钮的控件ID为1或0的时候,这个时候只能通过找虚函数的方式来定位验证逻辑了,这个情况比较少见。控件ID为1或0的时候对应的处理函数比较特殊,它默认处理函数是OnOK和OnCancel,而这两个都是虚函数,具体操作如下(这边使用crackme.chm的noos.1.exe作为演示用例,这边搜索EDIT的控件ID值1001或1002定位更快,仅为演示而演示)

    首先找到一个CDialog的虚函数,如果用户同时重载了OnOK和OnCancel那么就找DoModel,否则要么找OnOK或OnCancel,然后单击函数的交叉引用转到虚表

    下面的1、2、3分别是DoModel、OnOK、OnCancel,如果被用户重载了,那么就会变成sub_xx的字样,所以我们可以知道2就是我们要找的验证函数OnOK


F5分析失败处理方法

    F5功能用过的都说好啊,但是有时候F5会失败,虽然可以直接看汇编,但是总是不太爽滴,能看C代码还是尽量看C代码,这样程序框架比较容易理清,比如下面这个程序(实验程序下载链接:传送门)

    产生这个问题的原因就是IDA对有些函数的栈平衡方式分析出了问题,如果函数是_stdcall方式,栈由函数自己来平衡,但是如果是_cdecl方式,则由调用者来平衡,如果IDA对函数的调用方式分析出的问题,那么就会导致栈不平衡,这个时候就会出现上面的错误,解决办法就是修正报错所在地址的栈值,这个栈值要修正成什么样子呢?函数在一开始的时候会有太高栈顶和保存寄存器值的动作,在完成这些动作后的栈顶值就是函数执行过程中的“标准栈值”,就是如果函数中因为要调用其他库函数压参数入栈,那么在函数调用完成后需要再恢复到“标准值”

    由于函数开头保存寄存器有时候可能是后面函数调用的输入参数,所以通过分析开头来确定“标准栈值”不太方便,这边我是习惯找出错地址前分析正常的Call调用,因为IDA这个时候没分析错,那么Call调用后恢复的栈顶值肯定就是标准值,当然可以多找几个Call来验证,因为有时候在release版本下,可能在连续调用几个函数后才统一平衡堆栈,最常见的例子就是printf,release下会在连续几个printf后使用add esp,xx的方式平衡,这个时候就add指令之后栈顶值就是标准值,所以stdcall方式和cdecl方式确认标准值的方式是不同的

    在出错地址处按下ALT+K呼出栈顶值调整窗口,Current SP value表示当前指令执行前的栈顶值,old and new SP表示是当前指令执行完成后栈顶值的变化值,两者相加就是指令执行完成后的栈顶值

    由于前面的call ds:__imp_mfc100_10007应该是一个stdcall调用,所以在这个call调用上按下ALT+K,可以得出标准栈顶值为-0x22C(可以多找几个Call调用来验证),所以我们只要将上面的栈顶值也调整成-0x22C就可以了,就是编辑框的0x21C改成0即可

    修改完成后你会发现又能神奇的F5啰~

交叉引用

    IDA作为静态分析的利器,它的交叉引用是一个非常强大的功能,通过数据交叉引用,我们能够知道一些全局变量在代码中的使用情况,比如有些CrackMe程序它使用全局变量来保存字符串,并且的字符串获取在一个函数,验证在另外一个函数,我们通过控件ID很容易定位到字符串获取函数,验证函数我们就可以通过对保存字符串的Buffer的交叉引用来定位了(这边使用crackme.chm的Cruehead.1.exe作为演示用例)~

    使用IDA搜索立即数1000,定位字符串获取代码位置

    接下来我们查询String的数据交叉引用就能找到对应的验证逻辑了,因为验证当然要读取字符串,肯定还会引用String变量的,双击变量进入数据段,然后单击数据的交叉引用,是不是很快就找到验证逻辑了呢?


银翼魔术师
关注
专栏目录
逆向分析-IDA pro恶意代码(Crackme.exe)静态逆向分析
06-14
C++语言编写的简易移位加密程序,帮助初学者小试牛刀,练习IDA pro静态逆向分析。
逆向寻找MFC程序中消息回调函数地址
liuhaidon1992的博客
06-03 997
IDA打开exe文件,在Imports表中找到GetCommandMap函数,两次交叉引用,找到GetCommandMap在rdata数据段中的位置。GetMessageMap函数就在它上面 地址401250处代码如下 地址403618处数据如下 根据下面的源码,知道403540这里就是真正的函数地址 MFC中消息定义格式如下 地址403540的数据按照消息格式解析如下 和代码中一样 ...
逆向序列号生成算法(一)
AlbertLi
11-13 3396
逆向工程一直很感兴趣,工作之余自己也研究一下,好久没有练手了,OllyDBG的使用都感觉生疏了,晚上抽空先去补了补OllyDBG的使用方法,然后看到一个叫做CycleCrackMe的序列号保护练手程序(如图1),刚好是OllyDBG入门文章里面提到的一个演示用程序,只是把OllyDBG的消息断点及RUN的跟踪相关的知识讲了一下,对CycleCrackMe里面具体的加密算法留给读者自己去研
使用IDA破解TraceMe.exe
weixin_34407348的博客
07-03 332
我发现用IDA破解TraceMe.exe比ODeasy多了。 打开IDA 后。直接搜索“序列号”。得到 双击跳转到反汇编窗体,按F5转换为类C++代码  signed int __stdcall DialogFunc(HWND hWnd, int a2, unsigned __int16 a3, int a4) {   signed int v5; // eb...
Crackme3 破解教程
weixin_30647065的博客
01-19 369
Crackme3 破解教程 1、先用PEiD对 Crackme3进行 壳测试 点击File右边的按钮,选中Crackme3 结果如下图所示: 即 无壳。 试运行软件 点击 Register now! 结果如下: 用Ollydbg开始破解 ...
沙老师的作业系列——Crackme3
Y_peak的博客
04-08 437
沙老师的作业系列——Crackme3 这个仅仅用IDA就可以解决, 确定好需要集中分析的位置。按Shift+F12找到字符串,里面的Serial is Correct 明显是我们运行成功的结果。 确定好位置,只要if语句全部为真,就可以得到我们想要的。 GetDlgItemText函数可以实现读入,类似gets函数。 由于全部都是字符,看起来不太好看。转换下就好。 v2==8代表我们输入了8个字符。同时显然我们是可以输入8个字符的,通过v4我们可以向上依次覆盖v5-v11。着重注意一下v4对应是字符
PE文件-C++-MFC-IDA-逆向分析-x32dbg
插件开发
06-28 1831
  按shift+enter返回。在IDA中查找对话框初始化函数。如下图所示:   在x32dbg中,对应的模块如下图所示:   在查找初始化函数时,可以先定位初始化函数。然后在虚函数中,有调用原始函数,所以原始函数返回,即为目标函数所在的位置。如下图所示: 如果在x32dbg中找到一个地址,可以在IDA中查看,这个函数的代码,如下图所示:   通过交叉参考(XREF)可以知道指令代码互相调用的关系.如下:   .text:00401165 loc_401165: ;CODE XREF:sub_4011
iOS逆向之lldb调试分析CrackMe1.pdf
01-19
接下来几文章将介绍iOS逆向分析中动态调试分析。主要是使用lldb配合(ida或者Hopper Disassembler)对iOS app的关键算法进行动态调试外加静态分析,从而还原出算法流程及参数。感兴趣的朋友可以下载下来看看,学习...
IDA技巧实验程序三
11-07
序列号CrackMe逆向IDA技巧的第三个实验程序
05.IDA Pro反汇编工具初识及逆向工程解密实战1
08-03
Windows PE 第一章开发环境和基本工具使用 - TK13大神160个CrackMe001 - CSDN鬼手大神160个Crackme030之一元一次方程
新160个CrackMe算法分析.chm
09-12
我制作的《新160个CrackMe算法分析》视频的配套文件,内含全部课件及评分。
逆向异或算法的注册码
xf555er的博客
08-23 901
跟着NCK大牛的视频学到了求逆向算法的部分,对于我这种小白来说还是比较难的,涉及到了异或算法逆向,由于对没使用过IDA软件,导致花了有些许时间去填IDA的坑本文章记录逆向一个用异或算法来验证注册码的程序,那么首先要了解异或算法的原理及其逆运算。
IDA下MD5算法F5特征
把梦想放飞在蓝色的天空里...
05-20 9119
IDA里抠出来的: int __usercall MD5_COMPUT(char *a1, int a2) { int v2; // edx@1 int v3; // ebx@1 int v4; // ebp@1 unsigned int v5; // edx@3 int v6; // ecx@3 unsigned int v7; // esi@3
idaIDA工具常见利用
qcwwww的博客
07-11 1041
整理一下个人的常用命令:shift + 12 显示字符串按下回车上面的 \ ,转义符,就可隐藏ida对变量类的标注/ ,在该行添加注释双击变量看变量地址或者进入函数ctrl+s 看各种区段的地址F5一键反汇编x:对变量或函数按x查看上级调用n:对变量按下 n ,对变量进行重命名g:跳转到程序中的指定地址或者指定函数名ALT+T:搜索文本ALT+B:搜索16进制粉红色标识的为libc中的函数 白色标识的为代码中的函数C语言数组和指针: 例:list[1] = *(list +1) 即数组+下标表示
IDA详细使用教程,适合逆向新手的实验报告
热门推荐
mackilo的博客
11-08 4万+
IDA详细使用教程,原创适合逆向新手的实验报告,关于快捷键,界面展示等的介绍,推荐大家结合另一ida实操,文章食用。切实感受ida的魅力与强大。
学习笔记第五课 寻找注册码
weixin_30294021的博客
03-23 273
先打开这次要破解的软件,任意输入一个注册码“11111111111111111”,点击注册,发现程序需要重启验证 然后,观察一下软件的根目录,发现有一个INI配置文件,打开后发现里面记录了刚才注册时候的机器码和输入注册码 此时,可以判断软件的注册验证流程是: 先让用户输入注册码 然后重启软件,读取INI文件中的记录并进行比对,进而确定用户输入的注册码是否有效。 (这里说明一下:课...
IDA简单使用
m0_64973256的博客
04-27 2432
这种情况我们只能从start开始找主函数,就像在OD里面找到主函数一样,当然也可以通过字符串叉查找。对照源代码,基本流程很清晰。
C语言经典算法之介绍IDA*算法
最新发布
weixin_56154577的博客
03-25 2511
IDA*(Iterative Deepening A*)算法是一种结合了A算法和深度优先搜索(DFS)思想的启发式搜索算法。它解决了A算法在面对深而窄的搜索空间时,可能因为需要存储大量节点而导致内存溢出的问题。IDA*通过迭代加深的方式逐步扩大搜索深度,每次只探索到当前设定的最大深度,没有找到解时就增加最大深度,继续搜索。
码分多址计算题讲解(计算机网络,很详细,很详细,很详细)
Jav
04-18 1万+
概念 码分多址( Code Division Multiple Access,CDMA)是通过编码区分不同用户信息,实现不同用户同频、同时传输的一种通信技术。这就好像,从 A 地到 B 地的路线中,三个不同的乘客分别选择飞机,动车和汽车,三个人的行程是不会冲突的。 在 CDMA 中,每一个比特时间再被划分成 m 个短时间(码片)。每一个工作站被指派唯一一个 m bit 的码片序列。 一个站如果发送...
揭示逆向工程实战:简单crackme剖析
本文以一个简单的crackme程序为例,深入解析逆向工程的过程和技术。 首先,逆向工程的核心步骤包括: 1. **查壳与脱壳**:如果遇到加壳的程序,首先要识别并移除壳层,这是为了保护软件不被轻易逆向。接着,修复...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值