160个CrackMe之108 mfc程序 寻找按钮事件,代码还原(下)

最新推荐文章于 2023-06-02 10:00:00 发布
最新推荐文章于 2023-06-02 10:00:00 发布
阅读量205 收藏 1
点赞数
文章标签: c++ 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64973256/article/details/123398195
版权

·分析该CrackMe按钮事件

这个check就是个按钮,现在用visual studio提供的工具看看这个按钮id

·选择自己的Spy++(不会用的话百度查一下)

找到check按钮id是1

·那该程序的检查按钮事件就为

AFX_MSGMAP_ENTRY 按钮;按钮。nMessage = WM_COMMAND ;  按钮。nCode = BN_CLICKED ;  按钮。nID = 1 ;  按钮。nLastID = 1 ;  按钮。nSig = AfxSigCmd_v ;  按钮。pfn =未知; 
 
等价替换后 
btn.nMessage=0x0111; btn.nCode=0; btn.nID=1; btn.nLastID=1; btn.nSig=AfxSigCmd_v; btn.pfn=CMFCApplication3Dlg::未知; 
 
btn的内存呈现形式为 
nMessage,nCode,nID,nLastID,nSig,pfn 
可以不用管nSig,pfn的值,只用搜索前四项就够了,等价替换为 
0x0111,  0,   1,1,nSig,pfn       等价替换为 
11 01 00 00, 00 00 00 00, 01 00 00 00, 01 00 00 00 ,nSig,pfn 等价替换为 
11 01 00 00 00 00 00 00 01 00 00 00 01 00 00 00

找到按钮事件地址 795E7980

·地址795E7980的汇编代码看着有点怪异的是因为这里是虚函数调用(vcall) 执行到795E798D jmp eax f7跟进去后来到真正的按钮事件地址

·现在来讲讲vcall,写了个小例子

#include <Windows.h> #include <stdio.h> class myclass 
{ public: 
 	virtual void func1() 
 	{ 
 
 	} 
 	virtual void func2() 
 	{ 
 
 	} 
};  int  main ( )  
{  
 	printf ( "MYACLS::myvirfunc1()地址=%p\n" ,  & myclass :: func1 ) ;  //打印的是vcall函数  	printf ( "MYACLS::myvirfunc2()地址=%p\n" ,  & myclass :: func2 ) ; 
  	myclass * pmyobj =  new  myclass ( ) ; 
 
 	返回 1 ;  
}

·执行的结果

#### 而myvirfunc1 myvirfunc2函数真正的地址为

现在00FB1084与00FB1088代码组合

是不是和地址795E7980代码很相似

·vcall 的作用

调整这个指针到真正的虚函数中

·现在看看代码还原

ida打开该程序跳转00401512

text:00401518                 mov     [ebp+var_20], ecx 
.text:0040151B                 mov     ax, word_40315C 
.text:00401521                 mov     word ptr [ebp+String], ax 
.text:00401525                 xor     ecx, ecx 
.text:00401527                 mov     [ebp+var_A], ecx 
.text:0040152A                 mov     [ebp+var_6], ecx 
.text:0040152D                 mov     edx, dword_403020 
.text:00401533                 mov     dword ptr [ebp+String2], edx 
.text:00401536                 mov     eax, dword_403024 .text:0040153B                 mov     [ebp+var_18], eax 
.text:0040153E                 mov     cx, word_403028 
.text:00401545                 mov     [ebp+var_14], cx 
 
var_20看前后使用是 用来this指针的不用管 
 
var_A和var_6都被初始化为0,上下文都没有使用,说明是数组 
String 只初始化了2个字节,加上var_A和var_6,String是10个字节 
 
String2 和var_18,var_14地址相连,var_18,var_14上下文都没有使用,说明是数组 var_14只初始化了2个字节,加上String2和var_18,String2是10个字节 dword_403020 值为4472423C,dword_403024值为426F532D,word_403028值为003E换成asci码为 
<BrD-SoB> 
 
 
代码为 
 	CHAR String[10]={0};//因为汇编代码中都数组中的值被初始化为0了,所以写成String[10]={0} 
 	CHAR String2[10]="<BrD-SoB>"; 
.text:00401549                 push    0Ah             ; int 
.text:0040154B                 lea     edx, [ebp+String]
.text:0040154E                 push    edx             ; char * .text:0040154F                 push    3E8h            ; int 
.text:00401554                 mov     ecx, [ebp+var_20] ; this 
.text:00401557                 call    ?GetDlgItemTextA@CWnd@@QBEHHPADH@Z ; CWnd::GetDlgItemTex
.text:0040155C                 lea     eax, [ebp+String]
.text:0040155F                 push    eax             ; lpString 
.text:00401560                 call    ds:lstrlenA 
.text:00401566                 mov     [ebp+var_10], eax 
.text:00401569                 cmp     [ebp+var_10], 1 
.text:0040156D                 jnb     short loc_401585 
 
push的是10,调用的函数是intGetDlgItemText(intnID**,LPTSTRlpStr,intnMaxCount),说明数组 大就是10, var_10=lstrlenA函数的返回值, 后比较的后的跳转指令是jnb 说明var_10是无符号的 
 
代码为 
GetDlgItemTextA(1000, String, 10); unsigned int var_10; var_10 = lstrlenA(String); if ( var_10<1)

.text:0040156F                 push    40h ; '@'       ; unsigned int 
.text:00401571                 push    offset aCrackme ; "CrackMe" 
.text:00401576                 push    offset aEnterRegistrat ; "Enter Registration Number" 
.text:0040157B                 mov     ecx, [ebp+var_20] ; this 
.text:0040157E                 call    ?MessageBoxA@CWnd@@QAEHPBD0I@Z ; CWnd::MessageBoxA(char 
.text:00401583                 jmp     short loc_4015C1 
.text:00401585 ; --------------------------------------------------------------------------- .text:00401585 
.text:00401585 loc_401585:                             ; CODE XREF: sub_401512+5B↑j 
.text:00401585                 lea     ecx, [ebp+String2] 
.text:00401588                 push    ecx             ; lpString2 .text:00401589                 lea     edx, [ebp+String] 
.text:0040158C                 push    edx             ; lpString1 
.text:0040158D                 call    ds:lstrcmpA 
.text:00401593                 test    eax, eax 
.text:00401595                 jnz     short loc_4015AD 
.text:00401597                 push    40h ; '@'       ; unsigned int 
.text:00401599                 push    offset aCrackme_0 ; "CrackMe" 
.text:0040159E                 push    offset aCorrectWayToGo ; "Correct way to go!!" 
.text:004015A3                 mov     ecx, [ebp+var_20] ; this 
.text:004015A6                 call    ?MessageBoxA@CWnd@@QAEHPBD0I@Z ; CWnd::MessageBoxA(char 
.text:004015AB                 jmp     short loc_4015C1 
.text:004015AD ; --------------------------------------------------------------------------- .text:004015AD 
.text:004015AD loc_4015AD:                             ; CODE XREF: sub_401512+83↑j 
.text:004015AD                 push    40h ; '@'       ; unsigned int 
.text:004015AF                 push    offset aCrackme_1 ; "CrackMe" 
.text:004015B4                 push    offset aIncorrectTryAg ; "Incorrect try again!!" 
.text:004015B9                 mov     ecx, [ebp+var_20] ; this 
.text:004015BC                 call    ?MessageBoxA@CWnd@@QAEHPBD0I@Z ; CWnd::MessageBoxA(char .text:004015C1 
.text:004015C1 loc_4015C1:                             ; CODE XREF: sub_401512+71↑j 
.text:004015C1                                         ; sub_401512+99↑j 
.text:004015C1                 mov     esp, ebp 
.text:004015C3                 pop     ebp 
.text:004015C4                 retn 
.text:004015C4 sub_401512      endp 
 
汇编结构来看感觉是 if, elseif, else结构代码为 
 	 	MessageBoxA("Enter Registration Number", "CrackMe", 0x40u);  	else if ( lstrcmpA(String, String2) ) 
 	 	MessageBoxA("Incorrect try again!!", "CrackMe", 0x40u); 
 	else 
 	 	MessageBoxA("Correct way to go!!", "CrackMe", 0x40u); 
 
 
 	CHAR String2[10]="<BrD-SoB>";  	unsigned int var_10; 
 	CHAR String[10]={0};//因为汇编代码中都数组中的值被初始化为0了,所以写成String[10]={0} 
 
 	GetDlgItemTextA(1000, String, 10);  	var_10 = lstrlenA(String);  	if ( var_10<1) 
 	 	MessageBoxA("Enter Registration Number", "CrackMe", 0x40u);  	else if ( lstrcmpA(String, String2) ) 
 	 	MessageBoxA("Incorrect try again!!", "CrackMe", 0x40u); 
 	else 
 	 	MessageBoxA("Correct way to go!!", "CrackMe", 0x40u);

·因为该程序是vc6写的,我自己也用vc6写了一份,因为该crackme引用的dll是 MFC42.DLL 明说不是Debug编译的,Debug编译的是用的MFC42D.DLL,所以

选择用Release编译,第二因为该crackme是用ebp寻找的局部变量,说明没有开 o2优化编译,我个人就选择的无优化编译,最后生成的二进制和原版还有略有差异

·最后输入秘钥 实现破解

·完成自己代码还原的mfc程序以打包到附件了

极安御信安全研究院
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
MFC程序破解flag
01-03
压缩文件包含源程序,ida数据库文件,flag。有兴趣的同学可以尝试一下破解。
适合破解新手的160crackme练手.rar
08-12
适合破解新手的160crackme练手
MFC中快速定位按钮事件的新方式
goat_2003的博客
08-31 701
我在上一篇文章《 如何在MFC中定位按钮事件 》采用了寻找虚函数表的方法来寻找按钮事件,但是用不同版本的VS编译器编译出来的MFC程序,在进入afxWinMain入口前做了非常多的工作,而且在不同版本中所做的内容是不尽相同的。下图左边是vs6.0的MFC的调用堆栈,右边是vs2010的MFC的调用堆栈。 在MFC程序中,有且仅有一个继承自CWinApp的类,而且这个类是全局的,只有一个,程序运行的时候已经初始化了。 1,原理: 继承自CWinApp的类和窗口的类在内存中有 static const A
记:破解MFC程序01
DSQSYSPA的博客
10-20 1921
在很久很久以前,有几个加密过的小程序 然后,他们被我破解了…. 之前我已经破解了第一个加密程序了,现在我们来破解第二个“01”打开之后是这样 好像有一种开保险柜的既视感…运行程序后我们发现每次点击这三个按钮按钮上的数字就会相应的加1根据程序运行的结果来看,我们猜测应该的确是要输入正确的密码,才可以点亮下面的确定按钮那我们就来看代码找了一圈没有找到我们熟悉的main函数…额….对啊!这是MFC
MFC之暴力破解2
jfu22的专栏
10-07 3843
大约一年半载以前,我写了篇《MFC之暴力破解》博文,当时主要的目的是纯技术上的兴趣,刚好拿了一个叫SIMCAP的软件来练手,在接下来的时间里,没想到有很多人问我有没有破解最新的版本,主要是没有时间弄这个哦。   上个周,“等待花开MM”也来询问这件事,哎,看来对这个软件的免费版本需求还是有的,木有办法,就牺牲一个国庆节咯,把SIMCA-13.0 Demo版本给破解了。(感谢“等待花开MM”提供该
适合破解新手的160crackme练手.chw
01-18
适合破解新手的160crackme练手.chw
160Crackme024之Opcode加密1
08-03
2. ebx为指向用户名的指针 3. 将eax和ebx的内容相加 结果保存在eax 4. 然后用户名左移1位 5. 检测用户名是否到了结尾,即循环次数为用户名的
160CrackMe算法分析.chm
最新发布
09-12
我制作的《新160CrackMe算法分析》视频的配套文件,内含全部课件及评分。
160crackme练手.rar
08-23
分享一个逆向练手资源集——160CrackMe,适合新手练习使用。
MFC SKIN++ 2.1破解版和50个皮肤文件
03-31
MFC SKIN++ 2.1破解版和50个皮肤文件,附带使用方法,支持VC6.0~ VC.NET,同时在UNICODE情况下也可以使用.
MFC皮肤skin++2.1破解版
03-22
MFC皮肤 skin++2.1 破解版 赠50个皮肤 内含在VS2005上的详细使用说明
博客文章【OD调试MFC程序按钮事件的捕捉】示例程序
06-07
博客文章【OD调试MFC程序按钮事件的捕捉】示例程序,文章地址:http://blog.csdn.net/ccnyou/article/details/7642776
TeeChart破解版,支持VS,MFC图表利器
12-13
TeeChart Pro 5.0破解版,解决了MFC画图表的难题,只需要简单的安装配置就可以使用。
病毒分析丨一款注入病毒
m0_64973256的博客
06-02 618
由于其中有很多需要解密部分,所以这次动静结合分析。这里设置了dll创建时间=C:\Windows\notepad.exe创建时间。函数1188简单的追了一下,猜测是根据服务器返回信息进行不同操作。其次就是入侵了explorer.exe。一直走下去,函数sub_402A10是关键函数。这几个函数没有看出是干啥的。这里是创建了一个文件,并进行一个注入操作。
160CrackMe之108 mfc程序 寻找按钮事件代码还原(上)
m0_64973256的博客
03-10 396
·前言 虽然网上已经有帖子写160CrackMe,我个人还是以正向的思路来逆向一部分的crackme,还有一些 代码还原的小技巧,挑选出这160CrackMe中由c,c++,汇编编写的程序来来写。vb,delphi现在用 的少些了就不拿来写了。 ·思路分析 先判断该程序是啥语言写的用工具查看一下 是vc6的mfc编写的现在先运行下程序 寻 找按钮Check的按钮事件程序mfc编写的,我自己写个例子,来找按钮事件vs2019创建mfc工程后增加个按钮事件 双击B...
使用IDA定位基于MFCCrackMe的按钮函数-----实践篇(一)
10-30 5071
针对上篇文章,我将分别使用三种方法来定位
网络安全实验02:一个CrackMe
Krumitz的博客
03-14 705
目录 01.基于MFC的简单CrackMe代码 代码: 界面: 效果: 02.IDA解析 03.后记 01.基于MFC的简单CrackMe代码 代码: // MFCApplication1Dlg.cpp: 实现文件 // #include "stdafx.h" #include "MFCApplication1.h" #include "MFCApplication1...
OD逆向crackme
09-02
在 [安全攻防进阶篇] 中还有关于逆向分析两个CrackMe程序的详细教程,包括逆向分析和源码还原的步骤。这些教程将帮助你理解逆向分析的基本概念和技巧,提升你的安全能力。 如果你想深入学习如何使用OllyDbg逆向...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极安御信安全研究院

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值