【reverse】新160个CrackMe之116-REM-KeyGenME#10——脱壳、去背景音乐、识别反调试

本文详细介绍了如何对一个32位程序进行逆向分析,包括使用PETools查看程序概况,手动脱UPX壳,去除背景音乐,识别并移除反调试代码。通过IDA Pro 7.7分析关键函数,揭示了验证输入序列的算法,并提供了C++实现的解决方案。文章还分享了如何定位音频播放函数和反调试检查的技巧,以及在x64dbg中进行动态分析的方法。
摘要由CSDN通过智能技术生成

依赖

IDA版本为7.7。

PETools查看概况

32位程序,Section: [TDC1], EP: 0x0001E730,有壳且暂时不知道是什么壳。

这个exe需要手动脱壳、去背景音乐、有反调试,可惜算法较简单,勉强如参考链接1所说,“列入精品软件”。

作者:hans774882968以及hans774882968以及hans774882968

本文juejin:https://juejin.cn/post/7139215208513290253/

本文csdn:https://blog.csdn.net/hans774882968/article/details/126684991

本文52pojie:https://www.52pojie.cn/thread-1683892-1-1.html

手动脱壳

看了参考链接1,知道是upx壳,但upx命令脱壳失败。那么我们尝试手动脱壳,跟着参考链接2操作即可。Sections一般都是可读写的,如果出现了和参考链接2一样需要改Section Header可读写的情况,可用PETools点击Sections按钮去修改。

去背景音乐

参考链接1找到音乐播放函数的方法是:单步执行,执行到TDC0:0040108E call sub_4013D9的时候,发现这句指令执行时间比其他语句长,断定这是音乐播放的函数。x64dbg实测执行时间比其他语句时间长,但感受差别比较小,不容易注意到。

我们用先进的IDA7.7就不需要这么麻烦了。

  1. 看到start函数的sub_4013D9非常显眼,又看到sub_4013D9出现了一句TDC0:0040143D 008 E8 BE 2C 00 00 call waveOutReset,因此sub_4013D9就是播放音乐的函数。
  2. 用IDA还可以这么定位:看imports标签页,能看到waveOutReset等和音频有关的函数,去找交叉引用就行。

直接把TDC0:0040108E call sub_4013D9patch掉即可。

分析

发现有些代码变成了数据,但因为没有标红的代码,不像是插入了花指令。我们在x64dbg中查看汇编代码,发现x64dbg的识别非常成功。因此我们在IDA中不停地强转代码,直到看不到被识别为数据的代码为止。然后右键Create function,成功F5。

DialogFunc非常滴显眼:

INT_PTR __stdcall DialogFunc(HWND hWnd, UINT a2, HDC hdc, LPARAM a4)
{
  HICON IconA; // eax
  UINT v6; // eax
  int v7; // eax

  if ( a2 == 272 )
  {
    SetWindowTextA(hWnd, String);
    IconA = LoadIconA(hInstance, (LPCSTR)0x64);
    SendMessageA(hWnd, 0x80u, 1u, (LPARAM)IconA);
  }
  else
  {
    if ( a2 == 312 || a2 == 307 )
    {
      SetTextColor(hdc, 0xFFFFFFu);
      return SetBkMode(hdc, 16763904);
    }
    if ( a2 != 513 )
    {
      if ( a2 == 0x111 )
      {
        if ( hdc == (HDC)1001 )
        {
          v6 = 5 * GetDlgItemTextA(hWnd, 2001, dword_40622C, 51);
          if ( v6 > 0xFA || v6 < 0x1E )
          {
            SetDlgItemTextA(hWnd, 2002, aNameMustBeBetw);
            return 0;
          }
          dword_40625F = GetDlgItemInt(hWnd, 2002, 0, 0);
          v7 = sub_4012A8(dword_40622C);
          if ( byte_406263 != 1 )
          {
            if ( !v7 )
            {
              SetDlgItemTextA(hWnd, 2002, aCongratulation);
              return 0;
            }
            if ( loc_40121C != 0xCC && loc_401223 != 0xCC )
            {
              SetDlgItemTextA(hWnd, 2002, aSorryThatIsInc);
              return 0;
            }
          }
          SetDlgItemTextA(hWnd, 2002, aDebuggerDetect);
          return 0;
        }
        if ( hdc == (HDC)1002 )
        {
          MessageBoxA(hWnd, Text, Caption, 0x20u);
          return 0;
        }
        if ( hdc != (HDC)1003 )
          return 0;
      }
      else if ( a2 != 16 )
      {
        return 0;
      }
      EndDialog(hWnd, 0);
      return 0;
    }
    ReleaseCapture();
    SendMessageA(hWnd, 0xA1u, 2u, 0);
  }
  return 0;
}

dword_40622Cdword_40625F分别是你输入的NameSerial

有反调试哦

SetDlgItemTextA(hWnd, 2002, aDebuggerDetect);告诉我们全局变量byte_406263是用来反调试的。

关键函数只有sub_4012A8,里面耦合了一段反调试逻辑。sub_4012A8sp-analysis failed,但因为我们用的是先进的IDA7.7,不用管它直接F5!但反汇编结果仅供参考了。

void __stdcall sub_4012A8(_BYTE *a1)
{
  int v1; // eax
  int v2; // ecx
  int v4; // ecx

  if ( loc_4012B4 == 0xCC )
    goto LABEL_9;
  v1 = 0;
  v2 = 0;
  if ( loc_4012D4 == 0xCC )
    goto LABEL_9;
  while ( *a1 )
  {
    LOBYTE(v1) = *a1;
    v2 = __ROL4__(v1 + v2, 8);
    ++a1;
  }
  v4 = ((v2 ^ 2) - 80) ^ 0x1337;
  LOWORD(v4) = SystemTime.wYear + v4;
  if ( loc_4012FA == 0xCC )
  {
LABEL_9:
    byte_406263 = 1;
  }
  else if ( dword_40625F == v4 )
  {
    byte_406263 = 0;
  }
}

那算法很明显了,根据你输入的Name算出一个int,要求等于你输入的int类型的Serial。最后还需要注意一个点:dword_40625F = GetDlgItemInt(hWnd, 2002, 0, 0);,第4个参数为0表示返回unsigned int,1表示返回int(参考链接3)。因此我们算出的int类型的Serial要最后额外加一步:转为unsigned int

代码

  1. 获取系统时间:参考链接4。
  2. 用IDA安装目录下可找到的defs.h,赋能cpp注册机,打出一套组合👊。
#include <bits/stdc++.h>
#include <windows.h>
#include "defs.h"
using namespace std;
#define rep(i,a,b) for(int i = (a);i <= (b);++i)
#define re_(i,a,b) for(int i = (a);i < (b);++i)
#define dwn(i,a,b) for(int i = (a);i >= (b);--i)

void dbg() {
    puts ("");
}
template<typename T, typename... R>void dbg (const T &f, const R &... r) {
    cout << f << " ";
    dbg (r...);
}
template<typename Type>inline void read (Type &xx) {
    Type f = 1;
    char ch;
    xx = 0;
    for (ch = getchar(); ch < '0' || ch > '9'; ch = getchar() ) if (ch == '-') f = -1;
    for (; ch >= '0' && ch <= '9'; ch = getchar() ) xx = xx * 10 + ch - '0';
    xx *= f;
}
void read() {}
template<typename T, typename ...R>void read (T &x, R &...r) {
    read (x);
    read (r...);
}

int solve (string inpName) {
    int v1 = 0, v2 = 0;
    for (auto c : inpName) {
        LOBYTE (v1) = c;
        v2 = __ROL4__ (v1 + v2, 8);
    }
    int v4 = ( (v2 ^ 2) - 80) ^ 0x1337;
    SYSTEMTIME st;
    GetSystemTime (&st);
    LOWORD (v4) = st.wYear + v4;
    return v4;
}

int main() {
    string inpName;
    unsigned int ans;
    inpName = "hans acmer";
    ans = solve (inpName);
    dbg (inpName, ans);
    inpName = "Hans774882968";
    ans = solve (inpName);
    dbg (inpName, ans);
    inpName = "scuctf";
    ans = solve (inpName);
    dbg (inpName, ans);
    inpName = "hans00";
    ans = solve (inpName);
    dbg (inpName, ans);
    inpName = "HANS774882968";
    ans = solve (inpName);
    dbg (inpName, ans);
    return 0;
}

参考资料

  1. https://www.bilibili.com/video/BV1FF41137c7
  2. x64dbg手动脱upx壳:https://zhuanlan.zhihu.com/p/34263050
  3. MFC中的GetDlgItemInt方法:https://blog.csdn.net/lihui126/article/details/42489267
  4. GetSystemTime function:https://docs.microsoft.com/en-us/windows/win32/api/sysinfoapi/nf-sysinfoapi-getsystemtime
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值