OllyDbg 使用笔记 (三)
参考
书:《加密与解密》
视频:小甲鱼 解密系列 视频
reverseME.exe 下载地址:http://pan.baidu.com/s/1c0fBgi8
reverseMe.exe 破解
这个reverseMe会读取密钥文件来注册。
加载,观察注解,我们可以发现几个关键的地方
0040105C . 6A 00 push 0 ; /hTemplateFile = NULL
0040105E . 68 6F214000 push 0040216F ; |Attributes = READONLY|HIDDEN|SYSTEM|ARCHIVE|TEMPORARY|402048
00401063 . 6A 03 push 3 ; |Mode = OPEN_EXISTING
00401065 . 6A 00 push 0 ; |pSecurity = NULL
00401067 . 6A 03 push 3 ; |ShareMode = FILE_SHARE_READ|FILE_SHARE_WRITE
00401069 . 68 000000C0 push C0000000 ; |Access = GENERIC_READ|GENERIC_WRITE
0040106E . 68 79204000 push 00402079 ; |FileName = "Keyfile.dat"
00401073 . E8 0B020000 call <jmp.&KERNEL32.CreateFileA> ; \CreateFileA
00401078 . 83F8 FF cmp eax, -1
0040107B 75 1D jnz short 0040109A
0040107D . 6A 00 push 0 ; |/Style = MB_OK|MB_APPLMODAL
0040107F . 68 00204000 push 00402000 ; ||Title = " Key File ReverseMe"
00401084 . 68 17204000 push 00402017 ; ||Text = "Evaluation period out of date. Purchase new license"
00401089 . 6A 00 push 0 ; ||hOwner = NULL
0040108B . E8 D7020000 call <jmp.&USER32.MessageBoxA> ; |\MessageBoxA
00401090 . E8 24020000 call <jmp.&KERNEL32.ExitProcess> ; \ExitProcess
00401095 . E9 83010000 jmp 0040121D
0040109A > 6A 00 push 0 ; /pOverlapped = NULL
0040109C . 68 73214000 push 00402173 ; |pBytesRead = reverseM.00402173
004010A1 . 6A 46 push 46 ; |BytesToRead = 46 (70.)
004010A3 . 68 1A214000 push 0040211A ; |Buffer = reverseM.0040211A
004010A8 . 50 push eax ; |hFile
004010A9 . E8 2F020000 call <jmp.&KERNEL32.ReadFile> ; \ReadFile
004010AE . 85C0 test eax, eax
004010B0 . 75 02 jnz short 004010B4
004010B2 . EB 43 jmp short 004010F7
004010B4 > 33DB xor ebx, ebx
004010B6 . 33F6 xor esi, esi
004010B8 . 833D 73214000>cmp dword ptr [402173], 10
004010BF . 7C 36 jl short 004010F7
004010C1 > 8A83 1A214000 mov al, byte ptr [ebx+40211A]
004010C7 . 3C 00 cmp al, 0
004010C9 . 74 08 je short 004010D3
004010CB . 3C 47 cmp al, 47
004010CD . 75 01 jnz short 004010D0
004010CF . 46 inc esi
004010D0 > 43 inc ebx
004010D1 .^ EB EE jmp short 004010C1
004010D3 > 83FE 08 cmp esi, 8
004010D6 . 7C 1F jl short 004010F7
004010D8 . E9 28010000 jmp 00401205
004010F5 . /EB 00 jmp short 004010F7
004010F7 > \6A 00 push 0 ; |/Style = MB_OK|MB_APPLMODAL
004010F9 . 68 00204000 push 00402000 ; ||Title = " Key File ReverseMe"
004010FE . 68 86204000 push 00402086 ; ||Text = "Keyfile is not valid. Sorry."
00401103 . 6A 00 push 0 ; ||hOwner = NULL
00401105 . E8 5D020000 call <jmp.&USER32.MessageBoxA> ; |\MessageBoxA
0040110A . E8 AA010000 call <jmp.&KERNEL32.ExitProcess> ; \ExitProcess
0040110F . E9 09010000 jmp 0040121D
00401205 > \6A 00 push 0 ; |/Style = MB_OK|MB_APPLMODAL
00401207 . 68 00204000 push 00402000 ; ||Title = " Key File ReverseMe"
0040120C . 68 DE204000 push 004020DE ; ||Text = "You really did it! Congratz !!!"
00401211 . 6A 00 push 0 ; ||hOwner = NULL
00401213 . E8 4F010000 call <jmp.&USER32.MessageBoxA> ; |\MessageBoxA
00401218 . E8 9C000000 call <jmp.&KERNEL32.ExitProcess> ; \ExitProcess
0040121D > C3 retn
我们可以由 0040106E 得出 密钥文件是Keyfile.dat
如果没有发现Keyfile.dat ,函数返回eax=-1,0040107b 的 jnz 就不会跳转,接着执行。
如果Keyfile.dat存在,就会跳转到0040109A处。
0040109A~004010A9 是读取文件函数不用管,如果读取出错就会跳到004010F7。
004010B2~004010D8 就是计算Keyfile.dat对不对。
我们可以知道,最终目的是为了要程序跳转到00401205处,可以发现,就是要使004010D8 运行
运行尝试修改004010B2~004010D8 中的跳转,时jmp 00401205 运行。
暴力破解
通过上面的分析,
我们先把0040107B 的 jnz short 0040109A改成 jmp short004010D8即可。
分析密钥
看004010B4~004010D8的代码
先比较密钥长度是不是大于10,如果大于10接着运行。
发现004010C1~004010D1这是一个循环,在一个一个的比较密钥文件的字符是不是 ASCII 47,用esi记录循环的次数直到读取到ASCII 0 为止。
循环结束,判断esi是否大于8,大于则jmp 00401205。
所以我们新建Keyfile.dat,用记事本写如 GGGGGGGGGGGGGGGG0 即可。
扫一扫
4807
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
