【逆向入门】 CrackMe160-001 分析思路

LovelyLucy

已于 2022-04-23 16:46:24 修改

阅读量1k

点赞数

文章标签：安全

于 2022-04-23 10:29:29 首次发布

本文链接：https://blog.csdn.net/mastergu2/article/details/124360179

版权

CrackMe160-001

写在前面：这篇文章主要是从逆向小白的视角来分析，可能（肯定）有点笨，但是会比较详细的记录和分析。

爆破分析思路

对于一个文件如何去crack，我认为思路是比操作更重要的，至少有个方向，不然看着满屏的代码头疼。。

观察软件的界面

上面的按钮、输入框和弹出的窗口一般（暂时是这样）都有文字，可以在模块中搜索，快速定位。

以下是搜索字符串的方法

Ollydbg : 鼠标右键

在这里插入图片描述

会进入如图所示的页面（很黑客帝国。。）虽然不能查找但是这里似乎是把所有字符串都列出来了

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JhIkplJd-1650680641268)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220422171319642.png)]$

x64bdg :

在这里插入图片描述

x64bdg比较好的就是可以在这个界面进行搜索，很省事

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sUXRcQhS-1650680641268)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220422172030477.png)]$

当然，最基本的，两款软件在搜索之前都要先进入正确的模块。

这里以x64bdg为例，详细介绍从观察到定位关键跳转的方法。

首先我们在探索完这个软件后发现在输入错误的序列之后会有一个messagebox提示我们输入错误，如图

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nKVrAOIm-1650680641268)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220422172530569.png)]$

那么我们就尝试搜索这个sorry

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EPvWrGl7-1650680641269)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220422172635687.png)]$

发现有两个，我们先点开第一个看看（双击进入）

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PfJ21pIs-1650680641269)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220422172730562.png)]$

在看到代码后要对跳转指令比较敏感，注意找上面有没有跳转指令

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UxsAnje1-1650680641269)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220422172921630.png)]$

0042FA5A这条很明显就是判断是否输入正确，为了绕过下面的0042FA6F，我们这里可以直接修改成jmp强制跳转

修改之后再点击check，似乎没有绕过，我们继续往下面看好了

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Vgav588y-1650680641269)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220422173441945.png)]$

看到这里，结合右边的字符串可以很容易知道0042FB03是关键跳转指令，这里可以直接填充nop使得跳转失效

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-63lo6QnO-1650680641270)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220422173612234.png)]$

再次运行发现已经成功绕过了:）

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yVkkqvRi-1650680641270)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220422173931377.png)]$

本来很激动地完成了，但是在点开吾爱论坛的大佬文章一看，好家伙完全方法不一样，一番学习后有了可以说完全不一样的思路，也就是——

分析调用堆栈的情况

我想这种情况主要适用于没有字符串搜索的时候，毕竟麻烦一点（根据我目前的认知来说）

分析调用堆栈目前来看似乎是使用ollydbg更好一些，在x64bdg上的调用堆栈似乎没有调用函数的说明，如图

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-N2nDV9E2-1650680641270)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220422194448631.png)]$

不过经过反复对比之后发现其实也无关紧要，所以这里还是拿我熟悉的x64dbg来分析:)

首先我们先运行程序，点击check按钮提示sorry后不要关闭，回到x64dbg点击暂停，然后来到调用堆栈

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZZIlvMBQ-1650680641270)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220423092601436.png)]$

（根据我目前的经验）从地址比较接近00400100的，所属方为用户的，并且注释是运行的模块的，也就是图中这一条来查看会比较好。原因是这个才是我们程序内部的函数，而不是动态链接库（.dll文件）模块

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oJfBG4In-1650680641271)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220423093630172.png)]$

点进0042A1AE后呢，可以看到上一个函数调用很明显是MessageBoxA，也就是窗口创建的API，那么我们分析一下，程序的执行流程应该怎样的呢？

假如自己写代码的话，程序的流程应该是：

输入数据->判断数据是否有效->调用MessageBoxA返回结果

那么在调用函数的顺序（大概）就是：

主函数->调用判断函数->（返回判断函数）->调用MessageBox函数->（返回MessageBox函数）

所以可以推理出，既然下一步是调用MessageBox函数，那么上一步就是调用判断函数

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vix6rMGL-1650680641271)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220423101758610.png)]$

所以上一步0042FB37很有可能就是关键的判断函数调用了，双击进入

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lfqlKHzE-1650680641271)(C:\Users\Lucyyy\AppData\Roaming\Typora\typora-user-images\image-20220423101905427.png)]$