[160CRACKME]Chafe.2

最新推荐文章于 2024-07-14 12:12:37 发布
最新推荐文章于 2024-07-14 12:12:37 发布
阅读量287 收藏
点赞数 1
分类专栏: 160CRACKME 文章标签: 指针 c算法 字符串 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46296905/article/details/116572075
版权

(一)分析

运行一下这个程序发现,这个程序没有确认按钮,推测是实时获取用户输入,然后在文本框中显示输入是否正确。
OD中打开,自动定位到了主函数。
在这里插入图片描述
GetModuleHandle获取窗口句柄,ExitProcess函数是退出程序的进程,中间那个401023函数就是程序运行的主体部分,F7步入,看到一些加载图标,加载光标,注册窗口的api函数等等,
在这里插入图片描述
直到ShowWindow函数,才显示出窗口,前面一直是在进行一些窗口的初始化操作
在这里插入图片描述
后面一个大循环,在循环里面看到GetMessage函数,这个函数可以实现获取源源不断的消息,因为所有在窗口上的输入消息,都会放到应用程序的消息队列里,然后再发送给窗口回调函数处理。
在这里插入图片描述
目的是了解程序如何对用户输入的文本进行操作,势必要跳出循环。
Ctrl+F2重新加载,这次直接按F9让程序跑飞,这样才能输入测试数据。
在这里插入图片描述
输入完测试数据之后,可以注意到在循环的下一步,程序开始获取文本框的输入,有个GetDlgItemInt函数,给它下个断点,点一下文本框,程序便停在了这个函数的位置,这样就可以看程序对数据做了什么处理。
首先要弄清楚输入文本都被存入了哪里。
在这里插入图片描述
MSDN文档查找一下GetDlgItemInt函数,这个函数意在实现int型读取用户输入文本框的内容并返回。pSuccess指向用户输入的序列号所在的内存单元的地址,即0x0018F920。
GetWindowTextA函数就是获取文本框的文本,把文本存入了Buffer指向的内存(从OD看出Buffer指向的地址是0x0040316C)
在这里插入图片描述
下拉发现在对用户名跟序列号处理的代码下面一些奇怪的汇编指令,且没有跳转指向输入正确的提示。推测这里是SMC。在这里插入图片描述
先分析一下程序对数据的处理。在这里插入图片描述

004012A3    .  A1 0B304000     mov     eax, dword ptr [40300B];常量0x58455443存入eax
004012A8    . BB6C314000       mov     ebx,0040316C           ;ASCII "123456"

004012AD    >  0303            add     eax, dword ptr [ebx]
004012AF    .  43              inc     ebx
004012B0    .  81FB 7C314000   cmp     ebx, 0040317C
004012B6    .^ 75 F5           jnz     short 004012AD;输入的用户名“123456”循环16次每次读取4个字节累加到常量0x58455443

004012B8    .  5B              pop     ebx;输入的序列号存入ebx
004012B9    .  03C3            add     eax, ebx
004012BB    .  3105 D9124000   xor     dword ptr [4012D9], eax;常量0x5845540x4012D9处的字节码)跟累加后的值异或【SMC004012C1    .  C1E8 10         shr     eax, 10;异或后右移16004012C4    .  66:2905 D9124  >sub     word ptr [4012D9], ax;异或后的值减去累加后的值,可以注意到0x4012D9指向的不是数据,而是那一段奇怪的代码的地址,明显在对0x4012D9的代码进行修改。【SMC

现在分析一下这部分SMC,之所以没有跳转指令跳转到提示正确的字符的位置,推测是因为SMC自修改出来的代码就是缺失的跳转语句。
但跳转到自修改出的跳转语句之前,还有一部分bx跟ax异或0x3E次的,
这边有个lods 取串指令(把源串中的元素(字或字节)逐一装入AL或AX中),从si寄存器存放的地址处,也就是0x4011EC处开始取串,然后必须要异或出固定的值0xAFFCCFFB才会有后来的跳转。

这里的循环后期写注册机的时候其实是可以忽略的,因为这个循环主要的作用是进一步验证SMC出的代码是不是jmp到yes字符串,而破解的话只要前面的数据处理就能爆破出来了。
在这里插入图片描述
理清程序的大体过程之后可以写注册机。

(二)注册机

源代码如下:

#define _CRT_SECURE_NO_WARNINGS
#include<stdio.h>
#include<string>
using namespace std;
int main()
{	
	char usrname[20] = { 0 };
	int serial = 0x58455443, temp = 0, temp1 = 0,n;
	printf("username:");
	scanf("%s", usrname);
	for (int i = 0; i < 16; i++)
		serial += *(int *)(usrname + i);

	for (int j = 0; j < 0xFFFFFFFF; j++)
	{
		temp = (0x584554 ^ (serial + j))-((serial + j) >> 16);
		if (temp == 0x585426EB)
		{
			printf("serial:%u", j);
			break;
		}
	}
	return 0;
}

后来发现temp = (0x584554 ^ (serial + j))-((serial + j) >> 16);这一步可以优化,用分步运算,
先算高四位的值

(0x58 ^ ((serial + j)>>16))==0x5854

后算第四位的值,

(0x4554 ^ ((serial + j)&0x0000FFFF))-((serial + j) >> 16)==0x26EB

可以看出最后序列号与累加后的用户名的和其实等于一个常数,优化之后的程序源码如下:

#define _CRT_SECURE_NO_WARNINGS
#include<stdio.h>
#include<string>
using namespace std;
int main()
{	
	char usrname[20] = { 0 };
	int serial = 0x58455443, temp = 0, temp1 = 0,n;
	printf("username:");
	scanf("%s", usrname);
	for (int i = 0; i < 16; i++)
		serial += *(int *)(usrname + i);

	printf("Serial:%u\n", 0x580C3BA3 - serial);
	return 0;
}

(三)实现

在这里插入图片描述
在这里插入图片描述

Em0s_Er1t
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
160 - 24 Chafe.2
123
11-14 264
环境: Windows xp sp3工具 exeinfope OllyDBG查壳 用exeinfope查壳,发现是没有壳的。测试 可以看出是从红色框框里面的内容判断serial是否有效OD载入,字符串搜索可以得到:004011EC . 55 push ebp 004011ED . 8BEC mov ebp,esp
[CrackMe]Chafe.2.exe的逆向及注册机编写
輚至消亡
07-28 1004
先上手把玩一下, 从外观上看感觉和Chafe.1.exe差不了多少, 还是那个界面找到RegisterClassEx从而找到其对应的窗口过程找到对应的WM_COMMAND分支首先其修改了代码中的4个字节, 将其修改成0x00584554, 然后通过GetDlgItemInt获取了serial值这里其实原本就是这个值, 只不过作者为了确保是0x00584554, 再次写入。
[CrackMe]Chafe.1.exe的逆向及注册机编写
輚至消亡
07-27 1097
这个crackme使用的思路是切换栈帧, 他自己构造了一个栈帧, 该构造的栈帧上有4个例程, 其通过挪动ESP指针来切换每个例程, 每次切换栈帧并调用对应例程如果成功都会有4的累计, 那最终会有4 * 4 = 0x10, 如果满足这个值那就说明serial key是正确的。接下来进入第2次, 由于第一次成功了, 即获得了符合条件的serial key, JmpEspOffset目前是4, 这个值代表了新构造的栈的偏移, 所以新栈顶要挪动4个字节。上来就直接发现关键跳转, 难道这题这么简单吗?
[反汇编练习] 160CrackMe之023
LindaXu1220的博客
07-01 236
[反汇编练习] 160CrackMe之023. 本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。 其中,文章中按照如下逻辑编排(解决如下问题): 1、使用什么环境和工具 2、程序分析 3、思路分析和破解流程 4、注册机的探索 -----------------...
crackme.chm之Chafe1
11-07 1000
这个程序没有注册或者确定按钮,所以我们只有找到窗口过程才能知道
逆向破解之160CrackMe —— 023-024
weixin_30312563的博客
09-02 131
CrackMe —— 023 160 CrackMe 是比较适合新手学习逆向破解的CrackMe的一个集合一共160个待逆向破解的程序 CrackMe:它们都是一些公开给别人尝试破解的小程序,制作 crackme 的人可能是程序员,想测试一下自己的软件保护技术,也可能是一位 cracker,想挑战一下其它 cracker 的破解实力,也可能是一些正在学习破解的人,自己编一些小程序给自...
CrackMe160 学习笔记 之 023
02-09 244
前言 这个程序需要我们写出注册机。 思路 没有注册按钮。说明是由定时器来判断输入的。 查看API。 找到获取name输入和获取key输入的函数。 在验证函数可以看到如下语句。 004012AE |> \A2 67314000 mov byte ptr [403167], al ; [403167] = al 004012B3 |. 83F8 10 ...
160个练手CrackMe-023
还是上会网吧~
10-31 431
1、无壳,TASM / MASM2、OD载入搜索字符串。定位到成功信息00401294 |. E8 BA010000 call Chafe_1.00401453 ; Case 113 (WM_TIMER) of switch 0040123F 00401299 |. 0FBE05 663140>movsx eax,byte ptr ds:[0x40
crackme2.exe
02-06
逆向分析的一个小程序
160CrackMe算法分析.chm
09-12
我制作的《新160CrackMe算法分析》视频的配套文件,内含全部课件及评分。
160crackme解析.zip
12-04
包含适合新手的160CrackMe的大神解析思路,适合在学习时遇到困难进行查看
crackme00.apk
12-15
CrackeMe00 是一个简单的登录逻辑APK,在不知道密码的情况下登录进主界面。 CrackeMe00 是一个简单的登录逻辑APK,在不知道密码的情况下登录进主界面。 CrackeMe00 是一个简单的登录逻辑APK,在不知道密码的情况...
看雪crackme3.exe例子源程序和破解后的程序带破解说明
03-07
和 破解以后 crackme3.exe的程序,破解之前点击注册,会显示Wrong Serial,try again,破解后的程序,直接点击注册就注册成功,请用ollydbg查看exe文件,txt文档中写了破解的思路修改2处跳转je的地址位置和代码,...
java 中钻石操作符 <> 的使用场景
qq_27390023的博客
07-10 434
钻石操作符在 Java 中的主要作用是简化泛型类型的实例化,减少代码冗余,使代码更加简洁和可读。它通过类型推断机制,让编译器自动推断出类型参数,而不需要程序员显式地重复类型参数。这样不仅减少了代码量,还减少了出错的可能性。
Python中的null是什么?
分享Python、数据分析、人工智能前沿知识
07-11 376
null正确的发音是/n^l/,有点类似四声‘纳儿’,在计算机中null是一种类型,代表空字符,没有与任何一个值绑定并且存储空间也没有存储值。检查 None 的唯一性,它返回某一对象的唯一标识符,如果两个变量的 id 相同,那么它们实际上指向的是同一个对象。Python中其实没有null这个词,取而代之的是None对象,即特殊类型NoneType,代表空、没有。在Python中,None的用处有很多,比如作为变量初始值、作为函数默认参数、作为空值等等。总得来说,None是一个对象,而null是一个类型。
Android RecyclerView
学无止境,止于至善
07-14 217
需要注意的是RecyclerView没有提供setOnItemClickListener()方法,RecyclerView的item单击事件往往在Adapter中实现,在Adapter中可以对整个item或者item的各个控件实现单击事件。RecyclerView不仅可以实现和ListView同样的效果,还优化了ListView中的各种不足。是一种新型的列表控件,它的目标是为任何基于适配器的视图提供相似的渲染方式。5)设计RecyclerView中的方法。表1 RecyclerView的常用方法。
LeetCode LCR027.回文链表 C写法
m0_63816268的博客
07-11 277
通过快慢指针找到中间结点,再将中间结点后的所有结点反转。如果是回文链表那么中间结点往后的值与头结点到中间结点的值都相等,如果有不相等的就不是回文链表。
Java:使用JMH做Benchmark基准测试
最新发布
彭世瑜的博客
07-14 289
可以结合 Score 和 Unit 这两列,看到方法的效率。这里显然 arrayTraverse 的效率比 listTraverse 的高很多,因为 Unit 单位是 ops/ms,即单位时间内执行的操作数。所以显然在遍历的时候,ArrayList的效率是比LinkedList高的。BenchMark 又叫做基准测试,主要用来测试一些方法的性能,可以根据不同的参数以不同的单位进行计算(例如可以使用吞吐量为单位,也可以使用平均时间作为单位,在 BenchmarkMode 里面进行调整)。
crackme160的解题步骤
03-30
2. 寻找关键函数和代码逻辑:在分析代码时,需要寻找与题目相关的关键函数和代码逻辑,例如密码验证函数、加密/解密函数等。 3. 破解密码验证:如果CrackMe的目的是验证输入的密码是否正确,那么需要破解密码验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Em0s_Er1t

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值