[160CrackMe]aLoNg3x.1

最新推荐文章于 2024-08-08 07:14:09 发布
最新推荐文章于 2024-08-08 07:14:09 发布
阅读量530 收藏 1
点赞数
分类专栏: 160CRACKME 文章标签: 反汇编 c语言 自然语言处理 python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46296905/article/details/120800794
版权

点击About - Help之后可以发现这个游戏的规则就是输入正确的Username和Codice,让按钮控件OK(无法click)和Cancella消失(可以click),然后显示出被其遮挡的logo
在这里插入图片描述

分析工具

  • IDR
  • DelphiDecompiler(DeDe)
  • IDA
  • OllyDbg

本篇博客采用的测试数据如下:

Name:1234567890
Codice:098765432

首先DelphiDecompiler查看一下这个程序的事件、控件等基本信息

下面是各个事件函数及对应的地址映射,可以根据这个在OD中定位分析
在这里插入图片描述
DeDe中每一个事件(函数)点击进入反汇编窗口之后都可以看到DeDe给我们列出来的一些有用的注释,方便我们反汇编分析。

例如CodiceChange函数,就标出了与之相关的控件和所调用的自定义函数。
在这里插入图片描述
但这个还是不够详细,这方面IDR其实更详细一些,可以两个结合着看,
下面是一些控件信息。
在这里插入图片描述

object Principale: TPrincipale
  Left = 279
  Top = 228
  BorderStyle = bsDialog
  Caption = 'CrackMe by - aLoNg3x - v. 1.00'
  ClientHeight = 132
  ClientWidth = 292
  Color = clBtnFace
  Font.Charset = DEFAULT_CHARSET
  Font.Color = clWindowText
  Font.Height = -11
  Font.Name = 'MS Sans Serif'
  Font.Style = []
  OldCreateOrder = False
  Position = poScreenCenter
  PixelsPerInch = 96
  TextHeight = 13
  object _Nome: TLabel
    Left = 8
    Top = 8
    Width = 31
    Height = 13
    Caption = 'Nome:'
  end
  object _Codice: TLabel
    Left = 8
    Top = 32
    Width = 36
    Height = 13
    Caption = 'Codice:'
  end
  object Pannello: TPanel
    Left = 0
    Top = 64
    Width = 292
    Height = 68
    Align = alBottom
    BevelOuter = bvLowered
    TabOrder = 0
    object Image1: TImage
      Left = 1
      Top = 1
      Width = 290
      Height = 66
      Align = alClient
      Picture.Data = {
        ...}
      Stretch = True
    end
    object Ok: TButton
      Left = 24
      Top = 16
      Width = 113
      Height = 41
      Caption = 'Ok'
      Enabled = False
      TabOrder = 0
      OnClick = OkClick
    end
    object Cancella: TButton
      Left = 152
      Top = 16
      Width = 113
      Height = 41
      Caption = 'Cancella'
      TabOrder = 1
      OnClick = CancellaClick
    end
  end
  object Nome: TEdit
    Left = 56
    Top = 8
    Width = 89
    Height = 21
    MaxLength = 10
    TabOrder = 1
    OnChange = NomeChange
  end
  object Codice: TEdit
    Left = 56
    Top = 32
    Width = 89
    Height = 21
    TabOrder = 2
    Text = '0'
    OnChange = CodiceChange
  end
  object About: TButton
    Left = 168
    Top = 8
    Width = 105
    Height = 49
    Caption = 'About - Help'
    TabOrder = 3
    OnClick = AboutClick
  end
end

CodiceChange

既然OK没办法点,那么首先分析CodiceChange函数。

DeDe可以看出这个函数起始地址在0x442C78,那么在OD中Ctrl+G定位到这个函数,并下断点,经过测试发现这个函数在我们输入Codice时会断下来,即被调用。

为了看清楚这个函数对Codice和Name的处理,先Alt+B把这个断点去掉,输入测试用的Name和Codice之后再恢复那个函数的断点,鼠标移至被调试程序的窗口(这样做是为了给程序传入一个“鼠标移动”的消息,让程序不是处于等待消息的状态),这样程序就断在了这个函数处,接着就可以动态调试。
在这里插入图片描述
一直单步运行下去发现给函数442A3C传入了Name,同时可以注意到在DeDe中这个函数还是一个自定义函数
在这里插入图片描述
在这里插入图片描述
再看这个442A3C函数执行之后还有一个test语句和jnz语句,我们试着爆破把这个je跳转语句变成jnz,可以发现Ok按钮已经可以按了,说明这个函数的返回值至关重要。

下面看看这个函数的算法,为了更便于理清算法思路,可以结合IDA静态分析,IDA中先函数窗口Ctrl+F定位到CodiceChange函数,然后定位到这个sub_442A3C函数,伪代码如下:

int __fastcall sub_442A3C(int a1, int a2)
{
  int v2; // ebx
  int v3; // edx
  int v4; // eax
  int v5; // ebx
  unsigned int v7[2]; // [esp-Ch] [ebp-1Ch] BYREF
  int *v8; // [esp-4h] [ebp-14h]
  int v9; // [esp+8h] [ebp-8h] BYREF
  int v10; // [esp+Ch] [ebp-4h]
  int savedregs; // [esp+10h] [ebp+0h] BYREF

  v9 = a2;
  v10 = a1;
  System::__linkproc__ LStrAddRef(a1);
  System::__linkproc__ LStrAddRef(v9);
  v8 = &savedregs;
  v7[1] = &loc_442AE5;
  v7[0] = NtCurrentTeb()->NtTib.ExceptionList;
  __writefsdword(0, v7);
  if ( unknown_libname_32(v10) <= 5 )
  {
    v5 = 0;
  }
  else
  {
    v2 = unknown_libname_32(v10);
    v3 = unknown_libname_32(v10) - 1;
    if ( v3 > 0 )
    {
      v4 = 1;
      do
      {
        v2 += v4 * *(v10 + v4) * *(v10 + v4 - 1);
        ++v4;
        --v3;
      }
      while ( v3 );
    }
    v5 = v2 - sub_407670(v9);
    if ( v5 == 666 )
      LOBYTE(v5) = 1;
    else
      v5 = 0;
  }
  __writefsdword(0, v7[0]);
  v8 = &loc_442AEC;
  System::__linkproc__ LStrArrayClr(&v9, 2);
  return v5;
}

直接看返回值v5在伪代码中的逻辑
在这里插入图片描述
根据这个666可以对应OD中的具体汇编代码部分,可以发现这个跳转明显是不能实现的
在这里插入图片描述
往上翻,看算法处理逻辑,差不多是一个循环中Name两两相乘,再乘ax中的值。每一回合ax都自增,循环结束之后最后还要减去Codeice,最终才跟666比较。

算法主体的反汇编即注释如下:

00442A8E  |.  B8 01000000   mov     eax, 1
00442A93  |>  8B4D FC       /mov     ecx, dword ptr [ebp-4]          ;  [加密算法的循环]
00442A96  |.  0FB64C01 FF   |movzx   ecx, byte ptr [ecx+eax-1]
00442A9B  |.  8B75 FC       |mov     esi, dword ptr [ebp-4]
00442A9E  |.  0FB63406      |movzx   esi, byte ptr [esi+eax]
00442AA2  |.  0FAFCE        |imul    ecx, esi
00442AA5  |.  0FAFC8        |imul    ecx, eax                        ;  每相邻2个相乘再乘ax,初始值ax=1(但后面会发现每次做完ax++)
00442AA8  |.  03D9          |add     ebx, ecx                        ;  结果跟上次循环的结果一直累加存储在bx,bx初始值是用户名的长度
00442AAA  |.  40            |inc     eax                             ;  每次循环之后ax++
00442AAB  |.  4A            |dec     edx                             ;  记录循环次数的
00442AAC  |.^ 75 E5         \jnz     short 00442A93                  ;  循环过后记录一下,测试数据最终处理结果是bx=0x1FD56
00442AAE  |>  8B45 F8       mov     eax, dword ptr [ebp-8]           ;  取出序列号传参传入下面的函数
00442AB1  |.  E8 BA4BFCFF   call    00407670                         ;  相当于atoi函数【记录一下返回值0x05E30A78是98765432的16进制形式】
00442AB6  |.  2BD8          sub     ebx, eax                         ;  运算结果-返回值,与0x29A即666的16进制作比较
00442AB8  |.  81FB 9A020000 cmp     ebx, 29A                         ;  上面的结果作比较,等于0x29A就OK可用
00442ABE  |.  75 04         jnz     short 00442AC4

还原一下这部分代码如下:

char Nome[] = "1234567890" // eax
char Codice[] = "098765432"
int length = strlen(Nome);   // esi
int nRet = length;           // ebx
for( int i=1;i<length;i++)
{
    nRet += Nome[i-1]*Nome[i]*i;
}
nRet -= atoi(Codice);
if( nRet == 0x29A )
{
    // 返回0x01,OK按钮可以使用
}else{
    // 返回0,OK按钮禁止使用
}

根据这个用python写了个局部的注册机

name=input("Nome:")
length=len(name)
temp=length
for i in range(1,length):
    temp+=ord(name[i-1])*ord(name[i])*i
codice=temp-666
codice=print("Codice:"+str(codice))

那么为了方便下一步分析,就先计算出Name为1234567890的正确对应的Codice为0x1FD56-0x29A,即130390-666=129724,如下图。
在这里插入图片描述

在这里插入图片描述
发现按下OK之后Codice输入框就立刻清零了,接下来开始分析OkClick函数。

OkClick

给OkClick事件函数下断点,F9跑飞之后输入测试数据,这里输入1234567890和129724,OK可以点击之后点击,程序断在OKClick事件函数处。

分析发现这个函数先检测了一下Cancel控件是否可见,下面的跳转直接改成je(避免它检测出来cancel控件设置的可见导致不运行加密函数)
在这里插入图片描述
接着就是和CodiceChange函数一样的设计,关键函数明显就是442BA0,返回值决定了Ok控件是否可见。
在这里插入图片描述
直接单步步入这个函数

在执行这个函数主要的加密算法之前,这个函数还进行了一些无关紧要的操作,虽然可以忽视,但为了以防万一,还是大概查了查这些API函数是干什么用的。
在这里插入图片描述
接下来从长度获取之后看这个函数的具体逻辑,先IDA静态分析看看伪C代码(已经根据IDR对一些未解析出来名字的函数的名称稍作修改,并进行必要删减)

int __usercall sub_442BA0@<eax>(int a1@<eax>, int a2@<edx>, int a3@<ebx>, int a4@<esi>)
{
  int v5; // ebx
  int v6; // esi
  int v7; // eax
  char v8; // zf
  unsigned int v10[2]; // [esp-14h] [ebp-20h] BYREF
  int *v11; // [esp-Ch] [ebp-18h]
  int v12; // [esp-8h] [ebp-14h]
  int v13; // [esp-4h] [ebp-10h]
  int v14; // [esp+0h] [ebp-Ch] BYREF
  int v15; // [esp+4h] [ebp-8h]
  int v16; // [esp+8h] [ebp-4h]
  int savedregs; // [esp+Ch] [ebp+0h] BYREF

  v15 = 0;
  v14 = 0;
  v13 = a3;
  v12 = a4;
  v16 = a1;
  LStrAddRef(a1);
  v11 = &savedregs;
  v10[1] = &loc_442C67;
  v5 = 0;
  IntToStr(a2);
  LStrLAsg(&v14, v15);
  if ( lstrlen(v15) <= 5 )          //长度必须大于5
  {
    v5 = 0;
  }
  else
  {
    v6 = lstrlen(v15);            //获取长度
    if ( v6 >= 1 )
    {
      do
      {
        v7 = UniqueString(&v14);
        *(v7 + v6 - 1) = v6 * (*(v15 + v6 - 1) * *(v15 + v6 - 1)) % 25 + 65;
        --v6;
      }
      while ( v6 );
    }
    LStrCmp(v14, v16);
    if ( v8 )
    {
      LStrCmp(v16, v14);
      if ( v8 )
        LOBYTE(v5) = 1;
      else
        v5 = 0;
    }
  }
  v11 = &loc_442C6E;
  LStrArrayClr(&v14, 3);
  return v5;
}

分析好之后还原一下算法。主要含义就是从最后一位开始计算,一个个替换成大写字母,最后再跟Name比较。。

char Nome[] = "1234567890" // eax
char code[] = "129724"
int nLen = strlen(code);   // esi
int nRet = 0;              // eax
for( int i=0;i<nLen;i++)
{
    int nTmp = code[nLen-1-i]*code[nLen-1-i]*(nLen-i);
    nRet = nTmp%25 + 0x41;        // 转换为大写字母
    code[nLen-1-i] = nRet;
}
int nrt = strCmp(code,Nome);  //x2,两次比较用户名和生成后的字符串是否相同

if( nrt == 0 )
{
    // 返回0x01,OK按钮隐藏
}else{
    // 返回0,OK按钮显示
}

现在看来,从理论上来说,从这个程序的设计来看没办法写注册机,现在只能强制爆破。。。
在这里插入图片描述

CancellaClick

看内部算法把注册机搞出来的概率比较小了,而且这个函数的算法还是跟前面2个的类似,所以直接暴破了
在这里插入图片描述
在这里插入图片描述

Em0s_Er1t
关注
专栏目录
160CrackMe 0x06 aLoNg3x_1
Hvnt3r的博客
04-19 547
0x06 aLoNg3x_1 还是一个Delphi程序,DeDe看一下发现几个比较重要的事件,分别下断分析函数执行逻辑。 在ResoucesHacker中可以看到窗口控件的信息: 在00442E22处看到一个cmp,修改跳转路径之后发现ok按钮可用了: 00442E22 | 8078 47 00 | cmp byte ptr ds:[eax+47],0 ...
逆向之CrackMe合集(6)aLoNg3x.1
m0_46746801的博客
04-11 267
首先打开这个CrackMe界面发现确定按钮被禁用 用DE分析出来他的过程中有 可以看出在用户名变化和序列号变化时都会进行处理,得到对应RVA。 ida使用G快捷键找到位置,设置断点。 这里我遇到一点问题,我通常是使用1111和9999来测试的 但是这个CrackMe在我输入1111后就会跳出去 我单步跟踪跟踪到这个位置发现 然后我就将用例改为123456来测试,这样也好监控第几个字符 这里是第一次看到关于注册码的计算 就是将第一个字符ascii码和第二个字符ASCII码相乘 将前两个字符相乘的结果1 第
crackme.chm之aLoNg3x_1.exe
11-07 1596
点about按钮可以知道这个程序是让我们去掉按钮,让logo显示出来;首先用dede载入程序,看下有几个自定函数
推荐文章:IDR - 您的交互式Delphi反汇编利器
最新发布
gitblog_00250的博客
08-08 404
推荐文章:IDR - 您的交互式Delphi反汇编利器 IDRInteractive Delphi Reconstructor项目地址:https://gitcode.com/gh_mirrors/id/IDR 1、项目介绍 IDR(Interactive Delphi Reconstructor)是一款专为Windows32环境设计的Delphi反汇编器,能够处理EXE和DLL文件。它的主要目...
160 - 6 aLoNg3x.1
123
02-07 3713
160 - 6 aLoNg3x.1
以新手的视角做Crackme006-aLoNg3x.1
weixin_48067850的博客
08-01 126
以新手的视角做Crackme006,也记录一下自己做的时候的思路
160个crakeme之006aLoNg3x.1题目分析
iqiqiya的博客
04-19 650
0x01:先运行一下看看有什么提示特点发现OK是灰色的 点击Cancella是用来清空注册码框 点击About-Help连着出现四个弹窗这个"CrackMe"的目的是为了让用户隐藏"OK"和"Cancella"按钮,以便于看到Ringzero标志。所以你必须输入正确的注册码。 (人名)诺塔:如果这些按钮没有被看不见,那么你就没有破解这个Crackme:) 如果你需要一些帮助 给我发电子...
crackme by 困难户.exe
08-02
一个加壳的易语言程序
160个crakeme之007aLoNg3x.2题目分析
iqiqiya的博客
04-20 456
ps:说好的一天一篇的 加油 打开后看到熟悉的界面 和006差不多 毕竟是一个人开发的点击About-Help还是出现四个同样的对话框意思大致还是让我们想办法隐藏按钮 显示出完整图片 就可以达到破解  0x001:还是先查下壳 Delphi的程序 无壳  0x002:    载入OD 发现一个GREAT! 想着是不是可以不用DeDe查看了那就试试 看看能不能找到核心代...
160crackme(6)----aLoNg3x(详细非暴力破解)
abc_670的博客
03-14 696
测试输入nome和codice发现nome最多可以输入10个字符,codice没有限制用PEiD查壳,无壳并且发现是Delphi编写的程序  作者在这里提示说要隐藏OK和cancella按钮,最后就可以看到Ringzer0 logo 这里总结对Delphi下断点的方法:(1)找到Delphi的按钮事件然后下断点OD载入后,CTRL+G,转到00401000处然后就CTRL+B,查找特征码740E8...
[160CrackMe]aLoNg3x.2
m0_46296905的博客
10-29 400
还是跟前一个版本的一样,都是要藏按钮。 分析工具: IDR DelphiDecompiler(DeDe) IDA OllyDbg 本篇博客采用的测试数据如下: Name:1234567890 Codice:098765432 老样子,DeDe打开,有个AgainClick,难不成隐藏了按钮? 确实显示这个程序还有一个按钮。 然后IDR辅助分析 RegisterzClick OD中定位,结合IDR给的注释,单步分析,可以看到执行完4429A8之后的返回值决定了是否发生跳转 分析并单步测试可
delphi反编译工具 Decompiler v1.1.0.194
01-08
Delphi Decompiler can analyze executables compiled with Delphi 2 to 7 giving you; all DFM files of the target, commented ASM code with references to strings, imported function calls, classes methods calls, components in the unit, Try-Except and Try-Finally blocks. Note, this is a rewrite of the original DeDe. Changes and updates include: + Updated the DSF Editor * Fixed loss of DSF editor when parsing + In DSF editor adds support for Delphi 2007, 2009, 2010 (so far works only for parsing. Bpl) * Optimized code for rendering assembly code * Full reconstruction project to accelerate work on a batch of assemblies and the subsequent testing + Updated the PE Editor + Improved the window "Options" + Added ability to change fonts: - In the DFM Editor - Lists ListView - In disassembler * Reduced the delay timer on the window screen saver * Fixed a PE editor + Added saving of projects Delphi 2007 + Added saving of projects Delphi 2009 + Added saving of projects Delphi 2010 + Rewritten engine decompilation DCU + Rewrote the analysis engine EXE + New format doi and dsf + Completely changed interface + Ability to fully maintain the project (full load project being finalized) + Full support for programs written in Delphi 2 - 7
适合破解新手的160crackme练手
04-10
160crackme,适合新手练习破解,------------------------------------------------------------------------------------------------------------------------------------------------------------
delphi反编译三剑客工具
06-05
Delphi程序 一、 IDR (piblic version) IDR (Interactive Delphi Reconstructor) , Delphi反汇编利器,不断更新中。官方主页:http://kpnc.org/idr32/en/download.htm 二、 Delphi Decompiler v1.1.211b Delphi反编译工具 三、 DeDe 3.5原版 反Delphi、 C++ bulid。(DeDe3.2004源码下载) DeDe3.50.04 Fix加强版 DEDE 3.50.4的修改版(超强版:P) by DarkNess0ut 01.修改了Title和ClassName "DeDe"->"DarK",绝大部分的Anti检测都没有用了 02.DIY原DEDE,使得可以反汇编得到非标准程序的Forms格式和Procedures的事件 03.直接反汇编功能的选项 04.增加对特殊处理过的PACKAGEINFO的Uint List的显示 05.修改原有的"Open With DEDE"的注册键错误&BUG;,可以使用右键运行DEDE反汇编Delphi/BCB 06.去处NAG显示 07.修复原有Dump Active Process的BUG 08.Enable Dump按钮 09.修复拖放处理程序时,确认对话框的BUG! 10.修复Forms下将DFM保存为RES文件的BUG! 11.Enable Procedures下右键的Analize Class功能 12.修复Forms下DFM的"Open With NotePad"功能 13.heXer提供修复反汇编引擎的代码,主要是解决了反汇编的错误
DelphiDecompiler
09-04
DelphiDecompiler,一个好用 的delphi开发工具。安装简单实用。DelphiDecompilerDelphiDecompilerDelphiDecompilerDelphiDecompilerDelphiDecompiler
160 - 7 aLoNg3x.2
123
02-09 1058
160 - 7 aLoNg3x.2
CrackMe006 | 160crackme精解系列(图文+视频+注册机源码)
weixin_34365635的博客
01-29 519
作者:逆向驿站微信公众号:逆向驿站知乎:逆向驿站 crackme006,依然是delphi的,而且没壳子,条线比较清晰,算法也不难,非常适合新入门的来练习.快过年了,Crackme系列年前就停更在006吧,祝大家新年666 ,年后继续 准备 【环境和工具】 win7/xp虚拟机环境 CrackMe006(aLoNg3x.1.exe)...
日拱一卒——160crackme之#6
乱七八糟の中转站
06-07 1093
转自:[CrackMe练习] 160个CM之006“aLoNg3x”今天我们用的是第六个附件 aLoNg3x.1.exe 我们先运行这个软件看看, 诶,有个help,我最喜看帮助了,看看有什么内容,图就不截了,作者大概是说破解成功的话,OK按钮会变成可用状态,Cancella会被删掉,好了,直接加载OD输入个假码dbgpro.com,点cancelln发现什么任何反应,好吧 直接用按钮事件跟一下,
160crackme(5)----ajj.2(CKme.exe)
abc_670的博客
02-05 981
据说这次的CKme可是层层设防,查壳发现加了upx壳,暂时用软件直接脱 用的工具是UPXEasyGUI,链接: https://p  an.baidu.com/s/1hsYAevM 密码: vrtq 脱壳后再查如下: 这次直接先用DeDe来看下它,这个程序竟然隐藏了一个Edit2!!主要的事件有Edit2的双击,panel的双击,button1的Button1click,
crackme160的解题步骤
03-30
1. 分析题目和二进制文件:首先,需要了解题目的背景和目的,以及二进制文件的类型和结构。可以使用反汇编器、调试器等工具,深入了解二进制文件的代码逻辑和控制流程。 2. 寻找关键函数和代码逻辑:在分析代码时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Em0s_Er1t

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值