CrackMe160 学习笔记 之 049

最新推荐文章于 2020-05-08 10:49:45 发布
最新推荐文章于 2020-05-08 10:49:45 发布
阅读量280 收藏
点赞数
分类专栏: CrackMe160 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guaigle001/article/details/104399709
版权

前言

这个题目虽然简单,做起来给人一种眼前一亮的感觉。

在这里插入图片描述
Mac终端上0和O挺像的,我一开始还输错了没发现。

思路

首先找到判断的位置。

再一步一步往前分析。
在这里插入图片描述
可以看到失败跳转有7处。

分析

00401127   > /6A 00         push    0                                ; /lParam = 0
00401129   . |6A 00         push    0                                ; |wParam = 0
0040112B   . |6A 0E         push    0E                               ; |Message = WM_GETTEXTLENGTH
0040112D   . |6A 03         push    3                                ; |ControlID = 3
0040112F   . |FF75 08       push    dword ptr [ebp+8]                ; |hWnd
00401132   . |E8 41020000   call    <jmp.&USER32.SendDlgItemMessageA>; \SendDlgItemMessageA
00401137   . |A3 AF214000   mov     dword ptr [4021AF], eax          ;  返回长度到0x4021AF
0040113C   . |83F8 00       cmp     eax, 0                           ;  长度和0比较
0040113F   . |0F84 D5000000 je      0040121A
00401145   . |83F8 08       cmp     eax, 8                           ;  长度和8比较
00401148   . |0F8F CC000000 jg      0040121A                         ;  大于则失败
0040114E   . |8BF0          mov     esi, eax                         ;  name长度保存到esi中
00401150   . |6A 00         push    0                                ; /lParam = 0
00401152   . |6A 00         push    0                                ; |wParam = 0
00401154   . |6A 0E         push    0E                               ; |Message = WM_GETTEXTLENGTH
00401156   . |6A 04         push    4                                ; |ControlID = 4
00401158   . |FF75 08       push    dword ptr [ebp+8]                ; |hWnd
0040115B   . |E8 18020000   call    <jmp.&USER32.SendDlgItemMessageA>; \SendDlgItemMessageA
00401160   . |83F8 00       cmp     eax, 0                           ;  长度和0比较
00401163   . |0F84 B1000000 je      0040121A
00401169   . |3BF0          cmp     esi, eax                         ;  name长度和key长度比较
0040116B   . |0F85 A9000000 jnz     0040121A                         ;  不相等则失败
00401171   . |68 60214000   push    00402160                         ; /lParam = 402160
00401176   . |6A 08         push    8                                ; |wParam = 8
00401178   . |6A 0D         push    0D                               ; |Message = WM_GETTEXT
0040117A   . |6A 03         push    3                                ; |ControlID = 3
0040117C   . |FF75 08       push    dword ptr [ebp+8]                ; |hWnd
0040117F   . |E8 F4010000   call    <jmp.&USER32.SendDlgItemMessageA>; \SendDlgItemMessageA
00401184   . |68 79214000   push    00402179                         ; /lParam = 402179
00401189   . |6A 10         push    10                               ; |wParam = 10
0040118B   . |6A 0D         push    0D                               ; |Message = WM_GETTEXT
0040118D   . |6A 04         push    4                                ; |ControlID = 4
0040118F   . |FF75 08       push    dword ptr [ebp+8]                ; |hWnd
00401192   . |E8 E1010000   call    <jmp.&USER32.SendDlgItemMessageA>; \SendDlgItemMessageA
00401197   . |B9 FFFFFFFF   mov     ecx, -1                          ;  ecx = -1
0040119C   > |41            inc     ecx                              ;  ecx = 0
0040119D   . |0FBE81 602140>movsx   eax, byte ptr [ecx+402160]       ;  取name首地址
004011A4   . |83F8 00       cmp     eax, 0                           ;  Switch (cases 0..7A)
004011A7   . |74 32         je      short 004011DB                   ;  循环出口
004011A9   . |BE FFFFFFFF   mov     esi, -1                          ;  esi = -1
004011AE   . |83F8 41       cmp     eax, 41
004011B1   . |7C 67         jl      short 0040121A                   ;  小于'A'则失败
004011B3   . |83F8 7A       cmp     eax, 7A
004011B6   . |77 62         ja      short 0040121A                   ;  大于'z'则失败
004011B8   . |83F8 5A       cmp     eax, 5A
004011BB   . |7C 03         jl      short 004011C0
004011BD   . |83E8 20       sub     eax, 20                          ;  大于0x5A转大写,但有些不是字母啊; Cases 5A ('Z'),5B ('['),5C ('\'),5D (']'),5E ('^'),5F ('_'),60 ('`'),61 ('a'),62 ('b'),63 ('c'),64 ('d'),65 ('e'),66 ('f'),67 ('g'),68 ('h'),69 ('i'),6A ('j'),6B ('k'),6C ('l'),6D ('m')... of switch 004011A4
004011C0   > |46            inc     esi                              ;  指向下一个字符; Cases 41 ('A'),42 ('B'),43 ('C'),44 ('D'),45 ('E'),46 ('F'),47 ('G'),48 ('H'),49 ('I'),4A ('J'),4B ('K'),4C ('L'),4D ('M'),4E ('N'),4F ('O'),50 ('P'),51 ('Q'),52 ('R'),53 ('S'),54 ('T')... of switch 004011A4
004011C1   . |0FBE96 172040>movsx   edx, byte ptr [esi+402017]       ;  edx取固定字符串的字符
004011C8   . |3BC2          cmp     eax, edx                         ;  找到偏移量
004011CA   .^|75 F4         jnz     short 004011C0
004011CC   . |0FBE86 3C2040>movsx   eax, byte ptr [esi+40203C]       ;  根据偏移量得到新字符
004011D3   . |8981 94214000 mov     dword ptr [ecx+402194], eax      ;  保存新字符
004011D9   .^|EB C1         jmp     short 0040119C
004011DB   > |FF35 AF214000 push    dword ptr [4021AF]               ;  Case 0 of switch 004011A4
004011E1   . |68 94214000   push    00402194
004011E6   . |68 79214000   push    00402179
004011EB   . |E8 54000000   call    00401244                         ;  字符串比较
004011F0   . |83F8 01       cmp     eax, 1
004011F3   .^|0F84 DEFEFFFF je      004010D7                         ;  关键跳

call 00401244

00401244  /$  C8 000000     enter   0, 0                             ;  压栈,通常和leave指令一起用
00401248  |.  B8 01000000   mov     eax, 1                           ;  eax = 1
0040124D  |.  8B7D 08       mov     edi, dword ptr [ebp+8]           ;  输入的KEY
00401250  |.  8B75 0C       mov     esi, dword ptr [ebp+C]           ;  生成的KEY
00401253  |.  8B4D 10       mov     ecx, dword ptr [ebp+10]          ;  比较次数
00401256  |.  F3:A6         repe    cmps byte ptr es:[edi], byte ptr>;  循环逐个比较
00401258  |.  67:E3 05      jcxz    short 00401260                   ;  ecx为0则跳转
0040125B  |.  B8 00000000   mov     eax, 0
00401260  |>  C9            leave
00401261  \.  C2 0C00       retn    0C

注册机代码

/*
  00402017  41 31 4C 53 4B 32 44 4A 46 34 48 47 50 33 51 57  A1LSK2DJF4HGP3QW
  00402027  4F 35 45 49 52 36 55 54 59 5A 38 4D 58 4E 37 43  O5EIR6UTYZ8MXN7C
  00402037  42 56 39                                         BV9

  0040203C  53 55 37 43 53 4A 4B 46 30 39 4E 43 53 44 4F 39  SU7CSJKF09NCSDO9
  0040204C  53 44 46 30 39 53 44 52 4C 56 4B 37 38 30 39 53  SDF09SDRLVK7809S
  0040205C  34 4E 46                                         4NF
*/

char* s="A1LSK2DJF4HGP3QWO5EIR6UTYZ8MXN7CBV9";
char* t="SU7CSJKF09NCSDO9SDF09SDRLVK7809S4NF";
#include<stdio.h>
int main()
{
  char* name;
  int len=0,len_s=0;
  len_s=strlen(s);
  scanf("%[^\n]",name);
  if((len=strlen(name))>8)
    return 0;

  for(int i=0;i<len;i++)
    {
      if(name[i]>=0x41 && name[i]<=0x7A)
        {
          if(name[i]>=0x5A)
            name[i]-=0x20;
        }else
        return 0;
    }
  printf("key:");
  for(int i=0;i<len;i++)
    for(int j=0;j<len_s;j++)
      {
        if(name[i]==s[j])
          {
            printf("%c",t[j]);
          }
      }
  return 0;
}
一剑名动江湖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一个CrackMe核心代码的不完整分析
倒计时
12-04 885
第一次对反汇编代码做深入阅读,学到了很多东西,但还没成系统。 00401BD0 /$ 55 push ebp 00401BD1 |. 8BEC mov ebp, esp 00401BD3 |. 81EC 14040000 sub esp, 414 00401BD9 |. 56 push es
Win-MASM64汇编语言-MOV/MOVSB/MOVSW/MOVSD/REP/REPZ/REPE/REPNZ/REPNE
文天大人
12-02 2862
怀念二抱三抱
CrackMe160 学习笔记 之 023
02-09 264
前言 这个程序需要我们写出注册机。 思路 没有注册按钮。说明是由定时器来判断输入的。 查看API。 找到获取name输入和获取key输入的函数。 在验证函数可以看到如下语句。 004012AE |> \A2 67314000 mov byte ptr [403167], al ; [403167] = al 004012B3 |. 83F8 10 ...
CrackMe160 学习笔记 之 048
02-19 220
前言 这个题目挺新颖的。 本身不难,但是注册机写的有点心累。 思路 直接从搜索字符串找到点击事件,开始分析。 有个地址保存着所有按钮的ID。 点击不同的按钮会产生不同的值,复杂度取决于概率问题。 值得注意的一点是,作者还混淆了按钮的顺序,怪不得说让我们用资源查看器看。 分析 CHECK 按钮点击事件 00401117 > /33F6 xor esi, e...
CrackMe160 学习笔记 之 007
01-28 293
前言 这个程序是006的升级版,同样是需要我们消除按钮,显现处被按钮遮住的部分。 攻破后的程序如图。 思路 首先尝试输入,根据跳出的弹窗搜索字符串可以找到验证函数的位置。发现有两处。 这两处分别是两个验证函数的位置。 而且不同的输入跳出的弹窗是不一样的。 先说一下结论吧。 1.输入codice值大于0x7FFFFFF8或者是不是数字时,弹窗内容:"You MUST insert a vali...
CrackMe160 学习笔记 之 033
02-13 197
前言 简单题,分分钟做出来的那种。 又可以开始水博客了。 思路 整个指令很短,很容易找到验证函数。 指令也都很简单很容易就分析出来了。 分析 点击事件 00401228 . 68 8E214000 push 0040218E ; 压入name地址 0040122D . E8 4C010000 call 00401...
CrackMe160 学习笔记 之 015
02-04 133
前言 这个程序需要去弹窗和写出正确的注册码。 思路 去弹窗 搜索字符串来到弹窗调用函数处。 00402CFE E8 1DE4FFFF call <jmp.&MSVBVM50.#595> nop掉。 由于要点了确定才会跳出接下来的程序,把跳转 00402D53 /75 05 jnz short 00402D5A 改为强制跳...
CrackMe160 学习笔记 之 003
01-23 293
CrackMe160 学习笔记 之 002 前言 打开程序,是一个很简单的界面。看来是要我们根据用户名写出对应的序列号。 如图。 分析 输入任意字符,搜索字符串"You get Wrong" “Try Again”,找到判断关键跳转的地方。 00402579 . 66:85F6 test si, si 0040258B . 74 58 je ...
CrackMe160 学习笔记 之 061
05-08 191
前言 这个题目太依赖日期格式了,只有yy/mm/dd格式的短日期才能通过验证。 分析 判断输入 00402FD0 . E8 0DE3FFFF call <jmp.&MSVBVM60.__vbaStrCmp> ; 判断输入不为空 00402FD5 . 8BF0 mov esi, eax 00402FD7 . F7D...
安卓逆向学习笔记(2)
02-28
这篇笔记主要关注的是安卓应用的逆向工程,这是安全分析、漏洞发现以及恶意软件研究等领域的重要技能。逆向工程可以帮助我们理解应用程序的工作原理,查找潜在的安全问题,或者对现有代码进行修改。 首先,让我们...
《逆向工程核心原理》学习笔记3 破解abex' crackme #2
EloflyS的博客
02-15 711
《逆向工程核心原理》学习笔记3 破解abex’ crackme #2 这个crackme比前面一个要难得多,因为涉及到VB的函数,加密 而且代码长度也长的多 首先我们打开这个.exe,出现这样的界面 于是我们随便输入一个字符串在Name栏随便输入一个字符串,REVER 然后Serial也填REVER 点击Check发现显示 所以说明我们输入的这个字符串不对 为了解其中的原因 我们将这个.exe放入...
逆向工程核心原理学习笔记(二十七):abex'crackme #2 破解算法
killcoco的小窝
05-25 2012
这次我们来看一下这个程序是如何加密的,我们重新开始我们的调试 然后我们在win7中调试的时候利用查找所有参考字符串并没有我们之前的信息框字符串信息: 我们这一次使用中文搜索引擎-智能搜索: 双击倒数第二个,然后我们知道这是一个信息框的提示信息,所以这应该处于一个按钮的处理函
逆向学习笔记(二)
Life_hes_az的博客
11-21 925
这一篇文章主要是对程序中的循环结构做一个讲解,这三大基础的循环在逆向分析中十分重要,另外还有三个程序包括其源代码、汇编代码及其逆向过程做一个分析 补充一些指令及基础知识 imul src 带符号乘 idiv src 带符号除 mul src div src dec dest 自减 inc dest 自加 int 中断指令 两常数相加是,编译器在编译期间就计算出了两
CrackMe160 学习笔记 之 052
02-26 631
前言 这个题目做了我好几天,难度不用我说了吧。 话不多说,先放图。 输入为空 输入小于4个字符 输入大于4个字符 思路 作者没有给我们查找字符串的机会,不过可以找到这个。 很明显就是最后判断的信息。 接着全局查找这条指令,来到点击事件的入口处。 push 0041B208 首先关注的当然是比较的指令了。 00401EB7 8B5404 1C mov ed...
CrackMe160 学习笔记 之 017
02-07 616
前言 先附上一致破解后的图。 做这个CrackMe还是花了我不少时间的。 确实难度上比其他几个有所上升。 算法本身并不难,主要是字符串并没有明文比较,以及不断套娃。 虽然这个套娃并没做什么复杂的操作,调试起来也挺心累的。 思路 首先调试程序的程序就会发现有个SMART CHECK的弹窗阻碍调试,绕过即可,下面会给绕过方法。 观察验证函数 00404E27 . FF15 6C104000 ...
CrackMe160 学习笔记 之 053
02-29 496
前言 这个题目花了两天还没做出来,其中写注册机的时候涉及了矩阵的运算。 这一块不是很熟,算来算去始终算不对,我裂开了。 ] 感觉在这一块花太多的时间没有意义。 现在先存个档,以后等我研究透了线性代数再来解决注册机的问题吧。 思路 首先搜索字符串。发现作者依旧把字符串藏起来了。 不过仍然有办法,打开16进制文本编辑器。搜索失败字符串的位置。 计算得到在内存里偏移的位置,下内存断点。(或者push ...
CrackMe160 学习笔记 之 026
02-11 488
前言 一开始我是这样想的,这种难度不高指令又特别多的程序,而且还是VB,调试起来真的浪费时间。 调着调着发现没有这么简单。 这个程序竟然有反调试的功能,会修改最终生成的KEY! 竟然在这里栽了个跟斗。 而且为了调试这个程序,虚拟机不知死机了多少次。 不过索性还是做出来了。 思路 整个程序并不难,就是计算并拼接字符串。 重点在于它的反调试功能。 下面是输入“test_”时,生成的KEY。 真...
CrackMe160 学习笔记 之 024
02-10 453
前言 这个程序和023是一个作者。 说实话,这个作者是真的牛逼,能用汇编写出这样的程序。 每次调他写的程序就很头疼。 然而我还是差不多只花了一天就写出了注册机。 思路 这个程序没有明显的字符串,搜索字符串在这里不管用了。 那么从API入手。 和上个程序一样,找到获取name和获取key的函数。 因为是重复同样的步骤,我这里就不啰嗦了。 找到关键跳转。 虽然我这里写了注释,但是一开始可能并不那么容...
crackme160的解题步骤
最新发布
03-30
对于一个CrackMe来说,解题的步骤会因题目难度和设计而有所不同。下面是一般情况下的解题步骤: 1. 分析题目和二进制文件:首先,需要了解题目的背景和目的,以及二进制文件的类型和结构。可以使用反汇编器、调试器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值