crackme.chm之CKme

最新推荐文章于 2024-09-20 13:34:13 发布
最新推荐文章于 2024-09-20 13:34:13 发布
阅读量1.1k 收藏
点赞数
分类专栏: 逆向练习 文章标签: 逆向 汇编 破解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SilverMagic/article/details/40895517
版权

    首先使用dede查看有多少用户自定函数

    由于FormCreate函数是最先被调用的,所以我们在IDA中找到对应函数,并使用F5分析

int __fastcall TForm1_FormCreate(int a1)
{
  int v1; // ebx@1
  int v2; // edx@1
  int v3; // edx@1

  v1 = a1;
  unknown_libname_28(a1 + 784, &str_____Sun_Bird[1]);
  unknown_libname_28(v1 + 788, &str_dseloffc_012_OK[1]);
  LOBYTE(v2) = 1;
  Controls::TControl::SetVisible(*(_DWORD *)(v1 + 740), v2);
  LOBYTE(v3) = 1;
  return Controls::TControl::SetVisible(*(_DWORD *)(v1 + 752), v3);
}
    上面的函数比较简单也比较直观,就是初始化两个字符串指针成员变量,并且显示两个控件,我们这边记住下两个成员变量的地址分别是784、788,对应的字符串分别为“黑头Sun Bird”、“dseloffc-012-OK”

    接下来让我们看下第二个自定义函数KeyUp

int __fastcall TForm1_KeyUp(int a1, int a2, int a3, int a4)
{
  int v4; // ebx@1
  int v5; // eax@1
  int result; // eax@1

  v4 = a1;
  v5 = Controls::TControl::GetTextLen(*(_DWORD *)(a1 + 724));
  *(_DWORD *)(v4 + 760) = v5;
  result = abs(v5);
  *(_DWORD *)(v4 + 760) = result;
  return result;
}
    上面的函数也比较简单,主要是获取输入的字符串的长度并且保存到一个成员变量中,这边我们记下成员变量的地址760,至于是记录什么控件的文本长度,我们看下dede中KeyUp是哪个控件上的函数即可

    可以看到是TEdit1就是用户名,所以this->760保存的是用户名的长度,接下来看下第三个自定义函数Panel1Click

int __fastcall TForm1_Panel1Click(int a1)
{
  int v1; // esi@1
  int v2; // ebx@1
  int v3; // eax@2
  int v4; // ST04_4@2
  int v5; // ecx@2
  int v6; // ebx@4
  int v7; // eax@5
  int v8; // ST04_4@5
  int v9; // ecx@5
  unsigned int v11; // [sp-Ch] [bp-38h]@1
  int (*v12)(); // [sp-8h] [bp-34h]@1
  int (*v13)(); // [sp-4h] [bp-30h]@1
  int v14; // [sp+8h] [bp-24h]@5
  int v15; // [sp+Ch] [bp-20h]@5
  int v16; // [sp+10h] [bp-1Ch]@5
  int v17; // [sp+14h] [bp-18h]@5
  int v18; // [sp+18h] [bp-14h]@2
  int v19; // [sp+1Ch] [bp-10h]@2
  int v20; // [sp+20h] [bp-Ch]@2
  int v21; // [sp+24h] [bp-8h]@2
  char v22; // [sp+28h] [bp-4h]@2
  int v23; // [sp+2Ch] [bp+0h]@1

  v1 = a1;
  v13 = (int (*)())&v23;
  v12 = loc_4580FD;
  v11 = __readfsdword(0);
  __writefsdword(0, (unsigned int)&v11);
  v2 = 0;
  do
  {
    TControl::GetText(*(_DWORD *)(v1 + 724), &v20);
    v3 = sub_403B7C(v20);
    Sysutils::IntToStr(v3 + 30, &v21);
    TControl::GetText(*(_DWORD *)(v1 + 724), &v19);
    v4 = v19;
    Sysutils::IntToStr(v2, &v18);
    System::__linkproc___LStrCatN(&v22, 3, v5, v4, v18);
    ++v2;
  }
  while ( v2 != 19 );
  if ( *(_DWORD *)(v1 + 780) == 133 )
  {
    v6 = 0;
    do
    {
      TControl::GetText(*(_DWORD *)(v1 + 724), &v16);
      v7 = sub_403B7C(v16);
      Sysutils::IntToStr(v7 + 3, &v17);
      TControl::GetText(*(_DWORD *)(v1 + 724), &v15);
      v8 = v15;
      Sysutils::IntToStr(v6, &v14);
      System::__linkproc___LStrCatN(&v22, 3, v9, v8, v14);
      ++v6;
    }
    while ( v6 != 19 );
    Controls::TControl::SetVisible(*(_DWORD *)(v1 + 752), 0);
    unknown_libname_28(dword_45B820 + 112, &str________________[1]);
  }
  __writefsdword(0, v11);
  v13 = loc_458104;
  unknown_libname_26(&v14);
  unknown_libname_27(&v15, 2);
  unknown_libname_27(&v17, 2);
  unknown_libname_27(&v19, 2);
  return unknown_libname_27(&v21, 2);
}
    简单的分析上面函数,可得到如下代码 

int __fastcall TForm1_Panel1Click(int this)
{
  int this; // esi@1
  int i; // ebx@1
  int iNLen; // eax@2
  int v4; // ST04_4@2
  int v5; // ecx@2
  int j; // ebx@4
  int iNLen; // eax@5
  int pszName; // [sp+1Ch] [bp-10h]@2
  int pszName; // [sp+20h] [bp-Ch]@2

  i = 0;
  do
  {
    TControl::GetText(*(_DWORD *)(this + 724), &pszName);
    iNLen = strlen(pszName);
    Sysutils::IntToStr(iNLen + 30, &v21);
    TControl::GetText(*(_DWORD *)(this + 724), &pszName);
    System::__linkproc___LStrCatN(&v22, 3, pszName, i);
    ++i;
  }
  while ( i != 19 );
  if ( *(_DWORD *)(this + 780) == 133 )
  {
    j = 0;
    do
    {
      TControl::GetText(*(_DWORD *)(this + 724), &pszName);
      iNLen = strlen(pszName);
      Sysutils::IntToStr(iNLen + 3, &v17);
      TControl::GetText(*(_DWORD *)(this + 724), &pszName);
      System::__linkproc___LStrCatN(&v22, 3, pszName, j);
      ++j;
    }
    while ( j != 19 );
    Controls::TControl::SetVisible(*(_DWORD *)(this + 752), 0);
    unknown_libname_28(dword_45B820 + 112, "恭喜恭喜!注册成功");
  }
}

    可以看到两个do-while循环都是迷惑性的,根本不影响最后“注册成功”的提示,真正的判断点在于if ( *(_DWORD *)(this + 780) == 133 ),但是我们发现在当前函数即之前函数都没有发觉对this+780有赋值,所以我们需要看下下一个函数Panel1DbClick

int __fastcall TForm1_Panel1DblClick(int a1)
{
  int v1; // esi@1
  int v2; // ebx@1
  int v3; // eax@2
  int v4; // ST04_4@2
  int v5; // ecx@2
  int v6; // ebx@5
  int v7; // eax@6
  int v8; // ST04_4@6
  int v9; // ecx@6
  unsigned int v11; // [sp-Ch] [bp-38h]@1
  int (*v12)(); // [sp-8h] [bp-34h]@1
  int (*v13)(); // [sp-4h] [bp-30h]@1
  int v14; // [sp+8h] [bp-24h]@6
  int v15; // [sp+Ch] [bp-20h]@6
  int v16; // [sp+10h] [bp-1Ch]@6
  int v17; // [sp+14h] [bp-18h]@6
  int v18; // [sp+18h] [bp-14h]@2
  int v19; // [sp+1Ch] [bp-10h]@2
  int v20; // [sp+20h] [bp-Ch]@2
  int v21; // [sp+24h] [bp-8h]@2
  char v22; // [sp+28h] [bp-4h]@2
  int v23; // [sp+2Ch] [bp+0h]@1

  v1 = a1;
  v13 = (int (*)())&v23;
  v12 = loc_457FA9;
  v11 = __readfsdword(0);
  __writefsdword(0, (unsigned int)&v11);
  v2 = 0;
  do
  {
    TControl::GetText(*(_DWORD *)(v1 + 724), &v20);
    v3 = sub_403B7C(v20);
    Sysutils::IntToStr(v3 + 9, &v21);
    TControl::GetText(*(_DWORD *)(v1 + 724), &v19);
    v4 = v19;
    Sysutils::IntToStr(v2, &v18);
    System::__linkproc___LStrCatN(&v22, 3, v5, v4, v18);
    ++v2;
  }
  while ( v2 != 19 );
  if ( *(_DWORD *)(v1 + 780) == 62 )
    *(_DWORD *)(v1 + 780) = 133;
  v6 = 0;
  do
  {
    TControl::GetText(*(_DWORD *)(v1 + 724), &v16);
    v7 = sub_403B7C(v16);
    Sysutils::IntToStr(v7 + 21, &v17);
    TControl::GetText(*(_DWORD *)(v1 + 724), &v15);
    v8 = v15;
    Sysutils::IntToStr(v6, &v14);
    System::__linkproc___LStrCatN(&v22, 3, v9, v8, v14);
    ++v6;
  }
  while ( v6 != 19 );
  __writefsdword(0, v11);
  v13 = loc_457FB0;
  unknown_libname_26(&v14);
  unknown_libname_27(&v15, 2);
  unknown_libname_27(&v17, 2);
  unknown_libname_27(&v19, 2);
  return unknown_libname_27(&v21, 2);
}
    可以看到中间有个赋值动作 

if ( *(_DWORD *)(v1 + 780) == 62 )
    *(_DWORD *)(v1 + 780) = 133;
    所以本函数将影响前一个函数,这边也会发现两个do-while也是迷惑性的,根本不会影响上面的赋值表达式,而问题又转移到什么时候*(_DWORD *)(v1 + 780) == 62表达式会成立呢?来看最后一个自定义函数ChkCode 
int __fastcall TForm1_chkcode(int a1, int a2, signed __int32 a3, int a4)
{
  int v4; // ebx@1
  int v5; // ST04_4@1
  int v6; // ecx@1
  int v7; // esi@1
  int v8; // eax@2
  int v9; // ST08_4@2
  int v10; // ecx@2
  char v11; // zf@3
  int v12; // eax@5
  int v13; // esi@5
  int v14; // eax@6
  int v15; // ST08_4@6
  int v16; // ecx@6
  int v17; // eax@7
  unsigned int v19; // [sp-Ch] [bp-44h]@1
  int (__stdcall *v20)(int); // [sp-8h] [bp-40h]@1
  int (__stdcall *v21)(int); // [sp-4h] [bp-3Ch]@1
  int v22; // [sp+8h] [bp-30h]@6
  int v23; // [sp+Ch] [bp-2Ch]@6
  int v24; // [sp+10h] [bp-28h]@6
  int v25; // [sp+14h] [bp-24h]@6
  int v26; // [sp+18h] [bp-20h]@3
  int v27; // [sp+1Ch] [bp-1Ch]@2
  int v28; // [sp+20h] [bp-18h]@2
  int v29; // [sp+24h] [bp-14h]@2
  int v30; // [sp+28h] [bp-10h]@2
  int v31; // [sp+2Ch] [bp-Ch]@1
  int v32; // [sp+30h] [bp-8h]@1
  int v33; // [sp+34h] [bp-4h]@1
  int v34; // [sp+38h] [bp+0h]@1

  _InterlockedExchange((signed __int32 *)&v33, a3);
  v4 = a1;
  v21 = (int (__stdcall *)(int))&v34;
  v20 = loc_457E3D;
  v19 = __readfsdword(0);
  __writefsdword(0, (unsigned int)&v19);
  Sysutils::IntToStr(*(_DWORD *)(a1 + 760) + 5, &v32);
  v5 = *(_DWORD *)(v4 + 788);
  TControl::GetText(*(_DWORD *)(v4 + 724), &v31);
  System::__linkproc___LStrCatN(v4 + 792, 4, v6, v5, v31);
  Controls::TControl::SetVisible(*(_DWORD *)(v4 + 756), 0);
  Controls::TControl::SetText(*(_DWORD *)(v4 + 756), *(_DWORD *)(v4 + 792));
  v7 = 0;
  do
  {
    TControl::GetText(*(_DWORD *)(v4 + 724), &v29);
    v8 = sub_403B7C(v29);
    Sysutils::IntToStr(v8 + 3, &v30);
    TControl::GetText(*(_DWORD *)(v4 + 724), &v28);
    v9 = v28;
    Sysutils::IntToStr(v7, &v27);
    System::__linkproc___LStrCatN(&v33, 3, v10, v9, v27);
    ++v7;
  }
  while ( v7 != 19 );
  TControl::GetText(*(_DWORD *)(v4 + 728), &v26);
  System::__linkproc___LStrCmp(v26, *(_DWORD *)(v4 + 792));
  if ( v11 )
    *(_DWORD *)(v4 + 780) = 62;
  v12 = *(_DWORD *)(v4 + 780) + 16;
  *(_DWORD *)(v4 + 764) = v12;
  *(_DWORD *)(v4 + 768) = v12 + 35;
  v13 = 0;
  do
  {
    TControl::GetText(*(_DWORD *)(v4 + 724), &v24);
    v14 = sub_403B7C(v24);
    Sysutils::IntToStr(v14 + 3, &v25);
    TControl::GetText(*(_DWORD *)(v4 + 724), &v23);
    v15 = v23;
    Sysutils::IntToStr(v13, &v22);
    System::__linkproc___LStrCatN(&v33, 3, v16, v15, v22);
    ++v13;
  }
  while ( v13 != 19 );
  v17 = *(_DWORD *)(v4 + 768) + *(_DWORD *)(v4 + 764);
  *(_DWORD *)(v4 + 772) = v17;
  *(_DWORD *)(v4 + 776) = v17 + *(_DWORD *)(v4 + 764) + 9;
  __writefsdword(0, v19);
  v21 = loc_457E44;
  unknown_libname_26(&v22);
  unknown_libname_27(&v23, 2);
  unknown_libname_26(&v25);
  unknown_libname_26(&v26);
  unknown_libname_26(&v27);
  unknown_libname_27(&v28, 2);
  unknown_libname_26(&v30);
  unknown_libname_26(&v31);
  return unknown_libname_27(&v32, 2);
}
    简单的分析上面的函数,去掉无关代码结果如下:(注意this+784/788我们在第一个自定义函数中已经知道是两个常量字符串,IDA的StrCat漏掉了下面两个参数,分别是this->784以及用户名长度this->760+5) 

int __fastcall TForm1_chkcode(int this, int a2, signed __int32 a3, int a4)
{
  TControl::GetText(*(_DWORD *)(v4 + 724), &pszName);
  System::__linkproc___LStrCatN(v4 + 792, *(_DWORD *)(v4 + 784), *(_DWORD *)(v4 + 760)+5 ,*(_DWORD *)(v4 + 788), pszName);
  TControl::GetText(*(_DWORD *)(v4 + 728), &pszSerial);
  if (!System::__linkproc___LStrCmp(pszSerial, *(_DWORD *)(v4 + 792)))
    *(_DWORD *)(v4 + 780) = 62;
}
    根据上面的函数可以推导出注册算法为 

void main()
{
	char szMagicA[] = "黑头Sun Bird";
	char szMagicB[] = "dseloffc-012-OK";
	char szName[] = "@@@@";
	cout<<"The Serial:"<<szMagicA<<strlen(szName)+5<<szMagicB<<szName<<endl;
}
    输入用户名和序列号后,双击画布再单击画布即可完成破解

银翼魔术师
关注
专栏目录
160个crackme(5)----ajj.2(CKme.exe)
abc_670的博客
02-05 1020
据说这次的CKme可是层层设防,查壳发现加了upx壳,暂时用软件直接脱 用的工具是UPXEasyGUI,链接: https://p  an.baidu.com/s/1hsYAevM 密码: vrtq 脱壳后再查如下: 这次直接先用DeDe来看下它,这个程序竟然隐藏了一个Edit2!!主要的事件有Edit2的双击,panel的双击,button1的Button1click,
一次crackme.apk逆向的分析
HarunaHarunaHaruna的博客
11-29 1222
目录一次crackme.apk逆向的分析系统环境分析过程总结 一次crackme.apk逆向的分析 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 系统环境 分析软件:crackme.apk(文尾附下载链接) 分析工具:ApkIDE 3.3.2 软件环境:夜神模拟器 6...
crackme.chm之aLoNg3x_1.exe
11-07 1634
点about按钮可以知道这个程序是让我们去掉按钮,让logo显示出来;首先用dede载入程序,看下有几个自定函数
新160个crackme - 060-snake
最新发布
qq_41483767的博客
09-20 577
C++程序分析,ida动态调试,贪吃蛇算法
Crackme004-CKme(OD版本)
weixin_60363168的博客
11-03 354
Crackme004-AfKayAs(OD版本)~ 包含注册码算法分析
crackme.chm之Chafe1
11-07 1032
这个程序没有注册或者确定按钮,所以我们只有找到窗口过程才能知道
crackme.chm之figugegl_2b
11-07 778
使用Resource Hacker+IDA定位程序验证逻辑, #include using namespace std; /*void main(HWND hWnd) { UINT iSLen; // ebx@1 int result; // eax@2 UINT iNLen; // esi@3 int i; // edi@5 char szSerial[42]; // [
新160个CrackMe算法分析.chm
09-12
我制作的《新160个CrackMe算法分析》视频的配套文件,内含全部课件及评分。
crackme.exe
06-08
crackme.exe
CrackMe.zip
08-24
CrackMe
crackme.chm之Cruehead_1
11-07 1086
使用Resource Hacker+IDA定位程序验证逻辑,不熟悉的可以看我逆向技巧栏目相关文章
CrackMe005 - ajj.2
02-25
用于学习软件逆向和软件破解Crack Me可执行文件,含破解后的文件。
crackme.chm之figugegl_3
11-07 820
使用Resource Hacker+IDA定位程序验证逻辑,不熟悉的可以看我逆向技巧栏目相关文章
CrackMe】004-CKme.ajj.1
SMOne
06-25 718
一、查看程序信息 二、观察程序特点 我X的了,什么鬼程序,怎么操作都没反应 亏我刚开始看到中文还一股亲切感油然而生 从程序就可以看出来,中国人就是比老外邪恶啊…… 三、寻找突破口 字符串倒是能搜到,可你都不会玩,搜到了有个鸟用。 还是用delphi解剖神器吧 在DelphiDecompiler中,可以看到里面有一堆事件 (写这软件的人才是真牛逼,感慨一下...
Ollydbg 逆向分析Crack Me04-CKme
LizimU_0911的博客
11-09 397
1.首先,先选择打开Ckme,如图1所示 2.点击运行,或按F9,会出现程序的初始界面,尝试输入用户名和注册码,可以发现无法登录,如图2所示 3.打开中文搜索引擎进行智能搜索-智能搜索 4.右击选择Find,进行搜索,如图4 5.直接在搜索框中输入注册成功,找到所在地址双击进入汇编窗口,如图5、6 6.向上寻找,发现可疑的jnz指令,对其进行NOP填充,如图7、8所示 7.返回程序界面,右击灰色区域,如图9所示
CrackMe004 CKme
yiftss
03-31 300
第一步:分析程序 第二步:开始爆破 此时爆破成功! 第三步:算法分析 由此编写算法如下: #include <stdio.h> #include <string.h> int main() { char name[20]; printf("please input your name.\n"); scanf("...
160个CrackMe之CKme001和CKme002
sxr__nc的博客
10-10 419
这个软件的破解和之前的不同,至于哪里不同,作者在附带的文件里边也进行了描述,其实最大的不同就是,这个软件的注册,你会发现连最基本的确认按键都没有,说实话,这个软件注册的破解还是相当简单的,但是如果陷入思维定势就比较难走出来,自然也就需要花费好大的功夫去破解它。 现在正式来让我们的主角登场: 程序初貌: 程序运行之后的界面: 把鼠标放在运行界面上边会显示注册成功后将会显示的信息,还是老办法,先智能...
160个破解练习之CrackMe 005 CKme002
a545958498的博客
11-13 1895
注:分析的过程借鉴了吾爱论坛的一篇文章  文章地址: https://www.52pojie.cn/thread-366291-1-1.html 首先打开软件,界面如下: 输入用户名点击注册按钮没有任何反应,因为有了第四题的经验,直接用Dark打开软件分析事件函数:         可以看到,这个软件注册的函数有:窗口创建完毕、按钮鼠标按下、面
CRACKME_CKme002_编号 5 逆向
hgjiayou的博客
04-20 256
CKme002逆向 CRACKME系列会持续更新 程序简介 这个程序目前我只能爆破 他这个输入注册名后会应为setTimer来触发,比较成功后鼠标放置界面上会提示注册成功,且注册按钮会变成注册了 但是通过delph的反编译工具看到还有一个序列号的编辑框控件,尝试跟踪无果,最后只是爆破了此程序 爆破 刚开始我是直接搜索中文字符串找到了,成功注册的字样,然后开始下断,nop掉几个跳转就成功爆破了 然后再这个函数头下断,点击运行,输入名字,等待timer的触发 nop掉这五个跳转,让其顺利的往下执行
public void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(C0294R.layout.activity_main); this.f58bt = (Button) findViewById(C0294R.C0296id.button); this.machine_text = (TextView) findViewById(C0294R.C0296id.editText); this.machine_text.setText(getDeviceId()); this.f58bt.setOnClickListener(new MyListener() { // from class: com.example.crackme.crackapp.MainActivity.1 @Override // com.example.crackme.crackapp.MainActivity.MyListener, android.view.View.OnClickListener public void onClick(View v) { MainActivity.this.authcode = (TextView) MainActivity.this.findViewById(C0294R.C0296id.editText2); AlertDialog.Builder builder = new AlertDialog.Builder(MainActivity.this); String aesstr = AESUtils.encrypt("%^&!@#s__f3$%(*+", MainActivity.this.machine_text.toString()); if (MainActivity.md5(aesstr).equals(MainActivity.this.authcode.getText().toString())) { builder.setMessage("恭喜你!授权码输入正确!"); builder.show(); } else { builder.setMessage("授权码输入错误!"); builder.show(); } Log.i("AES加密", aesstr); } }); }
07-12
首先调用`super.onCreate(savedInstanceState)`来执行父类的`onCreate()`方法,然后调用`setContentView()`方法设置布局文件为`activity_main`。 接下来,通过`findViewById()`方法获取布局文件中的按钮和文本视图...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值