逆向
文章平均质量分 91
_KaQqi
你猜
展开
-
160个CrackMe之11
我不是大神,只是一个菜鸟,所以文章中有哪里不对的地方还请各位大佬们指出。 0x0 寻找验证函数 仔细看一下CM 发现没有任何验证的地方,于是我猜测应该有个时钟或者线程在一直验证注册码是否正确。 直接给SetWindowTextA下断点,然后点击按钮1即可断下。 返回到0x004035A1处,向上滚动滚轮找到函数头0x004034E0处,下断点然后F9 再点击刚才的按钮即可断下。 这段原创 2017-09-16 20:25:30 · 557 阅读 · 0 评论 -
一个ReverseMe的算法分析
这个ReverseMe是我一年前写的,不过现在源代码丢了而且怎么写的也忘了。正好昨天逛一个论坛的时候看到了那个CM,就顺便下载玩了玩(也算是重温了一下),于是就有了这篇文章。 因为篇幅有限 我就写写关键的地方。 0x0 寻找算法地址 直接来到main函数(0x004019B2)处。 程序首先获取ntdll!ZwContinue函数的地址,然后保存到0x00417F7C处。004019BE原创 2017-09-26 22:40:24 · 452 阅读 · 0 评论 -
160个CrackMe之123
我并不是大神,所以哪里写的不对,还请各位大佬们指出来。0x0 分析算法 OD载入,搜索字符串,发现关键函数0x004013C0,给这个函数下断点,然后随便输入一串注册码,程序成功断下。首先,程序将字符串”ABCDEFGHIJKLMNOPQRSTUVWXYZ”拷贝到一个新的地址处00401421 B9 06000000 mov ecx, 0x600401426 BE 4原创 2017-10-01 18:03:00 · 792 阅读 · 0 评论 -
160个CrackMe之91
个人感觉这个CM是我玩过的最另类的一个了,如果有什么不对的地方还请各位大佬更正。 0x0 寻找按钮事件 OD载入,发现程序打开crueme.dat文件,如果打开失败则提示错误然后结束程序。00401043 6A 00 push 0x000401045 68 80000000 push 0x800040104A 6A 03原创 2017-10-01 13:19:05 · 508 阅读 · 0 评论 -
160个CrackMe之41
因为这是我做的第一个PatchMe,所以哪里不对还请大佬们指出来。 0x0 初探 首先,程序有一个rules.txt,内容如下: 下载以后,发现CM中有一个rules.txt,内容如下: 只看得懂一部分,大致是说,给Exit菜单添加代码,单击的时候弹出一个信息框,内容是”Do you fickbirne really want to quit?”,如果点[是]就退出,否则不退出。打开CM看一原创 2017-10-21 23:54:25 · 445 阅读 · 0 评论 -
160个CrackMe之51
我不是大神,所以文章哪里写的不对的地方还请各位大佬指出。 直接来到算法部分0x0040104B处,分析发现算法很简短,主要分成了两部分。 第一部分:0040105C A1 21214000 mov eax, dword ptr [0x402121] ; 注册码的前四个字节00401061 B9 02000000 mov ecx, 0x2原创 2017-10-15 12:59:13 · 295 阅读 · 0 评论 -
SWPU RE类第二题WP
这道题目满分刚好是100分。。。 程序有ASLR,用FFI去掉方便分析。 去掉以后,OD载入,F9运行,给GetWindowTextA下端点,然后输入一个注册码就可以断下。 F8单步回到004026A6处后,CM判断注册码的字节数,如果不是16个字节就返回。 删掉之前设置的所有断点,在004026BE处下一个断点。这样输入16个字节就可以断下了。 然后CM重新计算了注册码的长度原创 2017-11-02 22:03:19 · 344 阅读 · 0 评论 -
2017HCTF第一题WP
0x0 初探 先用PEID查看一下CM的信息 从图中可以发现,程序使用Debug的编译方式编译且有一个TLS回调函数。 因为程序有ASLR,不方便分析,因此我用FFI去掉后再继续分析。 1x0 分析TLS回调函数 OD载入,断在TLS入口处。 一共有四个函数,其中前两个我们需要关注一下。因为这两个函数是反调试的函数。 1x1 分析函数 0041141A CM先创建一个原创 2017-11-12 19:33:12 · 625 阅读 · 0 评论 -
一个CrackMe的分析
0x00 初探 程序有ASLR,不方便分析,使用FFI去掉。 OD载入后,发现程序退出。 给ExitProcess下断点,然后重新载入程序,成功断下。修改代码为retn 4即可。 此时即可使用OD调试。运行后,[确认]按钮是禁止状态。 0x01 寻找编辑框的输入事件 用彗星探测一下编辑框的句柄 给GetWindowTextW下条件断点。 输入一个字节即可断下。原创 2017-12-10 18:52:09 · 810 阅读 · 1 评论