160 - 25 CodeZero.1

最新推荐文章于 2020-12-09 10:46:10 发布
最新推荐文章于 2020-12-09 10:46:10 发布
阅读量342 收藏
点赞数
分类专栏: 160个CrackMe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goodnameused/article/details/78540227
版权

环境
Windows xp sp3

工具
exeinfope
OllyDBG

查壳
无壳的VB程序

测试
运行程序后出现Nag窗口,所以这次的目标是除Nag窗口和找到serial

程序运行后弹出Nag窗口,并且等待5秒后按钮的标题改成“Continue..”,点击后才会弹出输入serial的窗口。

字符串搜索可以一下子知道serial的内容:

00405721   .  68 A4264000   push CodeZero.004026A4                   ;  UNICODE "55555"
00405726   .  E8 3BBAFFFF   call <jmp.&MSVBVM50.__vbaStrCmp>
0040572B   .  8BF0          mov esi,eax
0040572D   .  8D4D E8       lea ecx,dword ptr ss:[ebp-0x18]
00405730   .  F7DE          neg esi
00405732   .  1BF6          sbb esi,esi
00405734   .  46            inc esi
00405735   .  F7DE          neg esi
00405737   .  E8 18BAFFFF   call <jmp.&MSVBVM50.__vbaFreeStr>
0040573C   .  8D4D E4       lea ecx,dword ptr ss:[ebp-0x1C]
0040573F   .  E8 0ABAFFFF   call <jmp.&MSVBVM50.__vbaFreeObj>
00405744   .  6A 0A         push 0xA
00405746   .  66:3BF3       cmp si,bx
00405749   .  58            pop eax
0040574A   .  B9 04000280   mov ecx,0x80020004
0040574F   .  6A 08         push 0x8
00405751   .  894D AC       mov dword ptr ss:[ebp-0x54],ecx
00405754   .  5E            pop esi
00405755   .  894D BC       mov dword ptr ss:[ebp-0x44],ecx
00405758   .  8945 A4       mov dword ptr ss:[ebp-0x5C],eax
0040575B   .  8945 B4       mov dword ptr ss:[ebp-0x4C],eax
0040575E   .  C745 8C 68264>mov dword ptr ss:[ebp-0x74],CodeZero.004>;  UNICODE "VB Crack-Me 1.0 by CodeZero"
00405765   .  8975 84       mov dword ptr ss:[ebp-0x7C],esi
00405768   .  8D55 84       lea edx,dword ptr ss:[ebp-0x7C]
0040576B   .  8D4D C4       lea ecx,dword ptr ss:[ebp-0x3C]
0040576E   .  74 2A         je XCodeZero.0040579A
00405770   .  E8 CDB9FFFF   call <jmp.&MSVBVM50.__vbaVarDup>
00405775   .  8D55 94       lea edx,dword ptr ss:[ebp-0x6C]
00405778   .  8D4D D4       lea ecx,dword ptr ss:[ebp-0x2C]
0040577B   .  C745 9C B4264>mov dword ptr ss:[ebp-0x64],CodeZero.004>;  UNICODE "Congratulations! you've really made it :-)"
00405782   .  8975 94       mov dword ptr ss:[ebp-0x6C],esi
00405785   .  E8 B8B9FFFF   call <jmp.&MSVBVM50.__vbaVarDup>
0040578A   .  8D45 A4       lea eax,dword ptr ss:[ebp-0x5C]
0040578D   .  50            push eax
0040578E   .  8D45 B4       lea eax,dword ptr ss:[ebp-0x4C]
00405791   .  50            push eax
00405792   .  8D45 C4       lea eax,dword ptr ss:[ebp-0x3C]
00405795   .  50            push eax
00405796   .  6A 40         push 0x40
00405798   .  EB 28         jmp XCodeZero.004057C2
0040579A   >  E8 A3B9FFFF   call <jmp.&MSVBVM50.__vbaVarDup>
0040579F   .  C745 9C 10274>mov dword ptr ss:[ebp-0x64],CodeZero.004>;  UNICODE "Invalid unlock code, please try again."
004057A6   >  8D55 94       lea edx,dword ptr ss:[ebp-0x6C]
004057A9   .  8D4D D4       lea ecx,dword ptr ss:[ebp-0x2C]
004057AC   .  8975 94       mov dword ptr ss:[ebp-0x6C],esi
004057AF   .  E8 8EB9FFFF   call <jmp.&MSVBVM50.__vbaVarDup>

字符串明文比较

剩下来就是去除Nag窗口了:
OD打开程序后让程序运行起来,等显示“continue..”后对.text段下内存访问断点,然后让程序运行,多按几次F9就可以来到这里。

00402330   .  816C24 04 570>sub dword ptr ss:[esp+0x4],0x57
00402338   .  E9 85360000   jmp CodeZero.004059C2       ; 用来显示输入serial窗口
0040233D   .  816C24 04 330>sub dword ptr ss:[esp+0x4],0x33
00402345      E9 7B370000   jmp CodeZero.00405AC5       ; 用来显示Nag窗口的“50040234A   .  816C24 04 3F0>sub dword ptr ss:[esp+0x4],0x3F
00402352      E9 77380000   jmp CodeZero.00405BCE       ; 用来显示Nag窗口的“400402357   .  816C24 04 430>sub dword ptr ss:[esp+0x4],0x43
0040235F      E9 73390000   jmp CodeZero.00405CD7       ; 用来显示Nag窗口的“300402364   .  816C24 04 470>sub dword ptr ss:[esp+0x4],0x47
0040236C      E9 6F3A0000   jmp CodeZero.00405DE0       ; 用来显示Nag窗口的“200402371   .  816C24 04 4B0>sub dword ptr ss:[esp+0x4],0x4B
00402379      E9 6B3B0000   jmp CodeZero.00405EE9       ; 用来显示Nag窗口的“10040237E   .  816C24 04 530>sub dword ptr ss:[esp+0x4],0x53
00402386      E9 673C0000   jmp CodeZero.00405FF2       ; 用来显示Nag窗口的“continue..”

会发现即使在上面的指令里下了断点也无法阻挡Nag窗口的出现,表面Nag窗口的指令比这些还要早就执行了。

观察这些jmp所跳到的地方,发现[004059C2]是最小的,如果跟到[004059C2],会发现这段指令上面还有很多指令。

0040595C  |.  57            push edi
0040595D  |.  50            push eax
0040595E  |.  E8 F7B7FFFF   call <jmp.&MSVBVM50.__vbaHresultCheckObj>
00405963  |>  833D 38704000>cmp dword ptr ds:[0x407038],0x0
0040596A  |.  75 0F         jnz XCodeZero.0040597B
0040596C  |.  68 38704000   push CodeZero.00407038
00405971  |.  68 B01D4000   push CodeZero.00401DB0
00405976  |.  E8 B5B7FFFF   call <jmp.&MSVBVM50.__vbaNew2>
0040597B  |>  8B35 38704000 mov esi,dword ptr ds:[0x407038]
00405981      6A FF         push -0x1
00405983      56            push esi
00405984      8B06          mov eax,dword ptr ds:[esi]
00405986      FF90 BC010000 call dword ptr ds:[eax+0x1BC]          ; 这里是生成Nag窗口的地方
0040598C  |.  85C0          test eax,eax
0040598E  |.  7D 11         jge XCodeZero.004059A1
00405990  |.  68 BC010000   push 0x1BC
00405995  |.  68 C8274000   push CodeZero.004027C8
0040599A  |.  56            push esi
0040599B  |.  50            push eax
0040599C  |.  E8 B9B7FFFF   call <jmp.&MSVBVM50.__vbaHresultCheckObj>
004059A1  |>  8365 FC 00    and [local.1],0x0
004059A5  |.  8B45 08       mov eax,[arg.1]
004059A8  |.  50            push eax
004059A9  |.  8B08          mov ecx,dword ptr ds:[eax]
004059AB  |.  FF51 08       call dword ptr ds:[ecx+0x8]
004059AE  |.  8B4D EC       mov ecx,[local.5]
004059B1  |.  8B45 FC       mov eax,[local.1]
004059B4  |.  5F            pop edi
004059B5  |.  5E            pop esi
004059B6  |.  64:890D 00000>mov dword ptr fs:[0],ecx
004059BD  |.  5B            pop ebx
004059BE  |.  C9            leave
004059BF  \.  C2 0400       retn 0x4
004059C2   >  55            push ebp                   ; 这里往下是生成输入serial窗口的地方
004059C3   .  8BEC          mov ebp,esp

[004059C2]上面的指令具体又是什么时候实现的呢?
可以找到大多数每段指令开始的地方看一看

push ebp

于是找到了这个:

0040583D  /> \55            push ebp

然后就跟到了这里来:

00401D88   .  816C24 04 330>sub dword ptr ss:[esp+0x4],0x33
00401D90   .  E9 5F380000   jmp CodeZero.004055F4    ; 这个是响应点击“Check”
00401D95   .  816C24 04 370>sub dword ptr ss:[esp+0x4],0x37
00401D9D   .  E9 9B3A0000   jmp CodeZero.0040583D    ; 这个是响应点击“About”
00401DA2   .  816C24 04 3F0>sub dword ptr ss:[esp+0x4],0x3F
00401DAA   .  E9 563B0000   jmp CodeZero.00405905    ; 这个是跳到生成Nag窗口的

现在就可以去除Nag窗口了,只需要把:

0040583D  /> \55            push ebp

改为:

00405905      C2 0400       retn 0x4

然后再将:

00402345      E9 7B370000   jmp CodeZero.00405AC5    ; 显示“5”

改为:

00402345     /E9 78360000   jmp CodeZero.004059C2    ; 显示输入serial的窗口

patch后就可以去除Nag窗口了。
而serial则是“55555”

什么名字都被用了
关注
专栏目录
codezero关键数据结构
12-27
u32 arch_syscall1; u32 arch_syscall2; //UTCB 地址 u32 utcb; //内核的简要描述 struct kernel_descriptor kdesc; } ``` User Thread Control Block(UTCB) User Thread Control Block是CodeZero系统中...
[反汇编练习] 160个CrackMe之025
LindaXu1220的博客
07-02 179
[反汇编练习] 160个CrackMe之025. 本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160个CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。 其中,文章中按照如下逻辑编排(解决如下问题): 1、使用什么环境和工具 2、程序分析 3、思路分析和破解流程 4、注册机的探索 -----------------...
去除nag弹窗
pray030的博客
12-09 1008
【一】实验内容及要求 实验名称:去除nag 实验目的 掌握基本的软件破解方法 实验环境 Windows操作系统,OllyDbg,Tut.ReverseMe1.exe,CodeZero.1.exe, blaster99.exe 实验内容 1.破解Tut.ReverseMe1.exe 2.破解CodeZero.1.exe 3.破解blaster99.exe 【二】实验过程及结果 实验内容1 1.破解Tut.ReverseMe1.exe,根据PPT给出实验过程 1.现在先从入口点00401168处往下开始观察一下
VB逆向函数详解2
weixin_30861459的博客
10-11 209
__vbaLbound;函数LboundLEAEAX,DWORDPTRSS:[EBP-2C];参数1,数组PUSHEAXPUSH1;参数2,数组维数CALLDWORDPTRDS:[<&MSVBVM60.__vbaLboun>;MSVBVM60.__vbaLbound;结果在eax中返回;--------------------------------...
codezero code
07-02
the code of codezero
嵌入式虚拟化技术探讨_王健.pdf
04-21
6. 其他相关技术:例如,文章中提及的VLX VirtualLogix、NOVA、OKL4、Codezero等技术,这些是特定于嵌入式系统的虚拟化技术和解决方案,可能涉及操作系统层面的微内核技术、实时操作系统(RTOS)集成以及对移动设备...
嵌入式虚拟化技术研究综述_肖伟民.pdf
04-21
比如IBM的PowerPC架构、HP服务器,以及虚拟机监视器(VMM)、Hypervisor、Linux容器技术(如LXC)、以及OKL4 Microvisor、NOVA、Codezero、Xen ARM、KVM for ARM等。这些技术和工具是虚拟化技术在嵌入式系统中应用的...
laravel-unique-translation:检查JSON列中的转换值在数据库中是否唯一
02-03
composer require codezero/laravel-unique-translation Laravel将自动注册 。 :hammer_and_wrench: 用法 对于以下示例,我将在posts表中使用一个slug作为验证的主题。 :check_box_with_check: 验证单笔翻译 您的...
160 - 6 aLoNg3x.1
123
02-07 3743
160 - 6 aLoNg3x.1
160 - 7 aLoNg3x.2
123
02-09 1067
160 - 7 aLoNg3x.2
160 - 27 Cosh.1
123
11-20 658
160 - 27 Cosh.1
160 - 5 ajj.2
123
02-06 648
160 - 5 ajj.2
160 - 17 bjanes.3
123
10-16 625
160 - 17 bjanes.3
160 - 3 Afkayas.2
123
02-03 535
160 - 3 Afkayas.2
160 - 21 Cabeca
123
11-04 507
环境: Windows xp sp3工具: exeinfope ollydbg查壳: 拿到程序后查壳,发现程序无壳,为Delphi写的。 程序长成这个样 输入: Name:GNUBD Serial:1234567 Serial:7654321尝试看看出现什么错误。OD载入字符串搜索、跟随。0042D3C4 /. 55 push ebp 0042D3C5
160 - 1 Acid burn
123
02-01 491
160 - 1 Acid burn
160 - 23 Chafe.1
123
11-06 475
环境 Windows xp sp3工具 exeinfope ollydbg查壳 用exeinfoe查壳 测试 可以从左下角状态栏看出serial是无效的直接OD载入字符串搜索00401274 |. /75 17 jnz XChafe_1.0040128D 00401276 |. |6A 00 push 0x0
160 - 18 Brad Soblesky.1
123
10-21 431
160 -18 Brad Soblesky.1
160 - 41 defiler.1.exe
123
06-18 428
环境: Windows xp sp3 工具: Ollydbg stud_PE LoadPE 先分析一下。 这次的程序要求更改了,变成了这个: defiler's reversme no.1 ----------------------- The task of this little, lame reverseme is to add some code to it. The...
codezero微内核:KIP与UTCB解析
"codezero的关键数据结构包括KernelInterfacePage (KIP) 和UserThreadControlBlock (UTCB),它们在基于L4微内核的codezero操作系统中扮演着重要角色。KIP是系统信息的只读接口,提供API、系统调用接口和本地线程的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值