新160个CrackMe分析-第6组:51-60(下)

最新推荐文章于 2024-07-25 13:22:51 发布
最新推荐文章于 2024-07-25 13:22:51 发布
阅读量366 收藏
点赞数
分类专栏: 游戏安全 网络安全 漏洞 文章标签: 数据库 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64973256/article/details/127560595
版权
网络安全 同时被 3 个专栏收录
79 篇文章 4 订阅
订阅专栏
漏洞
53 篇文章 2 订阅
订阅专栏
游戏安全
24 篇文章 2 订阅
订阅专栏

本文图片未能上传成功请移步公众号:极安御信安全研究院 查看

作者:selph

​• 051-Keygenning4newbies1

• 052-tc.22

• 053-devilz KeyGen me#33

• 054-vcrkme014

• 055-BCG Crackme5

• 056-diablo2oo2’s Crackme 016

• 057-bbbs-crackme047

• 058-CZG-crackme18

• 059-Dope2112.19

• 060-snake10

  1.  056-diablo2oo2's Crackme 01
    算法难度:⭐⭐⭐⭐

    爆破难度:⭐

     信息收集
     运行情况:


   

     查壳与脱壳:






     调试分析
    IDA走起~

    一开始调用了一个call,跟进去







    这个call在是创建窗口的,这里一开始就在填充窗口类,这里有个窗口函数,跟进



   

    老样子,在窗口函数里找nMsg=0x111,wParam=3(通过xspy查的)的分支:

    首先是获取Name,判断长度,合法长度是5--0x20字节



   

    紧接着是一个循环,处理前5个字节,生成5个字节填充到字符数组里,这里有一堆跳转就是确保生成的字节满足大小要求



   

    接下来:再次循环前五字节,以类似的方法生成另外5字节数字填充到字符数组的后面





  

    再往下就是获取序列号了:

    序列号长度必须满足10字节要求

   





    最后就是比对环节:

    取一位序列号,取一位生成字符数组,对生成数组的字符进行处理,处理完成之后,和序列号做对比,相同则判断下一位,全部相同则成功~



   

     注册机
    注册码生成算法:

    string? name = Console.ReadLine();
    char[] nameCheck = new char[11];
    if(name!=null && name.Length >= 5 && name.Length<=0x20)
    {
    // 处理前5字节
    byte i = 5;
    while (i >0)
    {
    byte cl = (byte)name[5 - i];
    cl ^= 0x29;
    cl += i;
    if(cl<0x41 || cl > 0x5A)
    {
    cl = 0x52;
    cl += i;
    }
    nameCheck[5 - i] = (char)cl;
    i–;
    }

    // 处理后五字节
    i = 5;
    while (i > 0)
    {
    byte cl = (byte)name[5 - i];
    cl ^= 0x27;
    cl += i;
    cl += 1;
    if (cl < 0x41 || cl > 0x5A)
    {
    cl = 0x4D;
    cl += i;
    }
    nameCheck[10 - i] = (char)cl;
    i–;
    }

    // 生成序列号
    char[] serial = new char[11];
    i = 0;
    while (i < 10)
    {
    byte dl = (byte)nameCheck[i];
    dl += 5;
    if (dl > 0x5A) dl -= 0x0d;
    dl ^= 0x0c;
    if (dl < 0x41)
    {
    dl = 0x4B;
    dl += i;
    }
    if (dl > 0x5A)
    {
    dl = 0x4B;
    dl -= i;
    }
    serial[i] = (char)dl;
    i++;
    }

    Console.WriteLine(serial);
    }

        效果:

  2.  057-bbbs-crackme04
    算法难度:⭐⭐

    爆破难度:⭐

    反调试:?

     信息收集
     运行情况:
    虚拟机打开提示反调试



   

     查壳与脱壳:
    有壳,壳拖完了还是看不到导入函数名称,算了,直接带壳调试



   

     调试分析
     反调试?
    没错,这里我就是要打一个问号,我还以为用了啥反调试,搞得我不知道是咋回事,程序就是跑不起来,最后发现,这tm就是硬编码的弹窗有调试器然后退出进程,把那个函数nop掉即可

    首先是放在调试器里跑,不管壳,直接跑,跑到弹窗,然后点击暂停,找到弹窗函数调用的地方:



   

    在网上追一层,找到最上面的函数头:是我们熟悉的窗口过程函数,这里是eax保存的是消息码



   

    在cmp eax,133这一行下断点,然后不断运行断下观察,在eax的值为多少之后程序弹窗,过程就不演示了,结果是eax=47时弹的窗

    再次运行,从eax=47这个分支跟下去,单步跟踪,找到跑飞的地方:



   

    程序在这里的int 2b之后,立马就跑飞了,这里进入内核系统调用了,不知道返回到哪里了,这里在执行该指令之前,在内存布局视图中直接给代码段下断点,然后执行:



   

    发现程序停在了刚刚会弹窗提示反调试的函数前面!!这个弹窗call的功能只有一个就是弹窗并退出进程

    所以这里想要不弹窗正常启动软件,就需要把这个call给nop掉!然后跑起来就能进入程序界面了:



   

     注册算法分析
    直接就动态分析吧,这次

    老样子,找窗口函数里控制码是111,参数为3eb的分支:

    逻辑简单明了,获取UserId,获取Password,然后一个call,非0表示成功







    跟进call看看,接下来就用IDA来分析:

    首先是判断输入情况,UserId不能为空,Pasword长度为8位





  

    接下来用UserId计算一个值,用Password计算一个值(atoi),然后异或一个固定值,最后进行比较



   

     注册机
    注册码生成算法:

    #include
    int main()
    {
    char UserId[100] = { 0 };
    std::cin >> UserId;

    unsigned int check = 0x12345678;
    for (size_t i = 0; i < strlen(UserId); i++)
    check = ((check * 2) | (check >> 7)) ^ UserId[i];

    check ^= 0xDDDDDDD0;
    std::cout << std::hex << check;
    }

        效果:

  3.  058-CZG-crackme1
    算法难度:⭐⭐⭐

    爆破难度:⭐

     信息收集
     运行情况:


   

     查壳与脱壳:
    无壳







     调试分析
    直接IDA打开,找到窗口函数,0x111,3eb分支:

    首先是获取输入的两个值

   





    然后这里使用UserName计算了一个数组出来

   





    然后就是计算比较环节,这里很奇怪,这里把数组的地址转成十进制,变成字符串,然后去计算校验码,合着刚刚算的一大堆没用是吧!!!



   

    校验码的计算:

    首先是第一段循环:循环100h次,计算一个数组,数组有100h字节





 

    然后是第二段循环:

    给eax赋初值FFFFFFFFh,然后取一个字节,和ff异或,然后eax右移8位,和数组中的一个4字节异或

    emmm,256个成员的数组,全F的初值,每次循环位移8位,这不就是CRC32算法嘛

   

     注册机
    程序跑起来之后,在生成crc32的数组之后断下来,复制出来直接用,就不用再手动计算数组了

    注册码生成算法:

    #define _CRT_SECURE_NO_WARNINGS
    #include
    unsigned char arr1[8] = {
    0x63, 0x72, 0x61, 0x63, 0x6B, 0x6D, 0x65, 0x00
    };

unsigned char arr2[67] = {
0x36, 0x35, 0x37, 0x75, 0x74, 0x68, 0x75, 0x74, 0x64, 0x75, 0x65, 0x68, 0x64, 0x68, 0x64, 0x68,
0x64, 0x2C, 0x6C, 0x6A, 0x68, 0x67, 0x73, 0x34, 0x73, 0x67, 0x66, 0x34, 0x73, 0x35, 0x73, 0x35,
0x67, 0x73, 0x35, 0x73, 0x67, 0x35, 0x67, 0x34, 0x35, 0x73, 0x34, 0x67, 0x35, 0x64, 0x67, 0x79,
0x73, 0x68, 0x73, 0x74, 0x65, 0x5D, 0x5B, 0x67, 0x66, 0x5D, 0x66, 0x67, 0x5D, 0x66, 0x5D, 0x64,
0x5D, 0x00, 0x00
};

//------------------------------------------------------------
//----------- Created with 010 Editor -----------
//------ www.sweetscape.com/010editor/ ------
//
// File : Untitled1
// Address : 0 (0x0)
// Size : 1024 (0x400)
//------------------------------------------------------------
unsigned char hexData[1024] = {
0x00, 0x00, 0x00, 0x00, 0x96, 0x30, 0x07, 0x77, 0x2C, 0x61, 0x0E, 0xEE, 0xBA, 0x51, 0x09, 0x99,
0x19, 0xC4, 0x6D, 0x07, 0x8F, 0xF4, 0x6A, 0x70, 0x35, 0xA5, 0x63, 0xE9, 0xA3, 0x95, 0x64, 0x9E,
0x32, 0x88, 0xDB, 0x0E, 0xA4, 0xB8, 0xDC, 0x79, 0x1E, 0xE9, 0xD5, 0xE0, 0x88, 0xD9, 0xD2, 0x97,
0x2B, 0x4C, 0xB6, 0x09, 0xBD, 0x7C, 0xB1, 0x7E, 0x07, 0x2D, 0xB8, 0xE7, 0x91, 0x1D, 0xBF, 0x90,
0x64, 0x10, 0xB7, 0x1D, 0xF2, 0x20, 0xB0, 0x6A, 0x48, 0x71, 0xB9, 0xF3, 0xDE, 0x41, 0xBE, 0x84,
0x7D, 0xD4, 0xDA, 0x1A, 0xEB, 0xE4, 0xDD, 0x6D, 0x51, 0xB5, 0xD4, 0xF4, 0xC7, 0x85, 0xD3, 0x83,
0x56, 0x98, 0x6C, 0x13, 0xC0, 0xA8, 0x6B, 0x64, 0x7A, 0xF9, 0x62, 0xFD, 0xEC, 0xC9, 0x65, 0x8A,
0x4F, 0x5C, 0x01, 0x14, 0xD9, 0x6C, 0x06, 0x63, 0x63, 0x3D, 0x0F, 0xFA, 0xF5, 0x0D, 0x08, 0x8D,
0xC8, 0x20, 0x6E, 0x3B, 0x5E, 0x10, 0x69, 0x4C, 0xE4, 0x41, 0x60, 0xD5, 0x72, 0x71, 0x67, 0xA2,
0xD1, 0xE4, 0x03, 0x3C, 0x47, 0xD4, 0x04, 0x4B, 0xFD, 0x85, 0x0D, 0xD2, 0x6B, 0xB5, 0x0A, 0xA5,
0xFA, 0xA8, 0xB5, 0x35, 0x6C, 0x98, 0xB2, 0x42, 0xD6, 0xC9, 0xBB, 0xDB, 0x40, 0xF9, 0xBC, 0xAC,
0xE3, 0x6C, 0xD8, 0x32, 0x75, 0x5C, 0xDF, 0x45, 0xCF, 0x0D, 0xD6, 0xDC, 0x59, 0x3D, 0xD1, 0xAB,
0xAC, 0x30, 0xD9, 0x26, 0x3A, 0x00, 0xDE, 0x51, 0x80, 0x51, 0xD7, 0xC8, 0x16, 0x61, 0xD0, 0xBF,
0xB5, 0xF4, 0xB4, 0x21, 0x23, 0xC4, 0xB3, 0x56, 0x99, 0x95, 0xBA, 0xCF, 0x0F, 0xA5, 0xBD, 0xB8,
0x9E, 0xB8, 0x02, 0x28, 0x08, 0x88, 0x05, 0x5F, 0xB2, 0xD9, 0x0C, 0xC6, 0x24, 0xE9, 0x0B, 0xB1,
0x87, 0x7C, 0x6F, 0x2F, 0x11, 0x4C, 0x68, 0x58, 0xAB, 0x1D, 0x61, 0xC1, 0x3D, 0x2D, 0x66, 0xB6,
0x90, 0x41, 0xDC, 0x76, 0x06, 0x71, 0xDB, 0x01, 0xBC, 0x20, 0xD2, 0x98, 0x2A, 0x10, 0xD5, 0xEF,
0x89, 0x85, 0xB1, 0x71, 0x1F, 0xB5, 0xB6, 0x06, 0xA5, 0xE4, 0xBF, 0x9F, 0x33, 0xD4, 0xB8, 0xE8,
0xA2, 0xC9, 0x07, 0x78, 0x34, 0xF9, 0x00, 0x0F, 0x8E, 0xA8, 0x09, 0x96, 0x18, 0x98, 0x0E, 0xE1,
0xBB, 0x0D, 0x6A, 0x7F, 0x2D, 0x3D, 0x6D, 0x08, 0x97, 0x6C, 0x64, 0x91, 0x01, 0x5C, 0x63, 0xE6,
0xF4, 0x51, 0x6B, 0x6B, 0x62, 0x61, 0x6C, 0x1C, 0xD8, 0x30, 0x65, 0x85, 0x4E, 0x00, 0x62, 0xF2,
0xED, 0x95, 0x06, 0x6C, 0x7B, 0xA5, 0x01, 0x1B, 0xC1, 0xF4, 0x08, 0x82, 0x57, 0xC4, 0x0F, 0xF5,
0xC6, 0xD9, 0xB0, 0x65, 0x50, 0xE9, 0xB7, 0x12, 0xEA, 0xB8, 0xBE, 0x8B, 0x7C, 0x88, 0xB9, 0xFC,
0xDF, 0x1D, 0xDD, 0x62, 0x49, 0x2D, 0xDA, 0x15, 0xF3, 0x7C, 0xD3, 0x8C, 0x65, 0x4C, 0xD4, 0xFB,
0x58, 0x61, 0xB2, 0x4D, 0xCE, 0x51, 0xB5, 0x3A, 0x74, 0x00, 0xBC, 0xA3, 0xE2, 0x30, 0xBB, 0xD4,
0x41, 0xA5, 0xDF, 0x4A, 0xD7, 0x95, 0xD8, 0x3D, 0x6D, 0xC4, 0xD1, 0xA4, 0xFB, 0xF4, 0xD6, 0xD3,
0x6A, 0xE9, 0x69, 0x43, 0xFC, 0xD9, 0x6E, 0x34, 0x46, 0x88, 0x67, 0xAD, 0xD0, 0xB8, 0x60, 0xDA,
0x73, 0x2D, 0x04, 0x44, 0xE5, 0x1D, 0x03, 0x33, 0x5F, 0x4C, 0x0A, 0xAA, 0xC9, 0x7C, 0x0D, 0xDD,
0x3C, 0x71, 0x05, 0x50, 0xAA, 0x41, 0x02, 0x27, 0x10, 0x10, 0x0B, 0xBE, 0x86, 0x20, 0x0C, 0xC9,
0x25, 0xB5, 0x68, 0x57, 0xB3, 0x85, 0x6F, 0x20, 0x09, 0xD4, 0x66, 0xB9, 0x9F, 0xE4, 0x61, 0xCE,
0x0E, 0xF9, 0xDE, 0x5E, 0x98, 0xC9, 0xD9, 0x29, 0x22, 0x98, 0xD0, 0xB0, 0xB4, 0xA8, 0xD7, 0xC7,
0x17, 0x3D, 0xB3, 0x59, 0x81, 0x0D, 0xB4, 0x2E, 0x3B, 0x5C, 0xBD, 0xB7, 0xAD, 0x6C, 0xBA, 0xC0,
0x20, 0x83, 0xB8, 0xED, 0xB6, 0xB3, 0xBF, 0x9A, 0x0C, 0xE2, 0xB6, 0x03, 0x9A, 0xD2, 0xB1, 0x74,
0x39, 0x47, 0xD5, 0xEA, 0xAF, 0x77, 0xD2, 0x9D, 0x15, 0x26, 0xDB, 0x04, 0x83, 0x16, 0xDC, 0x73,
0x12, 0x0B, 0x63, 0xE3, 0x84, 0x3B, 0x64, 0x94, 0x3E, 0x6A, 0x6D, 0x0D, 0xA8, 0x5A, 0x6A, 0x7A,
0x0B, 0xCF, 0x0E, 0xE4, 0x9D, 0xFF, 0x09, 0x93, 0x27, 0xAE, 0x00, 0x0A, 0xB1, 0x9E, 0x07, 0x7D,
0x44, 0x93, 0x0F, 0xF0, 0xD2, 0xA3, 0x08, 0x87, 0x68, 0xF2, 0x01, 0x1E, 0xFE, 0xC2, 0x06, 0x69,
0x5D, 0x57, 0x62, 0xF7, 0xCB, 0x67, 0x65, 0x80, 0x71, 0x36, 0x6C, 0x19, 0xE7, 0x06, 0x6B, 0x6E,
0x76, 0x1B, 0xD4, 0xFE, 0xE0, 0x2B, 0xD3, 0x89, 0x5A, 0x7A, 0xDA, 0x10, 0xCC, 0x4A, 0xDD, 0x67,
0x6F, 0xDF, 0xB9, 0xF9, 0xF9, 0xEF, 0xBE, 0x8E, 0x43, 0xBE, 0xB7, 0x17, 0xD5, 0x8E, 0xB0, 0x60,
0xE8, 0xA3, 0xD6, 0xD6, 0x7E, 0x93, 0xD1, 0xA1, 0xC4, 0xC2, 0xD8, 0x38, 0x52, 0xF2, 0xDF, 0x4F,
0xF1, 0x67, 0xBB, 0xD1, 0x67, 0x57, 0xBC, 0xA6, 0xDD, 0x06, 0xB5, 0x3F, 0x4B, 0x36, 0xB2, 0x48,
0xDA, 0x2B, 0x0D, 0xD8, 0x4C, 0x1B, 0x0A, 0xAF, 0xF6, 0x4A, 0x03, 0x36, 0x60, 0x7A, 0x04, 0x41,
0xC3, 0xEF, 0x60, 0xDF, 0x55, 0xDF, 0x67, 0xA8, 0xEF, 0x8E, 0x6E, 0x31, 0x79, 0xBE, 0x69, 0x46,
0x8C, 0xB3, 0x61, 0xCB, 0x1A, 0x83, 0x66, 0xBC, 0xA0, 0xD2, 0x6F, 0x25, 0x36, 0xE2, 0x68, 0x52,
0x95, 0x77, 0x0C, 0xCC, 0x03, 0x47, 0x0B, 0xBB, 0xB9, 0x16, 0x02, 0x22, 0x2F, 0x26, 0x05, 0x55,
0xBE, 0x3B, 0xBA, 0xC5, 0x28, 0x0B, 0xBD, 0xB2, 0x92, 0x5A, 0xB4, 0x2B, 0x04, 0x6A, 0xB3, 0x5C,
0xA7, 0xFF, 0xD7, 0xC2, 0x31, 0xCF, 0xD0, 0xB5, 0x8B, 0x9E, 0xD9, 0x2C, 0x1D, 0xAE, 0xDE, 0x5B,
0xB0, 0xC2, 0x64, 0x9B, 0x26, 0xF2, 0x63, 0xEC, 0x9C, 0xA3, 0x6A, 0x75, 0x0A, 0x93, 0x6D, 0x02,
0xA9, 0x06, 0x09, 0x9C, 0x3F, 0x36, 0x0E, 0xEB, 0x85, 0x67, 0x07, 0x72, 0x13, 0x57, 0x00, 0x05,
0x82, 0x4A, 0xBF, 0x95, 0x14, 0x7A, 0xB8, 0xE2, 0xAE, 0x2B, 0xB1, 0x7B, 0x38, 0x1B, 0xB6, 0x0C,
0x9B, 0x8E, 0xD2, 0x92, 0x0D, 0xBE, 0xD5, 0xE5, 0xB7, 0xEF, 0xDC, 0x7C, 0x21, 0xDF, 0xDB, 0x0B,
0xD4, 0xD2, 0xD3, 0x86, 0x42, 0xE2, 0xD4, 0xF1, 0xF8, 0xB3, 0xDD, 0x68, 0x6E, 0x83, 0xDA, 0x1F,
0xCD, 0x16, 0xBE, 0x81, 0x5B, 0x26, 0xB9, 0xF6, 0xE1, 0x77, 0xB0, 0x6F, 0x77, 0x47, 0xB7, 0x18,
0xE6, 0x5A, 0x08, 0x88, 0x70, 0x6A, 0x0F, 0xFF, 0xCA, 0x3B, 0x06, 0x66, 0x5C, 0x0B, 0x01, 0x11,
0xFF, 0x9E, 0x65, 0x8F, 0x69, 0xAE, 0x62, 0xF8, 0xD3, 0xFF, 0x6B, 0x61, 0x45, 0xCF, 0x6C, 0x16,
0x78, 0xE2, 0x0A, 0xA0, 0xEE, 0xD2, 0x0D, 0xD7, 0x54, 0x83, 0x04, 0x4E, 0xC2, 0xB3, 0x03, 0x39,
0x61, 0x26, 0x67, 0xA7, 0xF7, 0x16, 0x60, 0xD0, 0x4D, 0x47, 0x69, 0x49, 0xDB, 0x77, 0x6E, 0x3E,
0x4A, 0x6A, 0xD1, 0xAE, 0xDC, 0x5A, 0xD6, 0xD9, 0x66, 0x0B, 0xDF, 0x40, 0xF0, 0x3B, 0xD8, 0x37,
0x53, 0xAE, 0xBC, 0xA9, 0xC5, 0x9E, 0xBB, 0xDE, 0x7F, 0xCF, 0xB2, 0x47, 0xE9, 0xFF, 0xB5, 0x30,
0x1C, 0xF2, 0xBD, 0xBD, 0x8A, 0xC2, 0xBA, 0xCA, 0x30, 0x93, 0xB3, 0x53, 0xA6, 0xA3, 0xB4, 0x24,
0x05, 0x36, 0xD0, 0xBA, 0x93, 0x06, 0xD7, 0xCD, 0x29, 0x57, 0xDE, 0x54, 0xBF, 0x67, 0xD9, 0x23,
0x2E, 0x7A, 0x66, 0xB3, 0xB8, 0x4A, 0x61, 0xC4, 0x02, 0x1B, 0x68, 0x5D, 0x94, 0x2B, 0x6F, 0x2A,
0x37, 0xBE, 0x0B, 0xB4, 0xA1, 0x8E, 0x0C, 0xC3, 0x1B, 0xDF, 0x05, 0x5A, 0x8D, 0xEF, 0x02, 0x2D
};

int main()
{
char name[100] = { 0 };
std::cin >> name;
int len = strlen(“plmm: 0xAAAAAAAA”);

// 没用!!!!
//char str[100] = { 0 };
//for (size_t i = 0; i < 6; i++)
//{
//  char tmp = arr1[i] & arr2[i];
//  name[i] = tmp;
//  name[i] &= arr1[i];
//  name[i] ^= arr2[i];
//  name[i] += i;
//  str[i] = name[i];
//}

const char* str1 = "4339744";
unsigned int eax = 0xFFFFFFFF;
for (int i = 0; i < 6; i++)
{
    unsigned char edx = str1[i];
    edx ^= eax;
    eax >>= 8;
    eax ^= *(unsigned int*)(hexData +edx*4);
}
eax ^= 0xffffffff;
 
char check_code[100] = { 0 };
sprintf(check_code,"plmm: 0x%08X",eax);
std::cout << check_code;

}

       效果:







    

        总结
       应该是代码写错了,按理说应该是用Name生成一个数组,然后用生成的这个数组计算crc,程序员写成了用生成数组的地址计算crc,一下子变成硬编码了

  1.  059-Dope2112.1
    算法难度:⭐⭐⭐(跳转表)

    爆破难度:⭐

     信息收集
     运行情况:


   

     查壳与脱壳:
   

     调试分析
    老版本delphi程序

    输入错误信息,看提示:

   

    通过x86dbg去搜索字符串,找到这个校验函数:sub_421B84,去IDA里搜索这个位置,然后同时用DelphiDecompiler打开这个程序辅助分析

    首先是处理一下输入,用户名需要大于等于6字符,然后全部变成小写











    然后是进入循环了,取一个字节,减去'a',然后以此为索引去跳转,这就是switch-case语句的跳转表的形式,每个分支都有不同的处理



    跳转分支里的内容是赋值,然后出来之后就是把赋值的值累加到1字节里,总共循环6次

   

    再往下就是常规的字符串拼接和对比了:



   

     注册机
    注册码生成算法:

    #include
    #include
    #include
    using namespace std;
    int main()
    {
    string name=“”;
    string serial=“”;
    int len;

    std::cin >> name;
    len = name.length();
    transform(name.begin(), name.end(), name.begin(), ::tolower);

    uint8_t dl;
    uint8_t bl=0;
    for (int i = 0; i != 6; ++i)
    {
    switch (name[i])
    {
    case ‘a’:
    dl = 24;
    break;
    case ‘b’:
    dl = 37;
    break;
    case ‘c’:
    dl = 66;
    break;
    case ‘d’:
    dl = 12;
    break;
    case ‘e’:
    dl = 13;
    break;
    case ‘f’:
    dl = 6;
    break;
    case ‘g’:
    dl = 54;
    break;
    case ‘h’:
    dl = 43;
    break;
    case ‘i’:
    dl = 23;
    break;
    case ‘j’:
    dl = 47;
    break;
    case ‘k’:
    dl = 19;
    break;
    case ‘l’:
    dl = -126;
    break;
    case ‘m’:
    dl = -101;
    break;
    case ‘n’:
    dl = -110;
    break;
    case ‘o’:
    dl = 3;
    break;
    case ‘p’:
    dl = 99;
    break;
    case ‘q’:
    dl = 33;
    break;
    case ‘r’:
    dl = 66;
    break;
    case ‘s’:
    dl = 92;
    break;
    case ‘t’:
    dl = 41;
    break;
    case ‘u’:
    dl = -57;
    break;
    case ‘v’:
    dl = 102;
    break;
    case ‘w’:
    dl = 88;
    break;
    case ‘x’:
    dl = 10;
    break;
    case ‘y’:
    dl = 40;
    break;
    case ‘z’:
    dl = 80;
    break;
    default:
    dl = 93;
    break;
    }
    bl += dl;
    }
    cout << (int)bl << “-” << len * 0x4a7e;
    }

        效果:

  2.  060-snake
    算法难度:⭐⭐⭐⭐⭐

    爆破难度:⭐

     信息收集
     运行情况:
   

     查壳与脱壳:
   

     调试分析
     Check按钮事件
    老样子,IDA打开,找到Check按钮的事件分支:

    首先是获取Name和Serial,为空会提示

   

    然后一个call验证Serial合法性,不行就弹窗提示

   

    这个call的内容如下:判断内容要由数字和大写字母组成







    再往下就是三个call和弹窗提示验证是否成功了:

   



     验证过程--第1个Call
    验证过程主要是3个call

    首先是第一个call:

    内容较少,简单来说就是填充数组

    填充16个FF,然后填充16*16个00,然后再填充16个FF

   

     验证过程--第2个Call
    第2个Call内容多点

    首先是对输入的Name进行处理,累加每一个字符,得到一个累加值,保存到dl

   

    接下来生成CC,通过累加值dl和取出来的字节进行异或,得到数组索引,该位置是0就往该位置填充CC,计数CC的数量

    累加值异或字节,然后用过的累加值再减去字节值,来使得CC随机分布,但最终取决于输入的Name

   

    再往下就是填充DD,总共填充一个,接着用刚刚填充CC的位置计算方法进行

   

    再往后就是填充99:

    直接用计算到最后的dl作为索引进行,如果是00,就填充为99,否则就往前挪一格再次判断,最后保存99的地址

   

    使用字符串selph生成一个地图看看:

   

     验证过程--第3个Call
    到这里已经很明显的感觉到了,16*16的地图,生成了很多CC,然后有一个DD,一个99,再加上程序名snake,这就是一个贪吃蛇啊

    第一个call开辟空间,第二个call布置场地,第三个call理所应当就是开始游戏了!

    首先获取当前位置和序列号,通过序列号的输入来进行移动

    首先是判断输入是否是数字,是数字则直接进行移动,这里的移动是通过加减数组的索引进行的

    判断方式是这样进行的:取数字的后两位:

– 00:向下一格

– 01:向上一格

– 10:向左一格

– 11:向右一格

       如果数字不只是后两位有值,则执行完用前两位再次走一遍判断,比如9,就是1001,就是上左移动一格,如果输入的是大写字母的话,也是类似的,具体可见反汇编这一段的计算过程



      

       计算完移动方向之后,该进行移动判断了:

       如果下一个位置是0,或者CC,都跳转去执行,如果是99则返回0失败,如果是DD且没吃完CC,也返回0失败,如果是CC吃完了,就是返回1成功

      

       首先看如果下一个位置是00怎么处理:

       调用一个call,就是走格子用的,然后判断是否有高2位,有的话再按高2位走一遍,没有的话,获取下一个字符进入下一个循环

      

       接下来看看这个走格子的call:

       首先是获取当前格子的新位置,起始位置,把新位置写入99,把当前位置写入00

       然后edi+4进行判断,edi里装的是个数组,数组成员是当前蛇的身子的位置,当长度大于1的时候,edi+4就是第二个位置,有值的时候,把刚刚写入0的位置作为新位置,把身子的位置作为当前位置,再次进行相同的操作

       视觉效果就是,身子跟着头一起移动了

      

       回到刚刚的循环里,如果移动遇到了CC则再次执行这个移动的函数,同时给count计数-1,这个count变量保存的是当前场上CC的数量

       然后把这个函数清零的位置变成99,也就是让蛇身子最后一个位置本来清零了,结果又填充回99,同时把新的位置加入到身子数组里



      

       到这里,整个程序的逻辑分析完整了,就是贪吃蛇,吃完所有CC走到DD即可验证通过

        注册机
       注册码生成算法:

 #include

#include
using namespace std;

uint8_t areas[18][16] = {0};
uint8_t countCC = 0;
uint8_t snake[10][2] = {0};
uint8_t pos[10][2] = { 0 };

void GenerateAreas(string str) {
// 场地生成
memset(&areas[0], 0xFF, 0x10);
memset(&areas[1], 0, 0x100);
memset(&areas[17], 0xFF, 0x10);

// 填充CC
uint8_t* areasBegin = (uint8_t*)&areas[1];
uint8_t sum = 0;
uint8_t tmp = 0;
for (auto var : str) sum += var;
for (auto var : str) {
    tmp = var ^ sum;
    sum -= tmp;
    *(areasBegin + tmp) = 0xCC;
    // 保存坐标
    pos[countCC][0] = tmp / 16;
    pos[countCC][1] = tmp % 16;
    countCC++;
}

// 填充DD
sum ^= tmp;
for (; *(areasBegin + (tmp -= sum)) == 0xCC; sum--);
*(areasBegin + tmp) = 0xDD;
pos[countCC][0] = tmp / 16;
pos[countCC][1] = tmp % 16;;

// 填充99
tmp = sum;
for (; *(areasBegin + tmp) == 0xCC || *(areasBegin + tmp) == 0xDD; tmp--);
*(areasBegin + tmp) = 0x99;
snake[0][0] = tmp / 16;
snake[0][1] = tmp % 16;
countCC++;

}

int main()
{
GenerateAreas(“selph”);

// 生成注册码:长度短的情况下,不用考虑自己咬到自己
uint8_t x = snake[0][0];
uint8_t y = snake[0][1];
for (int i = 0; i         uint8_t xCC = pos[i][0];
    uint8_t yCC = pos[i][1];
    if (yCC - y >= 0) for (int i = 0; i < yCC - y; i++)cout << "3";
    else for (int i = 0; i < y - yCC; i++)cout << "2";

    if (xCC - x >= 0) for (int i = 0; i < xCC - x; i++)cout << "0";
    else for (int i = 0; i < x - xCC; i++)cout << "1";

    x = xCC;
    y = yCC;
}

}

       效果:

 selph

33333333333333311222222200000031111333111111222200000000000

        总结

有趣的验证方式,通过输入的用户名生成贪吃蛇地图,通过密码来进行移动,吃完豆子CC,走到终点DD算验证通过,很有趣的一次逆向体验

极安御信安全研究院
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
160个CrackMe分析-第4组:31-40(上)
m0_64973256的博客
09-23 220
循环遍历每一个字符,序列号如果说是纯数字,那么减去0x30就相当于是把字符数字变成整数类型的数字,然后每次操作一个数字累加到edi之前就先乘以一次10,那么这个逻辑就相当于是字符串转整型的操作。到了上一层:看到的是个窗口过程函数,这里在比对消息码,这里弹窗往上有个DialogBoxParamA的调用,应该就是创建Register对话框的函数,所以跟进这里的窗口过程。获取完成输入之后,对用户名进行一个处理,然后对序列号进行一个处理,就进行对比,如果相同,则跳转。
攻防世界--crackme
weixin_30876945的博客
09-10 331
测试文件:https://adworld.xctf.org.cn/media/task/attachments/088c3bd10de44fa988a3601dc5585da8.exe 1.准备 获取信息 32位文件 北斗压缩壳(nsPack) 1.脱壳 1.1 OD打开(esp定律法) Word或者DWord都可以 ...
CrackMe006 | 160个crackme精解系列(图文+视频+注册机源码)
weixin_34365635的博客
01-29 491
作者:逆向驿站微信公众号:逆向驿站知乎:逆向驿站 crackme006,依然是delphi的,而且没壳子,条线比较清晰,算法也不难,非常适合入门的来练习.快过年了,Crackme系列年前就停更在006吧,祝大家年666 ,年后继续 准备 【环境和工具】 win7/xp虚拟机环境 CrackMe006(aLoNg3x.1.exe)...
Diablo 2oo2’s CrackMe 2 算法分析
loveboom's Reverse Enginering
06-19 2481
【目     标】:Diablo 2oo2’s CrackMe 2【工     具】:IDA 4.7 【任     务】:算法分析 【操作平台】:Windows 2003 server 【作     者】: LOVEBOOM[DFCG][FCG][US]【相关链接】: 见附件【简要说明】: 用IDA再分析一篇简单的算法。【详细过程】:        因为CRACKME是用masm写的,所以非常方便
160个CrackMe分析-第6组:51-60(上)
m0_64973256的博客
10-27 509
本文图片未能上传成功请移步公众号:极安御信安全研究院 查看作者:selph。
160个CrackMe算法分析.chm
09-12
我制作的《160个CrackMe算法分析》视频的配套文件,内含全部课件及评分。
crackme-with-angr:一个小裂纹,很容易被愤怒炸毁
03-20
crackme-with-angr:一个小裂纹,很容易被愤怒炸毁
适合破解手的160个crackme练手.rar
08-12
适合破解手的160个crackme练手
适合破解手的160个crackme练手.zip
06-03
适合破解手的160个crackme练手.chm,结合ollydbg等工具可以很好的掌握
适合破解手的160个crackme练手.chw
01-18
适合破解手的160个crackme练手.chw
基于JSP的高校信息资源共享平台
heye0910032的博客
07-22 671
高校信息资源共享平台的开发和实现,为高校信息资源的管理和共享提供了一个有效的解决方案。通过使用JSP技术和MySQL数据库,本系统实现了一个稳定、安全、易用的高校信息资源管理平台。虽然在开发过程中遇到了一些技术挑战,但通过不断学习和实践,最终完成了一个能够满足用户需求的系统。未来,我们将继续优化系统功能,提升用户体验,以期达到更高的应用价值和社会效益。高校信息资源共享平台的开发和实现,为高校信息资源的管理和共享提供了一个有效的解决方案。
04-用户画像+sqoop使用
weixin_46567476的博客
07-21 564
sqoop的作用是实现数据的导入和导出,主要是对数据库和数据仓库之间的操作。qoop脚本就是将sqoop指令写入shell文件 后缀是 .sh。只要是支持jdbc连接的数据库都可以使用sqoop操作。
redis常用指令
m0_62289159的博客
07-22 785
redis常用指令
Django cursor()增删改查和shell环境执行脚本
人生苦短,何妨一试
07-21 480
在Django中,cursor()方法是DatabaseWrapper对象(由django.db.connectio提供)的一个方法,用于创建一个游标对象。这个游标对象可以用来执行SQL命令,从而实现对数据库的增删改查操作。使用cursor.execute()方法执行SQL查询语句,可以获取数据库中的数据。查询your_table表中的所有记录。执行查询后,你可以使用cursor.fetchall()或cursor.fetchone()等方法来获取查询结果。
sqlalchemy使用json_unquote函数的mysql like查询
ithongchou的博客
07-23 1167
为您自己的数据库连接信息,并根据实际表结构修改模型类。函数查询MySQL JSON字段可以通过使用。下面是一个示例,假设有一个名为。请确保替换示例代码中的数据库连接字符串(在SQLAlchemy中使用。的表,其中包含一个名为。
MongoDB教程(十五):MongoDB原子操作
菜鸟小码的博客
07-21 843
在多线程或分布式环境中,保证数据一致性是一项重大挑战。原子操作是解决这一问题的关键技术之一,它确保一系列操作要么全部成功,要么全部失败,从而维持数据的完整性和一致性。MongoDB 提供了一系列内置的原子操作,使开发者能够轻松地在数据库层面实现事务性和数据完整性。本文将深入探讨 MongoDB 中的原子操作,包括更、插入和删除操作的原子性,并通过具体案例代码展示如何在实际应用中运用这些原子操作。
雪花算法及MP实现方式
最新发布
zhuge_long的专栏
07-25 601
不过,这个主键自增长的方案好不好呢?如果发现有时钟回拨,时间很短比如 5 毫秒,就等待,然后再生成。面试常问:如果是并发量高,同一台机器一毫秒有5000个id,那么id会不会重复,不会,根据源码如果一毫秒内超过4096个id,则会阻塞到下一毫秒再生成。原生的 Snowflake 算法是完全依赖于时间的,如果有时钟回拨的情况发生,会生成重复的 ID,市场上的解决方案也是不少。如果发现有时钟回拨,时间很短比如 3 毫秒(一般大于3毫秒就不建议等待),就等待(线程睡3秒再来生成id),然后再生成。
通过Docker安装KingbaseES V8并激活开发License
weimeilayer的博客
07-24 132
首先,我们可以去KingbaseES的官网(https://www.kingbase.com.cn/xzzx/index.htm ,在软件版本中,注意下载的镜像为x86版本)下载docker镜像,下载完成后导入即可。简单介绍一下在Docker中安装人大金仓(KingbaseES V9)的过程,以及如何更换默认的License为官方提供的365天有效期的开发License。下面的安装过程都是在WSL2中完成的。我们可以通过下面的命令从宿主来直接查看KingbaseES的版本。启动容器,可以直接下面的脚本。
SuperMap GIS基础产品FAQ集锦(20240715)
SuperMap技术控
07-22 800
SuperMap GIS基础产品FAQ集锦(20240715)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

极安御信安全研究院

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值