逆向工程学习笔记#3——分析Abex' Crackme#1

最新推荐文章于 2020-11-27 21:43:33 发布
最新推荐文章于 2020-11-27 21:43:33 发布
阅读量967 收藏
点赞数
分类专栏: 逆向工程 文章标签: 逆向工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Tahir_111/article/details/80227896
版权
  1. Abex’Crackme
    Abex’Crackme是一个著名的小程序,帮助初学逆向技术的小白,作为练习用的题目。下载地址:https://pan.lanzou.com/1094038

  1. 破解Abex’Crackme#1

    破解之前先运行程序,了解程序的大致过程,双击程序弹出消息窗口,如图1。
    图1
    顺着程序的思路,点击确定按钮。之后弹出消息对话框,如图2。
    图2
    运行OllyDbg软件,载入Abex’Crackme#1程序,就可以看到程序的汇编代码了,如图3。
    图3
    因为这个程序是用汇编语言写的,代码比较简洁,可以直接看到mian函数。
    接下来分析代码段,如图4、5。发现程序调用了Win32 API中的GetDriveType(),此方法是获取C驱动器的类型(一般返回为HDD类型)。
    图4
    图5
    如果识别为CD-ROM类型,消息窗口中就会输出“OK,I really think that you HD is a CD-ROM!:P”。

00401000 >push 0x0                                 ; /Style = MB_OK|MB_APPLMODAL
00401002  push abexcm1.00402000                    ; |Title = "abex' 1st crackme"
00401007  push abexcm1.00402012                    ; |Text = "Make me think your HD is a CD-Rom."
0040100C  push 0x0                                 ; |hOwner = NULL
0040100E  call <jmp.&USER32.MessageBoxA>           ; \MessageBoxA
00401013  push abexcm1.00402094                    ; /RootPathName = "c:\"
00401018  call <jmp.&KERNEL32.GetDriveTypeA>       ; \GetDriveTypeA
0040101D  inc esi                                  ;  esi=0
0040101E  dec eax                                  ;  eax=2
0040101F  jmp short abexcm1.00401021
00401021  inc esi                                  ;  esi=1
00401022  inc esi                                  ;  esi=2
00401023  dec eax                                  ;  eax=1
00401024 >cmp eax,esi                              ;  比较eax(1)和esi(2)
**00401026  je short abexcm1.0040103D**                ;  JE 条件分支命令
                                                   ;  若两值相等,则跳转到40103D
                                                   ;  若两值不等,则从401028继续执行
                                                   ;  40103D 为消息框输出代码地址
00401028  push 0x0                                 ; /Style = MB_OK|MB_APPLMODAL
0040102A  push abexcm1.00402035                    ; |Title = "Error"
0040102F  push abexcm1.0040203B                    ; |Text = "Nah... This is not a CD-ROM Drive!"
00401034  push 0x0                                 ; |hOwner = NULL
00401036  call <jmp.&USER32.MessageBoxA>           ; \MessageBoxA
0040103B  jmp short abexcm1.00401050
**0040103D  push 0x0**                                 ; |/Style = MB_OK|MB_APPLMODAL
0040103F  push abexcm1.0040205E                    ; ||Title = "YEAH!"
00401044  push abexcm1.00402064                    ; ||Text = "Ok, I really think that your HD is a CD-ROM! :p"
00401049  push 0x0                                 ; ||hOwner = NULL
0040104B  call <jmp.&USER32.MessageBoxA>           ; |\MessageBoxA
00401050  call <jmp.&KERNEL32.ExitProcess>         ; \ExitProcess
00401055  jmp dword ptr ds:[<&KERNEL32.GetDriveTyp>;  kernel32.GetDriveTypeA
0040105B  jmp dword ptr ds:[<&KERNEL32.ExitProcess>;  kernel32.ExitProcess
00401061  jmp dword ptr ds:[<&USER32.MessageBoxA>] ;  user32.MessageBoxA

读这段汇编代码后理解,将401026地址的汇编指令JE SHORT 0040103D 更改为 JMP 0040103D,如图6。
图6
也就是说将条件分支语句JE改为无条件跳转语句JMP,就可以破解。
破解完运行结果为,如图7、8。
图7
图8
完成!第一个逆向工程分析程序。

逆向小白的成长记录,学习于李承远著的《逆向工程核心原理》

Tahir_111
关注
专栏目录
分析abex' creakme #1
wk19951125的博客
02-06 329
分析abex' creakme #1abex' crackme #1Crack过程调试代码分析破解参数入栈参考文献 abexcrackme #1 abexcrackme程序是由汇编语言直接编写,程序的运行效果如下: 点击确定后: Crack过程 调试 通过OD加载程序,可以发现程序很短,逻辑也很清晰,就是做了一个简单的判断然后根据判断的结果进行不同的跳转。 代码分析 破解 直接让函...
逆向工程核心原理】第八章笔记——abexcrackme #2原理分析及如何计算序列号
最新发布
wuwuhe99的博客
04-14 447
F9:断点之间的运行,F8:逐步调试0040123D:入口点的指令733735A4属于WindowsAPI函数的代码触发事件找到对应的用户代码用字符串检索法找到对应错误语句,设置断点运行程序LEA : LoadEffectiveAddress载入有效地址,把后面值的地址传到前面。猜测可能比较EDX,EAX。在00403321,右边框中EAX可跟踪dump。Dump-右击-long命令:显示数据为32位地址和十六进制的数值,并尝试将十六进制的数值当作地址进行解析可变长字符串。
逆向工程核心原理学习笔记(十二):分析abex' crackme #1
killcoco的小窝
04-28 1066
程序下载地址:http://t.cn/RX1wpX7 我们首先运行一下,看看提示什么: 我们初步推测,这个程序应该是判断磁盘是否运行在一个CD-ROM上。 为了验证我们的推测,我们拖进OD看一下。 我们现在可以划重点了: 这个重要的跳转是信息框提示什么内容的关键。 我
分析abex'crackme#1
weixin_30876945的博客
08-08 313
测试文件下载:https://www.wocloud.com.cn/webclient/share/sindex.action?id=i9K_Br6TgE7Kf_YTF04yHmKcRy5TUdZ8U6_uiWwxDovNjPaT6IJAgRhtvqTOsW3w 打开文件之后,整个程序可以分为5个部分 第一部分是我们打开初始显示的字符串,第四部分是我们确认之后的...
逆向分析abex'crackme#1
Mi1k7ea
05-20 1566
abexcm1-voiees.exe程序是crackme的第一道最简单的逆向练习题。运行程序查看:弹框显示需要让程序觉得你的HD是一个CD-Rom。然后点击确定:显示错误,说不是CD-ROM。再按确定即退出程序。至此可以明确,需要逆向修改文件的逻辑以绕过检测CD-ROM的判断。使用OllyDbg打开该可执行文件:可以直观地看到EP代码十分简短,main()函数直接出现在EP中,因为其是由汇编语言直...
分析abex-crackme#1
baochi8399的博客
04-08 255
1、分析环境2、运行程序,了解大致的运行过程3、运行Ollydbg调试程序3.1、分析结果简述4、破解4.1、方法一4.2、方法二5、运行结果6、与书中不同之处 1、分析环境 操作系统:Win10 1809 x64 调试工具:Ollydbg 2、运行程序,了解大致的运行过程 3、运行Ollydbg调试程序 由于该程序...
abex' crackme#1 破解练习
03-29
逆向工程核心原理》中第6章的供破解的程序
新手逆向(4)——abex'crackme#2的调试
ZZW的博客
06-16 364
运行abexcrackme#2 运行后可以看到要求输入name和serial,首先尝试不输入任何东西,直接check, 可以看到它会提示要求输入至少四个字符的name;那么我们就接着输入name而不输入serial得到一个提示;接着输入合理的name和serial也得到一个提示;可以发现这两次的提示是一样的Nope,this serial is wrong。由此可以推测,serial是由name...
逆向工程核心原理》学习笔记3 破解abex' crackme #2
EloflyS的博客
02-15 736
逆向工程核心原理》学习笔记3 破解abexcrackme #2 这个crackme比前面一个要难得多,因为涉及到VB的函数,加密 而且代码长度也长的多 首先我们打开这个.exe,出现这样的界面 于是我们随便输入一个字符串在Name栏随便输入一个字符串,REVER 然后Serial也填REVER 点击Check发现显示 所以说明我们输入的这个字符串不对 为了解其中的原因 我们将这个.exe放入...
逆向分析abex'crackme #2
Mi1k7ea
06-02 2706
这里接着逆向分析abex' crackme #2。 运行程序,要求填入Name和Serial: 随意填写后点击Check:   可以看到,显示这个序列号错误。 由此可知,该程序是通过获取用户输入的Name字符串,再通过加密的方式加密Name字符生成相应的Serial值。这里可以明确一下目标,即逆向分析该加密算法具体是如何实现的。   OllyDbg打开该exe文件:  ...
学习破解软件abexcm1
08-22
软件:abexcm1 方法;静态破解 工具:w32dasm10 这是一个检查你的当前盘是不是cd-rom的练习,哈哈,学会了以后玩某些d版游戏,就可以把它变成硬盘版的了!
crackme.exe
04-06
公开给别人尝试破解的小程序,制作 crackme 的人可能是程序员,想测试一下自己的软件保护技术,也可能是一位 cracker,想挑战一下其它 cracker 的破解实力,也可能是一些正在学习破解的人,自己编一些小程序给自己破。
crackme集合[1/2]
08-17
crackme集合[1/2] 本crackme集合分了10个等级。由linholer[PYG]整理制作
Crack Me,自己破解用
12-17
大神写的Crack Me,直接进OD调试,F7,本工具为新手学习Ollydbg使用
逆向工程核心原理》学习笔记 破解abex' crackme #1
EloflyS的博客
02-12 725
逆向工程核心原理》学习笔记2 破解abexcrackme #1 这是一个作为初学者的我都觉得过于简单的crackme,所以简单地介绍一下解法。 首先先打开这个.exe,我们会发现这样的一个窗口 点击确定 ...
逆向工程核心原理:abex's crackme#1 0x02 190603
爱党人士
06-03 538
中间介绍的寄存器,栈什么的都是汇编基础, 注意16位和32位的区别即可。 abex’s crackme 是一个著名的简单小程序。 初学者也会容易理解。 下载见上几遍的云盘链接的文件。 首先打开,看看是什么类型的, 继续点, ok,大概知道这是判断你的电脑c驱动器类型,然后返回正确或者error, right,拉进od, main函数直接位于ep,用汇编语言编写的程序实锤了。 果然, 那么直接...
逆向工程核心原理》第6章——分析abexcrackme#1
diamond_biu的博客
11-27 559
分析abexcrackme#1 点击abexcrackme#1程序,运行结果如下: 点击确定 开始调试 使用OllyDbg载入程序,可以看到程序的汇编代码。 该程序的EP代码很短,因为它使用汇编语言编写的可执行文件。main()函数直接出现在EP中,简洁直观。 分析代码 调用MessageBoxA()函数 调用GetDriveType()函数;获取C驱动器类型,这里返回值EAX=3 ESI+1;EAX-1;ESI+1;ESI+1;EAX-1; 比较EAX与ESI,相等则跳转40103D,不等.
逆向工程核心原理学习笔记(十三):分析abex' crackme #1 的延伸:将参数压入栈
killcoco的小窝
05-06 379
还是上一次的abex' crackme #1,我们用OD附加看一下。 我们发现在调用这个MessageBox函数的时候,用了4个PUSH指令,我们在后面的注释中可以清楚的看到压入参数的内容。 如果我们将它还原成C语言的形式,是这样的: 我们可以清楚的看到汇编代码中压入参数的顺序和我们写代码时候的顺序恰恰是相反的。 这是因为栈内
逆向工程核心原理笔记(五)——分析abex crackme-1
a1351937368的博客
05-14 734
逆向工程核心原理笔记(五)——分析abexcrackme#1 下面我们将分析一个很简单的crackme小程序,从而进一步熟悉调试器和汇编代码,当然我们的目标不是进行crack(破解)而是加深汇编打吗和调试技术的认识。 Abexcrackme是一个著名的小程序,这是一个公开用作破解练习的小程序。 首先我们先运行abexcrackme#1这个程序: 显示一个消息窗口,显示"Make me think your HD is a CD-Rom"消息。我们此时并不知道程序在这里是在干什么。于是我们点击确
Abex Document Converter Pro:全能文档格式转换工具
资源摘要信息:"Abex.Document.Converter.Pro.4.3.0.rar" Abex Document Converter Pro是一款专业的文档转换软件,能够实现高质量的PDF文档转换,包括转换成HTML、Text、Image、Word、Excel、PowerPoint等多种格式。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值