Crackme7-笔记

最新推荐文章于 2021-08-19 23:19:01 发布
最新推荐文章于 2021-08-19 23:19:01 发布
阅读量223 收藏
点赞数
分类专栏: Crackme

大神的链接:https://www.52pojie.cn/thread-613691-1-1.html
太难了….搞不定…..看了答案都搞不定…..注册机写不出来…..
一、爆破
找到关键函数和关键跳转即可爆破,简单略
二、破解算法
这里写图片描述
1、进入点击注册键的程序入口点,进入关键函数
这里写图片描述
进入0x442FB9处的关键函数,查看算法

004429A8  /$  55               push ebp
004429A9  |.  8BEC             mov ebp,esp
004429AB  |.  83C4 F4          add esp,-0xC
004429AE  |.  53               push ebx
004429AF  |.  56               push esi
004429B0  |.  57               push edi
004429B1  |.  894D F8          mov [local.2],ecx                        ;  [local.2] = 用户名
004429B4  |.  8955 FC          mov [local.1],edx                        ;  edx = [local.1]
004429B7  |.  8BF8             mov edi,eax                              ;  edi = eax = 182a
004429B9  |.  8B45 F8          mov eax,[local.2]
004429BC  |.  E8 2712FCFF      call aLoNg3x_.00403BE8
004429C1  |.  33C0             xor eax,eax
004429C3  |.  55               push ebp
004429C4  |.  68 7A2A4400      push aLoNg3x_.00442A7A
004429C9  |.  64:FF30          push dword ptr fs:[eax]
004429CC  |.  64:8920          mov dword ptr fs:[eax],esp
004429CF  |.  8B45 F8          mov eax,[local.2]
004429D2  |.  E8 5D10FCFF      call aLoNg3x_.00403A34
004429D7  |.  83F8 04          cmp eax,0x4
004429DA  |.  0F8E 82000000    jle aLoNg3x_.00442A62
004429E0  |.  33DB             xor ebx,ebx                              ;  ebx清零
004429E2  |.  8B45 F8          mov eax,[local.2]
004429E5  |.  E8 4A10FCFF      call aLoNg3x_.00403A34
004429EA  |.  85C0             test eax,eax
004429EC  |.  7E 38            jle short aLoNg3x_.00442A26
004429EE  |.  8945 F4          mov [local.3],eax                        ;  [local.3] = 长度
004429F1  |.  BE 01000000      mov esi,0x1                              ;  esi = 1
004429F6  |>  8B45 F8          /mov eax,[local.2]                       ;  eax = 用户名
004429F9  |.  E8 3610FCFF      |call aLoNg3x_.00403A34
004429FE  |.  83F8 01          |cmp eax,0x1                             ;  eax = 长度
00442A01  |.  7C 1D            |jl short aLoNg3x_.00442A20
00442A03  |>  8B55 F8          |/mov edx,[local.2]                      ;  edx = 用户名
00442A06  |.  0FB65432 FF      ||movzx edx,byte ptr ds:[edx+esi-0x1]    ;  取第一个字母“5”
00442A0B  |.  8B4D F8          ||mov ecx,[local.2]
00442A0E  |.  0FB64C01 FF      ||movzx ecx,byte ptr ds:[ecx+eax-0x1]    ;  取最后一个字母“n"
00442A13  |.  0FAFD1           ||imul edx,ecx                           ;  edx * ecx = 16c6
00442A16  |.  0FAFD7           ||imul edx,edi                           ;  edx = edx * edi
00442A19  |.  03DA             ||add ebx,edx                            ;  ebx = 0
00442A1B  |.  48               ||dec eax                                ;  长度-1
00442A1C  |.  85C0             ||test eax,eax
00442A1E  |.^ 75 E3            |\jnz short aLoNg3x_.00442A03
00442A20  |>  46               |inc esi                                 ;  esi + 1
00442A21  |.  FF4D F4          |dec [local.3]                           ;  长度-1
00442A24  |.^ 75 D0            \jnz short aLoNg3x_.004429F6
00442A26  |>  8BC3             mov eax,ebx                              ;  eax = 0
00442A28  |.  99               cdq
00442A29  |.  33C2             xor eax,edx
00442A2B  |.  2BC2             sub eax,edx                              ;  eax = 0
00442A2D  |.  B9 2A2C0A00      mov ecx,0xA2C2A                          ;  ecx = 0xA2CAA
00442A32  |.  99               cdq
00442A33  |.  F7F9             idiv ecx                                 ;  eax/ecx = eax ...edx
00442A35  |.  8BDA             mov ebx,edx
00442A37  |.  8B45 FC          mov eax,[local.1]                        ;  算法
00442A3A  |.  B9 59000000      mov ecx,0x59
00442A3F  |.  99               cdq
00442A40  |.  F7F9             idiv ecx                                 ;  [local.1]/59取整
00442A42  |.  8BC8             mov ecx,eax
00442A44  |.  8B45 FC          mov eax,[local.1]
00442A47  |.  BE 50000000      mov esi,0x50
00442A4C  |.  99               cdq
00442A4D  |.  F7FE             idiv esi                                 ;  [local.1]/50取余
00442A4F  |.  03CA             add ecx,edx                              ;  加上刚[local.1]/59取整的结果
00442A51  |.  41               inc ecx                                  ;  +1= A4
00442A52  |.  894D FC          mov [local.1],ecx
00442A55  |.  3B5D FC          cmp ebx,[local.1]                        ;  结果与ebx作比较
00442A58  |.  75 04            jnz short aLoNg3x_.00442A5E              ;  关键跳转
00442A5A  |.  B3 01            mov bl,0x1
00442A5C  |.  EB 06            jmp short aLoNg3x_.00442A64
00442A5E  |>  33DB             xor ebx,ebx
00442A60  |.  EB 02            jmp short aLoNg3x_.00442A64

发现程序是,对用户名进行一定的运算后,与[local.1]/0x59取整 + [local.1]/0x50取余 + 1的结果进行比较,如果相同则隐藏按钮,否则不隐藏。
但是算法写不出来…..巨麻烦……日后再写吧…..

2、先直接爆破,将0x442a58处代码nop掉,运行,则成功隐藏register按钮,同时出现again按钮,保存文件。
这里写图片描述
对again按钮点击事件下断,发现关键函数和register按钮的关键函数相同,那就不用对他研究了。

3、仔细研究register关键函数的代码发现,最后算法实现时发现
(edi 老是为0,导致后面的eax老是为0,然后后面整个算法都不懂了,看了大神写的才发现自己太急躁啦,就不能耐心点好好追溯吗??)
这里写图片描述
而edi是由eax赋值而来:
这里写图片描述
而eax是在函数外被ds:[0x445838]赋值:
这里写图片描述
找ds:[0x445838]的来源,发现上次被赋值竟然是在输入注册码不正确时,被跳过了!所以……..考虑是不是得输入错误一次注册码(太难想了吧!!膜拜大神!!服气服气!!)
经过测试果然如此,先输入错误一次注册码(不是全数字即可),程序进入
这里写图片描述

4、那么,对于0x442F86处 mov ds:[0x445838],eax 中的eax是多少呢?所以进入0x442F81函数查看
这里写图片描述
python实现这个算法:

# -*- coding:utf-8 -*-
# 1、根据注册码(字符串)计算eax的值
string = raw_input("请输入注册码:")# 例如:abc123
i = 1
sum = 891 # 0x37B
while i < len(string):
    a = ord(string[i]) % 17 + 1
    b = ord(string[i-1]) * a
    sum =  sum + b
    #print sum
    i += 1
print sum # 6186=0x182a

然后运行,输入正确形式的注册码,则再次断在register入口处,但是这次跳过了非正确输入的代码段,进入关键函数,但是太复杂,搞不懂…..
python实现一点点:

name = raw_input("请输入用户名:")
i = 0
temp = 0
while i < len(name):
    j = len(name) - 1
    while j >= 0:
        temp = temp + ord(name[i]) * ord(name[j]) * sum
        j -= 1
    #print temp
    i += 1
print temp
Angelki
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
新160个CrackMe分析-第1组:1-10(上)
m0_64973256的博客
09-01 874
以前我想过去坚持把160个做完,但没坚持下来,近期总想着每天多多少少做点逆向练习,于是我打算去再次挑战,本次以这个师傅整理的为准进行逆向的练习,去扎实自己的逆向功底。查导入表:除去窗口绘制,消息循环用到的函数,这里还出现了文件操作相关函数,可能跟文件有关,结合上面的字符串搜索信息,应该需要一个CRACKME3.KEY的文件。然后经过一段窗口创建的操作之后,在进入消息循环之前,做了这样一个校验,校验文件内容是否正确,正确就弹框提示,正是通过刚刚push的al进行校验的。
CrackMe007 | 难度适当提高 |160个CrackMe深度解析(图文+视频+注册机源码)
weixin_34309435的博客
02-14 228
作者:逆向驿站微信公众号:逆向驿站知乎:逆向驿站 crackme007,是006的升级版,程序开发者给出的难度是3星,可能是迷惑有点多?个人觉得条线还是比较清晰,难度也不大,依然适合新手 准备 【环境和工具】 win7/xp虚拟机环境 CrackMe007(aLoNg3x.2.exe) ollydbg Dededark 【学习层次】 ...
Crackme6-笔记
I have a dream
04-08 426
大神的链接:https://www.52pojie.cn/thread-610580-1-1.html 一、爆破思路 1、根据Dede找到输入用户名事件的入口处,0x442E04,OD下断,载入运行,输入用户名“52pojie.cn”,则在该处断下,找到关键跳转和关键函数处,noop关键跳转,则确定键可用 2、保存文件。发现输入用户名后,确定键可用;但是当输入验证码后,确定键不能...
Crackme9-笔记
I have a dream
04-16 313
链接:https://www.52pojie.cn/thread-615320-1-1.html https://www.52pojie.cn/thread-265789-1-1.html 【这个感觉还是没有理解透彻……以后再弄】 程序是VB,表示不会 1、搜索关键字/堆栈平衡都可以找到关键跳转,直接nop掉即可。 2、看不懂程序,只看到了有很多的函数_vbaVarForInit、r...
CTF小白学习笔记(Reverse)-i春秋 CrackMe-1
qq_44370676的博客
12-02 1237
主要考察动态调试,不过动态调试的过程就略去了 解题过程 运行一下,大概就是如果输入的是flag就成功: 查壳发现无壳,直接上IDA: 点进DialogFunc 这里关键步骤应该在sub_401210里,如果返回值是751,那就成功了,点进去看看 这里有几个可疑变量,v68, String。经过调试发现v68是个恒定的字符串,长度18,值为: BinGzLFormiChunQiu String就是输入字符串。这里可疑看出输入时36个字符 这个判断就是确保输入的字符都是0-9 A-F, 也就是输入是16进
CrackMe160 学习笔记 之 048
02-19 220
前言 这个题目挺新颖的。 本身不难,但是注册机写的有点心累。 思路 直接从搜索字符串找到点击事件,开始分析。 有个地址保存着所有按钮的ID。 点击不同的按钮会产生不同的值,复杂度取决于概率问题。 值得注意的一点是,作者还混淆了按钮的顺序,怪不得说让我们用资源查看器看。 分析 CHECK 按钮点击事件 00401117 > /33F6 xor esi, e...
[安全攻防进阶篇] 六.逆向分析之OllyDbg逆向CrackMe01-02及加壳判断
热门推荐
杨秀璋的专栏
08-04 1万+
这是作者安全攻防进阶篇,将深入研究恶意样本分析、逆向分析、内网渗透、网络攻防实战等。前文作者讲解了OllyDbg和在线沙箱的逆向分析过程,分享了恶意软件如何通过宏脚本发送勒索信息或密码至用户邮箱。这篇文件将带领大家逆向分析两个CrackMe程序,包括逆向分析和源码还原,基础性文章,希望对您有所帮助。技术路上哪有享乐,为了提升安全能力,别抱怨,干就对了,加油~
CrackMe160 学习笔记 之 023
02-09 264
前言 这个程序需要我们写出注册机。 思路 没有注册按钮。说明是由定时器来判断输入的。 查看API。 找到获取name输入和获取key输入的函数。 在验证函数可以看到如下语句。 004012AE |> \A2 67314000 mov byte ptr [403167], al ; [403167] = al 004012B3 |. 83F8 10 ...
CrackMe160 学习笔记 之 052
02-26 631
前言 这个题目做了我好几天,难度不用我说了吧。 话不多说,先放图。 输入为空 输入小于4个字符 输入大于4个字符 思路 作者没有给我们查找字符串的机会,不过可以找到这个。 很明显就是最后判断的信息。 接着全局查找这条指令,来到点击事件的入口处。 push 0041B208 首先关注的当然是比较的指令了。 00401EB7 8B5404 1C mov ed...
Android逆向实例笔记—破解第一个Android程序_crackme02
sorgs
08-24 6348
一、工具 1.apkIDE 2.蓝叠 二、查看原程序 去看看错误提示 三、反编译 找出错误的地方 四、修改 五、验证
《逆向工程核心原理》学习笔记3 破解abex' crackme #2
EloflyS的博客
02-15 711
《逆向工程核心原理》学习笔记3 破解abex’ crackme #2 这个crackme比前面一个要难得多,因为涉及到VB的函数,加密 而且代码长度也长的多 首先我们打开这个.exe,出现这样的界面 于是我们随便输入一个字符串在Name栏随便输入一个字符串,REVER 然后Serial也填REVER 点击Check发现显示 所以说明我们输入的这个字符串不对 为了解其中的原因 我们将这个.exe放入...
逆向工程核心原理学习笔记(二十七):abex'crackme #2 破解算法
killcoco的小窝
05-25 2012
这次我们来看一下这个程序是如何加密的,我们重新开始我们的调试 然后我们在win7中调试的时候利用查找所有参考字符串并没有我们之前的信息框字符串信息: 我们这一次使用中文搜索引擎-智能搜索: 双击倒数第二个,然后我们知道这是一个信息框的提示信息,所以这应该处于一个按钮的处理函
crackme杂记 003
goat_2003的博客
08-19 157
关于dll劫持的一些补充: 如何寻找dll文件,dll文件储存在两个文件夹中,一个是system32文件夹,一个是SysWOW64文件夹,但是前者储存的却是64位程序运行的环境,后者则是32位程序运行的环境。 如何知道想要劫持的dll是否为系统重点保护的,可以查看注册表里的键值,路径如下,里面的dll都是受系统保护的 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager\knowndlls 当我们想要加载的是64位的dll,
MES数据建模客户端系统
09-09
系统架构: ; C端: UI建模界面,UI数据控件,Entites建模实体; 接口: Http建模实例代理接口,Api建模集成接口; 后台: WebApi建模实例代理服务,WCF数据建模应用服务; 服务: Services建模对象服务,Repository建模方法功能实现; 底层: Orm数据持久化,Session建模事务,Metedata建模逻辑实现; 1.支持名称和带版本名称对象建模实例读取/新增/修改/复制/删除操作功能; 2.支持名称和带版本名称对象建模实例审核履历和关联引用明细查询; 3.支持代码/代码组,原因/原因组,物理,产品,流程,执行,质量和其他等数据建模; 4.支持工作流程可视化生成路由和配置路由表达式(鼠标按住边线拖拽位置);"); 5.支持用户定义查询和标准T-SQL查询数据集功能接口; 建模数据控件:复选、日期时间、时间间隔、枚举输入、消息提示、多行文本、常规数据输入、下拉对象筛选、下拉对象筛选(带版本)、对象列表、集合列表、多集合列表、工作流可视化
python基于Django的二手电子设备交易平台设计与开发毕业论文.docx
09-09
python基于Django的二手电子设备交易平台设计与开发毕业论文.docx
基于 MPPT 的光伏 (PV) 系统simulink.rar
09-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。
springboot基于springboot的游戏创意工坊与推广平台的设计与实现 毕业论文.docx
09-09
springboot基于springboot的游戏创意工坊与推广平台的设计与实现 毕业论文.docx
u22喷气发动机3D数模图纸 STEP格式 附PDF二维图纸.zip
最新发布
09-09
u22喷气发动机3D数模图纸 STEP格式 附PDF二维图纸.zip
OD逆向crackme
09-02
在 [安全攻防进阶篇] 中,有关于逆向分析的教程可以帮助你了解如何使用OllyDbg逆向CrackMe程序。 OllyDbg是一种常用的逆向工具,可以用于分析和修改程序的执行流程和内存。使用内存断点和普通断点,可以在程序执行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值