CrackMe160 学习笔记 之 051

最新推荐文章于 2020-05-08 10:49:45 发布
最新推荐文章于 2020-05-08 10:49:45 发布
阅读量172 收藏
点赞数
分类专栏: CrackMe160 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guaigle001/article/details/104445119
版权

前言

题目倒是不难。

在这里插入图片描述

注册机花了点时间。

你可能不信,为了写这几行破代码,花了我一个下午。

思路

直接搜字符串即可。

分析

点击事件

004011ED  |.  6A 09         push    9                                ; /Count = 9
004011EF  |.  68 21214000   push    00402121                         ; |Buffer = DueList_.00402121
004011F4  |.  6A 69         push    69                               ; |ControlID = 69 (105.)
004011F6  |.  FF75 08       push    dword ptr [ebp+8]                ; |hWnd
004011F9  |.  E8 A0020000   call    <jmp.&USER32.GetDlgItemTextA>    ; \GetDlgItemTextA
004011FE  |.  83F8 08       cmp     eax, 8                           ;  判断返回的长度是否为8
00401201  |.  74 24         je      short 00401227                   ;  不成立则失败,跳转
00401203  |.  68 FE204000   push    004020FE                         ; /Text = "Duelist's Crackme #6 - 100%"
00401208  |.  FF75 08       push    dword ptr [ebp+8]                ; |hWnd
0040120B  |.  E8 C4020000   call    <jmp.&USER32.SetWindowTextA>     ; \SetWindowTextA
00401210  |.  6A 00         push    0                                ; /Style = MB_OK|MB_APPLMODAL
00401212  |.  68 9C204000   push    0040209C                         ; |Title = "Duelist's Crackme #6"
00401217  |.  68 19204000   push    00402019                         ; |Text = "The activation code you entered is incorrect!"
0040121C  |.  6A 00         push    0                                ; |hOwner = NULL
0040121E  |.  E8 87020000   call    <jmp.&USER32.MessageBoxA>        ; \MessageBoxA
00401223  |.  C9            leave
00401224  |.  C2 1000       retn    10
00401227  |>  FF75 08       push    dword ptr [ebp+8]
0040122A  |.  E8 1CFEFFFF   call    0040104B                         ;  验证函数
0040122F  |.  83F8 01       cmp     eax, 1                           ;  eax和1比较,不相等则失败
00401232  |.  75 18         jnz     short 0040124C                   ;  关键跳

验证函数

0040104B  /$  C8 000000     enter   0, 0                             ;  压栈,通常和leave指令一起用
0040104F  |.  68 C4204000   push    004020C4                         ; /Text = "Duelist's Crackme #6 -   0%"
00401054  |.  FF75 08       push    dword ptr [ebp+8]                ; |hWnd
00401057  |.  E8 78040000   call    <jmp.&USER32.SetWindowTextA>     ; \SetWindowTextA
0040105C  |.  A1 21214000   mov     eax, dword ptr [402121]          ;  取出输入值送入eax
00401061  |.  B9 02000000   mov     ecx, 2                           ;  ecx = 2
00401066  |.  99            cdq
00401067  |.  F7F1          div     ecx                              ;  eax = eax / 2
00401069  |.  8BF0          mov     esi, eax                         ;  结果保存到esi中
0040106B  |.  B8 44554536   mov     eax, 36455544                    ;  eax = 0x36455544
00401070  |.  8B0D 21214000 mov     ecx, dword ptr [402121]          ;  取出输入值前四个字节送入ecx
00401076  |>  C1C0 06       /rol     eax, 6                          ;  循环左移6位
00401079  |.  32E0          |xor     ah, al                          ;  ah = ah ^ al
0040107B  |.  02C1          |add     al, cl                          ;  al = al + cl
0040107D  |.  49            |dec     ecx                             ;  计数器减一
0040107E  |.^ 75 F6         \jnz     short 00401076                  ;  ecx 为0则循环结束
00401080  |.  3D 85180704   cmp     eax, 4071885
00401085  |.  75 4E         jnz     short 004010D5
00401087  |.  68 E1204000   push    004020E1                         ; /Text = "Duelist's Crackme #6 -  50%"
0040108C  |.  FF75 08       push    dword ptr [ebp+8]                ; |hWnd
0040108F  |.  E8 40040000   call    <jmp.&USER32.SetWindowTextA>     ; \SetWindowTextA
00401094  |.  A1 25214000   mov     eax, dword ptr [402125]          ;  取输入值后四个字节送入eax中
00401099  |.  B9 02000000   mov     ecx, 2                           ;  ecx = 2
0040109E  |.  99            cdq
0040109F  |.  F7F1          div     ecx
004010A1  |.  8BF0          mov     esi, eax                         ;  结果保存到esi中
004010A3  |.  B8 52495343   mov     eax, 43534952                    ;  eax = 0x43534952
004010A8  |.  8B0D 25214000 mov     ecx, dword ptr [402125]
004010AE  |>  C1C0 06       /rol     eax, 6
004010B1  |.  32E0          |xor     ah, al
004010B3  |.  02C1          |add     al, cl
004010B5  |.  49            |dec     ecx
004010B6  |.^ 75 F6         \jnz     short 004010AE
004010B8  |.  3D 27D1004B   cmp     eax, 4B00D127
004010BD      75 16         jnz     short 004010D5                   ;  关键跳
004010BF  |.  68 FE204000   push    004020FE                         ; /Text = "Duelist's Crackme #6 - 100%"
004010C4  |.  FF75 08       push    dword ptr [ebp+8]                ; |hWnd
004010C7  |.  E8 08040000   call    <jmp.&USER32.SetWindowTextA>     ; \SetWindowTextA
004010CC  |.  B8 01000000   mov     eax, 1                           ;  eax = 1
004010D1  |.  C9            leave
004010D2  |.  C2 0400       retn    4
004010D5  |>  68 FE204000   push    004020FE                         ; /Text = "Duelist's Crackme #6 - 100%"
004010DA  |.  FF75 08       push    dword ptr [ebp+8]                ; |hWnd
004010DD  |.  E8 F2030000   call    <jmp.&USER32.SetWindowTextA>     ; \SetWindowTextA
004010E2  |.  33C0          xor     eax, eax                         ;  eax清零
004010E4  |.  C9            leave
004010E5  \.  C2 0400       retn    4

注册机代码

#define ROR(x,n)  (((x)>>n)|(x)<<(32-n))
#define UNSIGNED_SUB(x,y) (x)<(y) ?  ((x)-(y))&0xFF : (x)-(y)

unsigned int count=0;
char key[8];
void cal_key(unsigned int v,unsigned int result);
#include<stdio.h>

int main()
{
  unsigned int left_s=0x4071885;
  unsigned int right_s= 0x4B00D127;
  printf("left 4 bytes:\n");
  cal_key(left_s,0x36455544);
  printf("right 4 bytes:\n");
  cal_key(right_s,0x43534952);
  return 0;
}
void cal_key(unsigned int v ,unsigned int result)
{
  count=0;
  while(count<0xFFFFFFFF)
    {
      count++;
      v=(UNSIGNED_SUB((v&0x000000FF),(count&0xFF))) | (v&0xFFFFFF00);
      //printf("falut:%d eax:%X\n",count,left_s);
      v=v^((v&0x000000FF)<<8);
      //printf("falut:%d eax:%X\n",count,left_s);
      v=ROR(v,6);
      if(v==result)
        {
          printf("%08X ",count);
          sprintf(key,"%c%c%c%c\n",count&0xFF,count>>8&0xFF,count>>16&0xFF,count>>24&0xFF);
          printf("%s",key);
        }
      //printf("falut:%d eax:%X\n",count,left_s);
    }
}

运行结果

左右连起来即可。
在这里插入图片描述

一剑名动江湖
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
160CrackMe算法分析.chm
09-12
我制作的《新160CrackMe算法分析》视频的配套文件,内含全部课件及评分。
适合破解新手的160crackme练手.chw
01-18
适合破解新手的160crackme练手.chw
160个练手CrackMe-051
还是上会网吧~
01-01 314
1、无壳 2、OD载入,搜字符串,定位按钮事件地址 004011ED |. 6A 09 push 0x9 ; /Count = 9 004011EF |. 68 21214000 push DueList_.00402121 ; |Buffer = DueLi
CrackMe160 学习笔记 之 048
02-19 203
前言 这个题目挺新颖的。 本身不难,但是注册机写的有点心累。 思路 直接从搜索字符串找到点击事件,开始分析。 有个地址保存着所有按钮的ID。 点击不同的按钮会产生不同的值,复杂度取决于概率问题。 值得注意的一点是,作者还混淆了按钮的顺序,怪不得说让我们用资源查看器看。 分析 CHECK 按钮点击事件 00401117 > /33F6 xor esi, e...
CrackMe160 学习笔记 之 007
01-28 280
前言 这个程序是006的升级版,同样是需要我们消除按钮,显现处被按钮遮住的部分。 攻破后的程序如图。 思路 首先尝试输入,根据跳出的弹窗搜索字符串可以找到验证函数的位置。发现有两处。 这两处分别是两个验证函数的位置。 而且不同的输入跳出的弹窗是不一样的。 先说一下结论吧。 1.输入codice值大于0x7FFFFFF8或者是不是数字时,弹窗内容:"You MUST insert a vali...
CrackMe160 学习笔记 之 033
02-13 165
前言 简单题,分分钟做出来的那种。 又可以开始水博客了。 思路 整个指令很短,很容易找到验证函数。 指令也都很简单很容易就分析出来了。 分析 点击事件 00401228 . 68 8E214000 push 0040218E ; 压入name地址 0040122D . E8 4C010000 call 00401...
CrackMe160 学习笔记 之 015
02-04 118
前言 这个程序需要去弹窗和写出正确的注册码。 思路 去弹窗 搜索字符串来到弹窗调用函数处。 00402CFE E8 1DE4FFFF call <jmp.&MSVBVM50.#595> nop掉。 由于要点了确定才会跳出接下来的程序,把跳转 00402D53 /75 05 jnz short 00402D5A 改为强制跳...
CrackMe160 学习笔记 之 003
01-23 271
CrackMe160 学习笔记 之 002 前言 打开程序,是一个很简单的界面。看来是要我们根据用户名写出对应的序列号。 如图。 分析 输入任意字符,搜索字符串"You get Wrong" “Try Again”,找到判断关键跳转的地方。 00402579 . 66:85F6 test si, si 0040258B . 74 58 je ...
CrackMe160 学习笔记 之 061
05-08 179
前言 这个题目太依赖日期格式了,只有yy/mm/dd格式的短日期才能通过验证。 分析 判断输入 00402FD0 . E8 0DE3FFFF call <jmp.&MSVBVM60.__vbaStrCmp> ; 判断输入不为空 00402FD5 . 8BF0 mov esi, eax 00402FD7 . F7D...
CrackMe160 学习笔记 之 024
02-10 435
前言 这个程序和023是一个作者。 说实话,这个作者是真的牛逼,能用汇编写出这样的程序。 每次调他写的程序就很头疼。 然而我还是差不多只花了一天就写出了注册机。 思路 这个程序没有明显的字符串,搜索字符串在这里不管用了。 那么从API入手。 和上个程序一样,找到获取name和获取key的函数。 因为是重复同样的步骤,我这里就不啰嗦了。 找到关键跳转。 虽然我这里写了注释,但是一开始可能并不那么容...
CrackMe160 学习笔记 之 054
02-26 189
前言 偶尔做个简单的题目放松一下。 思路 直接分析即可。 分析 OK按钮点击事件 00427B65 |. E8 26E2FEFF call 00415D90 ; 获取name保存到ebp-4 00427B6A |. 8B45 FC mov eax, dword ptr [ebp-4] 00427B6D |....
160crackme练手.rar
08-23
分享一个逆向练手资源集——160CrackMe,适合新手练习使用。
160Crackme024之Opcode加密1
08-03
2. ebx为指向用户名的指针 3. 将eax和ebx的内容相加 结果保存在eax 4. 然后用户名左移1位 5. 检测用户名是否到了结尾,即循环次数为用户名的
适合破解新手的160crackme练手.rar
08-12
适合破解新手的160crackme练手
CrackMe160 学习笔记 之 017
02-07 599
前言 先附上一致破解后的图。 做这个CrackMe还是花了我不少时间的。 确实难度上比其他几个有所上升。 算法本身并不难,主要是字符串并没有明文比较,以及不断套娃。 虽然这个套娃并没做什么复杂的操作,调试起来也挺心累的。 思路 首先调试程序的程序就会发现有个SMART CHECK的弹窗阻碍调试,绕过即可,下面会给绕过方法。 观察验证函数 00404E27 . FF15 6C104000 ...
CrackMe160 学习笔记 之 052
02-26 589
前言 这个题目做了我好几天,难度不用我说了吧。 话不多说,先放图。 输入为空 输入小于4个字符 输入大于4个字符 思路 作者没有给我们查找字符串的机会,不过可以找到这个。 很明显就是最后判断的信息。 接着全局查找这条指令,来到点击事件的入口处。 push 0041B208 首先关注的当然是比较的指令了。 00401EB7 8B5404 1C mov ed...
CrackMe160 学习笔记 之 026
02-11 455
前言 一开始我是这样想的,这种难度不高指令又特别多的程序,而且还是VB,调试起来真的浪费时间。 调着调着发现没有这么简单。 这个程序竟然有反调试的功能,会修改最终生成的KEY! 竟然在这里栽了个跟斗。 而且为了调试这个程序,虚拟机不知死机了多少次。 不过索性还是做出来了。 思路 整个程序并不难,就是计算并拼接字符串。 重点在于它的反调试功能。 下面是输入“test_”时,生成的KEY。 真...
CrackMe160 学习笔记 之 053
02-29 451
前言 这个题目花了两天还没做出来,其中写注册机的时候涉及了矩阵的运算。 这一块不是很熟,算来算去始终算不对,我裂开了。 ] 感觉在这一块花太多的时间没有意义。 现在先存个档,以后等我研究透了线性代数再来解决注册机的问题吧。 思路 首先搜索字符串。发现作者依旧把字符串藏起来了。 不过仍然有办法,打开16进制文本编辑器。搜索失败字符串的位置。 计算得到在内存里偏移的位置,下内存断点。(或者push ...
crackme160的解题步骤
最新发布
03-30
对于一个CrackMe来说,解题的步骤会因题目难度和设计而有所不同。下面是一般情况下的解题步骤: 1. 分析题目和二进制文件:首先,需要了解题目的背景和目的,以及二进制文件的类型和结构。可以使用反汇编器、调试器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值