crackme.chm之aLoNg3x_1.exe

最新推荐文章于 2023-08-01 09:45:21 发布
最新推荐文章于 2023-08-01 09:45:21 发布
阅读量1.5k 收藏 2
点赞数 1
分类专栏: 逆向练习 文章标签: 逆向 汇编 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SilverMagic/article/details/40895687
版权

    点about按钮可以知道这个程序是让我们去掉按钮,让logo显示出来;首先用dede载入程序,看下有几个自定函数

    由于OK按钮是灰色的,所以我们先看下CancellaClick按钮函数,使用IDA特定标签库来解析

    使用F5分析函数

int __usercall TPrincipale_CancellaClick<eax>(int a1<eax>, int a2<ebx>)
{
  int v2; // ebx@1
  int v3; // ST00_4@1
  int v4; // edx@2
  unsigned int v6; // [sp-10h] [bp-14h]@1
  int (*v7)(); // [sp-Ch] [bp-10h]@1
  int (*v8)(); // [sp-8h] [bp-Ch]@1
  int v9; // [sp-4h] [bp-8h]@1
  int v10; // [sp+0h] [bp-4h]@1
  int v11; // [sp+4h] [bp+0h]@1

  v10 = 0;
  v9 = a2;
  v2 = a1;
  v8 = (int (*)())&v11;
  v7 = loc_442F32;
  v6 = __readfsdword(0);
  __writefsdword(0, (unsigned int)&v6);
  TControl::GetText(*(_DWORD *)(a1 + 736), &v10);
  v3 = sub_407670(v10);
  TControl::GetText(*(_DWORD *)(v2 + 732), &v10);
  if ( (unsigned __int8)sub_442AF4(v10, v3) )
  {
    sub_4231B0(*(_DWORD *)(v2 + 720), 0);
    LOBYTE(v4) = 1;
    (*(void (__fastcall **)(_DWORD, int))(**(_DWORD **)(v2 + 716) + 96))(*(_DWORD *)(v2 + 716), v4);
  }
  else
  {
    Controls::TControl::SetText(*(_DWORD *)(v2 + 736), &str_0_1[1]);
  }
  __writefsdword(0, v6);
  v8 = loc_442F39;
  return System::__linkproc___LStrClr(&v10);
}
    上面的代码简单分析后结果如下 

int __usercall TPrincipale_CancellaClick<eax>(int this<eax>, int a2<ebx>)
{
  int this; // ebx@1
  int v3; // ST00_4@1
  int v4; // edx@2
  unsigned int v6; // [sp-10h] [bp-14h]@1
  int v9; // [sp-4h] [bp-8h]@1
  char *pszBuf;

  TControl::GetText(*(_DWORD *)(this + 736), &pszBuf);
  v3 = sub_407670(pszBuf);
  TControl::GetText(*(_DWORD *)(this + 732), &pszBuf);
  if (sub_442AF4(pszBuf, v3) )
  {
    sub_4231B0(*(_DWORD *)(this + 720), 0);
    LOBYTE(v4) = 1;
    (*(void (__fastcall **)(_DWORD, int))(**(_DWORD **)(this + 716) + 96))(*(_DWORD *)(this + 716), v4);
  }
  else
  {
    Controls::TControl::SetText(*(_DWORD *)(this + 736), &str_0_1[1]);
  }
}
    这边无法得知this+736/732对应的控件是什么,以及sub_407670函数的作用是什么,这边可以用OD调试下辅助我们分析

    可以看到第一次获取的是序列号

    这边0x4D2的十进制是1234,正好是我们输入的序列号的值,我们可以推测这个函数的功能应该就是StrToInt

    第二次获取的就是我们输入的用户名,现在我们已经知道sub_442AF4两个输入参数是什么了,分别是eax->用户名 edx->序列号值

    使用F5分析函数

int __fastcall sub_442AF4(int a1, int a2)
{
  int v2; // esi@2
  int v3; // ebx@2
  int v4; // eax@2
  signed int v5; // edx@3
  unsigned int v7; // [sp-Ch] [bp-1Ch]@1
  int (*v8)(); // [sp-8h] [bp-18h]@1
  int (*v9)(); // [sp-4h] [bp-14h]@1
  int v10; // [sp+8h] [bp-8h]@1
  int v11; // [sp+Ch] [bp-4h]@1
  int v12; // [sp+10h] [bp+0h]@1

  v10 = a2;
  v11 = a1;
  System::__linkproc___LStrAddRef();
  v9 = (int (*)())&v12;
  v8 = loc_442B90;
  v7 = __readfsdword(0);
  __writefsdword(0, (unsigned int)&v7);
  if ( sub_403A34(v11) > 5 )
  {
    v2 = sub_442A20(*(_BYTE *)(v11 + 4) % 7u + 2);
    v3 = 0;
    v4 = sub_403A34(v11);
    if ( v4 > 0 )
    {
      v5 = 1;
      do
      {
        v3 += v2 * *(_BYTE *)(v11 + v5++ - 1);
        --v4;
      }
      while ( v4 );
    }
  }
  __writefsdword(0, v7);
  v9 = loc_442B97;
  return System::__linkproc___LStrClr(&v11);
}
    函数初步分析结果如下,IDA的分析漏掉了最后的验证代码,即iResult – iSerial == 0x7a69 


int __fastcall sub_442AF4(int szName, int iSerial)
{
  int iMagic; // esi@2
  int iResult; // ebx@2
  int iNLen; // eax@2
  int i; // edx@3
  int iSerial; // [sp+8h] [bp-8h]@1
  int szName; // [sp+Ch] [bp-4h]@1

  iSerial = iSerial;
  szName = szName;
  if ( strlen(szName) > 5 )
  {
    iMagic = sub_442A20(*(_BYTE *)(szName + 4) % 7u + 2);
    iResult = 0;
    iNLen = strlen(szName);
    if ( iNLen > 0 )
    {
      i = 1;
      do
      {
        iResult += iMagic * *(_BYTE *)(szName + i++ - 1);
        --iNLen;
      }
      while ( iNLen );
    }
  }
}
    计算iMagic的函数算法如下 

int __fastcall sub_442A20(int a1)
{
  signed __int64 v1; // qax@2

  if ( a1 )
    v1 = a1 * (signed __int64)sub_442A20(a1 - 1);
  else
    LODWORD(v1) = 1;
  return v1;
}
    可以很容易看出,这就是一个递归函数,求的是n*(n-1)*...*1,所以CancellaClick按钮的伪代码以及注册算法如下: 

#include <iostream>
using namespace std;

/*int __usercall TPrincipale_CancellaClick<eax>(int this<eax>, int iSerial<ebx>)
{
  int this; // ebx@1
  int v3; // ST00_4@1
  int v4; // edx@2
  unsigned int v6; // [sp-10h] [bp-14h]@1
  int v9; // [sp-4h] [bp-8h]@1
  char *pszBuf;

  TControl::GetText(*(_DWORD *)(this + 736), &pszBuf);
  v3 = sub_407670(pszBuf);
  TControl::GetText(*(_DWORD *)(this + 732), &pszBuf);
  if (sub_442AF4(pszBuf, v3) )
  {
    sub_4231B0(*(_DWORD *)(this + 720), 0);
    LOBYTE(v4) = 1;
    (*(void (__fastcall **)(_DWORD, int))(**(_DWORD **)(this + 716) + 96))(*(_DWORD *)(this + 716), v4);
  }
  else
  {
    Controls::TControl::SetText(*(_DWORD *)(this + 736), &str_0_1[1]);
  }
}*/

/*int __fastcall sub_442AF4(int szName, int iSerial)
{
  int iMagic; // esi@2
  int iResult; // ebx@2
  int iNLen; // eax@2
  int i; // edx@3
  int iSerial; // [sp+8h] [bp-8h]@1
  int szName; // [sp+Ch] [bp-4h]@1

  iSerial = iSerial;
  szName = szName;
  if ( strlen(szName) > 5 )
  {
    iMagic = sub_442A20(*(_BYTE *)(szName + 4) % 7u + 2);
    iResult = 0;
    iNLen = strlen(szName);
    if ( iNLen > 0 )
    {
      i = 1;
      do
      {
        iResult += iMagic * *(_BYTE *)(szName + i++ - 1);
        --iNLen;
      }
      while ( iNLen );
    }
  }
}*/

int NMul(int n)
{
	return n==1?1:n*NMul(n-1);
}

void main()
{
	char szName[] = "@@@@@@";
	int iSerial;
	int iMagicA = 0x7A69;
	int iMagicB = 0;
	int iTemp = 0;
	iMagicB = NMul(szName[4]%7+2);
	for (int i=0; i<6; i++)
		iTemp += iMagicB*szName[i];
	iSerial = iTemp - iMagicA;
	cout<<"The Serial:"<<iSerial<<endl;
}

    这样可以获到CancellaClick按钮的通关用户名和密码即”@@@@@@”和”-29033”,这个时候OK按钮被激活了,CancellaClick按钮消失了,下面我们来看下OK按钮对应的函数

int __usercall TPrincipale_OkClick<eax>(int a1<eax>, int a2<ebx>)
{
  int v2; // ebx@1
  int v3; // ST00_4@3
  unsigned int v5; // [sp-10h] [bp-14h]@1
  int (*v6)(); // [sp-Ch] [bp-10h]@1
  int (*v7)(); // [sp-8h] [bp-Ch]@1
  int v8; // [sp-4h] [bp-8h]@1
  int v9; // [sp+0h] [bp-4h]@1
  int v10; // [sp+4h] [bp+0h]@1

  v9 = 0;
  v8 = a2;
  v2 = a1;
  v7 = (int (*)())&v10;
  v6 = loc_442DED;
  v5 = __readfsdword(0);
  __writefsdword(0, (unsigned int)&v5);
  if ( *(_BYTE *)(*(_DWORD *)(a1 + 720) + 71) == 1 )
  {
    Controls::TControl::SetText(*(_DWORD *)(a1 + 736), &str_0_0[1]);
  }
  else
  {
    TControl::GetText(*(_DWORD *)(a1 + 736), &v9);
    v3 = sub_407670(v9);
    TControl::GetText(*(_DWORD *)(v2 + 732), &v9);
    if ( (unsigned __int8)sub_442BA0(v9, v3) )
      sub_4231B0(*(_DWORD *)(v2 + 716), 0);
  }
  __writefsdword(0, v5);
  v7 = loc_442DF4;
  return System::__linkproc___LStrClr(&v9);
}

    简单分析结果如下

int __usercall TPrincipale_OkClick<eax>(int this<eax>, int a2<ebx>)
{
  int this; // ebx@1
  int iSerial; // ST00_4@3
  int pszBuf; // [sp+0h] [bp-4h]@1

  if ( *(_BYTE *)(*(_DWORD *)(this + 720) + 71) == 1 )
  {
    Controls::TControl::SetText(*(_DWORD *)(this + 736), &str_0_0[1]);
  }
  else
  {
    TControl::GetText(*(_DWORD *)(this + 736), &pszBuf);
    iSerial = StrToInt(pszBuf);
    TControl::GetText(*(_DWORD *)(this + 732), &pszBuf);
    if ( (unsigned __int8)sub_442BA0(pszBuf, iSerial) )
      sub_4231B0(*(_DWORD *)(this + 716), 0);
  }
}

    我们会发现else这段和前面的CancellaClick的验证逻辑差不多,所以核心就是sub_442BA0这个函数,函数的输入参数为用户名和序列号值

int __usercall sub_442BA0<eax>(int a1<eax>, int a2<edx>, int a3<ebx>, int a4<esi>)
{
  int v4; // esi@1
  int v5; // esi@2
  int v6; // eax@3
  char v7; // zf@4
  unsigned int v9; // [sp-14h] [bp-20h]@1
  int (*v10)(); // [sp-10h] [bp-1Ch]@1
  int (*v11)(); // [sp-Ch] [bp-18h]@1
  int v12; // [sp-8h] [bp-14h]@1
  int v13; // [sp+0h] [bp-Ch]@1
  int v14; // [sp+4h] [bp-8h]@1
  int v15; // [sp+8h] [bp-4h]@1
  int v16; // [sp+Ch] [bp+0h]@1

  v14 = 0;
  v12 = a4;
  v4 = a2;
  v15 = a1;
  System::__linkproc___LStrAddRef(v12, a3, 0);
  v11 = (int (*)())&v16;
  v10 = loc_442C67;
  v9 = __readfsdword(0);
  __writefsdword(0, (unsigned int)&v9);
  Sysutils::IntToStr(v4, &v14);
  System::__linkproc___LStrLAsg(&v13);
  if ( sub_403A34(v14) > 5 )
  {
    v5 = sub_403A34(v14);
    if ( v5 >= 1 )
    {
      do
      {
        v6 = System::UniqueString(&v13);
        *(_BYTE *)(v6 + v5 - 1) = v5 * (signed __int16)(*(_BYTE *)(v14 + v5 - 1) * *(_BYTE *)(v14 + v5 - 1)) % 25 + 65;
        --v5;
      }
      while ( v5 );
    }
    System::__linkproc___LStrCmp(v13, v15);
    if ( v7 )
      System::__linkproc___LStrCmp(v15, v13);
  }
  __writefsdword(0, v9);
  v11 = loc_442C6E;
  return System::__linkproc___LStrArrayClr(&v13, 3);
}

    分析函数,得出伪代码以及注册算法如下

/*int __usercall sub_442BA0<eax>(int a1<eax>, int a2<edx>, int a3<ebx>, int a4<esi>)
{
  int iSerial; // esi@1
  int iSLen; // esi@2
  int pszBuf; // eax@3
  int pszTemp; // [sp+0h] [bp-Ch]@1
  int szSerial; // [sp+4h] [bp-8h]@1
  int pszName; // [sp+8h] [bp-4h]@1

  Sysutils::IntToStr(iSerial, &szSerial);
  if ( strlen(szSerial) > 5 )
  {
    iSLen = strlen(szSerial);
    if ( iSLen >= 1 )
    {
      do
      {
        pszBuf = System::UniqueString(&pszTemp);
        *(_BYTE *)(pszBuf + iSLen - 1) = iSLen * (signed __int16)(*(_BYTE *)(szSerial + iSLen - 1) * *(_BYTE *)(szSerial + iSLen - 1)) % 25 + 65;
        --iSLen;
      }
      while ( iSLen );
    }
    System::__linkproc___LStrCmp(pszTemp, pszName);
  }
}*/

void main()
{
	char szSerial[] = "111111";
	char szName[7] = {'\0'};
	for (int i=5; i>=0; i--)
		szName[i] = (i+1)*szSerial[i]*szSerial[i]%25+65;
	cout<<"The Name:"<<szName<<endl;
}
银翼魔术师
关注
专栏目录
逆向CrackMe合集(6)aLoNg3x.1
m0_46746801的博客
04-11 267
首先打开这个CrackMe界面发现确定按钮被禁用 用DE分析出来他的过程中有 可以看出在用户名变化和序列号变化时都会进行处理,得到对应RVA。 ida使用G快捷键找到位置,设置断点。 这里我遇到一点问题,我通常是使用1111和9999来测试的 但是这个CrackMe在我输入1111后就会跳出去 我单步跟踪跟踪到这个位置发现 然后我就将用例改为123456来测试,这样也好监控第几个字符 这里是第一次看到关于注册码的计算 就是将第一个字符ascii码和第二个字符ASCII码相乘 将前两个字符相乘的结果1 第
160个CrackMe 0x06 aLoNg3x_1
Hvnt3r的博客
04-19 547
0x06 aLoNg3x_1 还是一个Delphi程序,DeDe看一下发现几个比较重要的事件,分别下断分析函数执行逻辑。 在ResoucesHacker中可以看到窗口控件的信息: 在00442E22处看到一个cmp,修改跳转路径之后发现ok按钮可用了: 00442E22 | 8078 47 00 | cmp byte ptr ds:[eax+47],0 ...
[160CrackMe]aLoNg3x.1
m0_46296905的博客
10-29 530
https://www.cnblogs.com/bbdxf/p/3788289.html https://www.52pojie.cn/thread-610580-1-1.html https://blog.csdn.net/SilverMagic/article/details/40895687 https://blog.csdn.net/levones/article/details/89392528 本篇博客采用的测试数据如下: Name:1234567890 Codice:098765432 .
crackme.chm之CKme
11-07 1126
首先使用dede查看有多少用户自定函数
以新手的视角做Crackme006-aLoNg3x.1
weixin_48067850的博客
08-01 126
以新手的视角做Crackme006,也记录一下自己做的时候的思路
crackme.exe
04-06
公开给别人尝试破解的小程序,制作 crackme 的人可能是程序员,想测试一下自己的软件保护技术,也可能是一位 cracker,想挑战一下其它 cracker 的破解实力,也可能是一些正在学习破解的人,自己编一些小程序给自己破...
新160个CrackMe算法分析.chm
最新发布
09-12
我制作的《新160个CrackMe算法分析》视频的配套文件,内含全部课件及评分。
看雪crackme3.exe例子源程序和破解后的程序带破解说明
03-07
看雪crackme3.exe例子的源程序 和 破解以后 crackme3.exe的程序,破解之前点击注册,会显示Wrong Serial,try again,破解后的程序,直接点击注册就注册成功,请用ollydbg查看exe文件,txt文档中写了破解的思路修改2...
160个crackme(6)----aLoNg3x(详细非暴力破解)
abc_670的博客
03-14 696
测试输入nome和codice发现nome最多可以输入10个字符,codice没有限制用PEiD查壳,无壳并且发现是Delphi编写的程序  作者在这里提示说要隐藏OK和cancella按钮,最后就可以看到Ringzer0 logo 这里总结对Delphi下断点的方法:(1)找到Delphi的按钮事件然后下断点OD载入后,CTRL+G,转到00401000处然后就CTRL+B,查找特征码740E8...
160 - 6 aLoNg3x.1
123
02-07 3713
160 - 6 aLoNg3x.1
CrackMe03.exe
05-04
《加密与解密》第一版附带光盘中的 crackmes.cjb.net 镜像打包中的 CFF Crackme #3(已脱壳)
160个crakeme之006aLoNg3x.1题目分析
iqiqiya的博客
04-19 650
0x01:先运行一下看看有什么提示特点发现OK是灰色的 点击Cancella是用来清空注册码框 点击About-Help连着出现四个弹窗这个"CrackMe"的目的是为了让用户隐藏"OK"和"Cancella"按钮,以便于看到Ringzero标志。所以你必须输入正确的注册码。 (人名)诺塔:如果这些按钮没有被看不见,那么你就没有破解这个Crackme:) 如果你需要一些帮助 给我发电子...
160个crakeme之007aLoNg3x.2题目分析
iqiqiya的博客
04-20 456
ps:说好的一天一篇的 加油 打开后看到熟悉的界面 和006差不多 毕竟是一个人开发的点击About-Help还是出现四个同样的对话框意思大致还是让我们想办法隐藏按钮 显示出完整图片 就可以达到破解  0x001:还是先查下壳 Delphi的程序 无壳  0x002:    载入OD 发现一个GREAT! 想着是不是可以不用DeDe查看了那就试试 看看能不能找到核心代...
[160CrackMe]aLoNg3x.2
m0_46296905的博客
10-29 400
还是跟前一个版本的一样,都是要藏按钮。 分析工具: IDR DelphiDecompiler(DeDe) IDA OllyDbg 本篇博客采用的测试数据如下: Name:1234567890 Codice:098765432 老样子,DeDe打开,有个AgainClick,难不成隐藏了按钮? 确实显示这个程序还有一个按钮。 然后IDR辅助分析 RegisterzClick OD中定位,结合IDR给的注释,单步分析,可以看到执行完4429A8之后的返回值决定了是否发生跳转 分析并单步测试可
crackme.chm之figugegl_2b
11-07 752
使用Resource Hacker+IDA定位程序验证逻辑, #include using namespace std; /*void main(HWND hWnd) { UINT iSLen; // ebx@1 int result; // eax@2 UINT iNLen; // esi@3 int i; // edi@5 char szSerial[42]; // [
crackme.chm之Cruehead_1
11-07 1070
使用Resource Hacker+IDA定位程序验证逻辑,不熟悉的可以看我逆向技巧栏目相关文章
160 - 7 aLoNg3x.2
123
02-09 1058
160 - 7 aLoNg3x.2
crackme.chm之figugegl_3
11-07 792
使用Resource Hacker+IDA定位程序验证逻辑,不熟悉的可以看我逆向技巧栏目相关文章
Crackme 31
4ct10n
02-24 5232
没有什么难度,就当练手了。
Brad Soblesky .exe
08-17
引用是关于一个程序的循环和算法的描述,引用是关于错误提示代码的示例,引用是关于修改程序以实现成功界面的步骤。 关于"Brad Soblesky .exe"的问题,没有提供足够的上下文信息,无法确定这是什么。可以提供更多的信息吗?<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [160CrackMe第十九Brad Soblesky.2](https://blog.csdn.net/weixin_30466039/article/details/99816732)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *3* [crackme160 Brad_Soblesky1.exe](https://blog.csdn.net/zxgt5y/article/details/127515172)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值