2019年04月_鬼手56

原创脚本类恶意程序分析技巧汇总

文章目录前言python样本分析打包一个hello world关于python文件什么是pyc文件什么是pyo文件什么是pyd文件为什么需要pyc文件关于打包的exe位数python打包exe程序的特征图标特征字符串特征入口特征编译器特征反编译hello world由exe获取pyc由pyc获取pypython代码混淆的解决方案python代码的混淆原理实战去除python代码混淆vbs样本分析v...

2019-04-30 12:54:11 4555 1

原创 160个CrackMe005

文章目录查壳关于脱壳使用DarkDe分析程序分析程序导出符号从字符串入手分析第一层防护分析表单创建事件初始化控件读取文件内容破解第一层防护分析第二层防护分析表单的鼠标移动事件获取坐标校验图片校验坐标再次校验图片和坐标分析第三层防护分析第四层防护分析第五层防护破解第五层防护破解第四层防护破解第三层防护分析Ddit2双击事件破解第二层防护破解第六层防护分析0x318分析0x314破解第七层防护校验步骤...

2019-04-27 15:44:13 1175 2

原创 160个Crackme037

文章目录查壳分析程序验证结果查壳目标程序是用VB N-Code方式编译的，难度为一颗星，采用序列号保护方式分析程序这个程序的序列号保护方式是有算法的，单纯追踪注册码比较困难，所以直接用VB反编译工具查看按钮点击事件的RVA直接在40DF60的位置下断点，随便输入一个序列号校验过程如下首先检测字符长度是否匹配，不满足则提示错误必须为9个字符然后将输入的序列号转为浮点数...

2019-04-26 20:03:41 279

原创 160个Crackme036

文章目录查壳分析程序验证结果查壳这个Crackme跟上一个是同一个作者，VB写的。无，难度一颗星分析程序找到这个错误提示之后往上翻，有一个比较函数，下断点等待程序断下之后，观察堆栈序列号还是十个点，跟上一个一样。只不过程序换了个界面而已验证结果输入英文状态下的十个点点击CHECK图片变大，破解完成需要相关文件可以到我的Github下载:https://github....

2019-04-23 18:35:28 296

原创 160个Crackme035

文章目录查壳分析程序验证结果查壳目标程序是一个VB写的，没有加壳。单纯的序列号保护分析程序根据字符串的错误提示，跟进去，然后接着向上找。在上面你会发现一个比较函数，下断点，随便输入一个序列号等待程序断下。看堆栈中有一个自己输入的序列号和一个字符串，这个字符串是十个英文状态下的点(.)。这个作者还是挺有意思的验证结果输入刚刚看到的序列号：十个点，记得把输入法调成英文提示coo...

2019-04-23 18:21:11 277

原创 160个Crackme034拆解KeyFile验证升级版

文章目录查壳分析程序用户名算法分析(前14位)序列号算法分析(后4位)算法总结注册机探索验证结果这个Crackme和上一个是同一个作者，保护方式是KeyFile。难度两颗星查壳同样是汇编写的，作者伪造了一个Delphi的OEP。分析程序这个软件的KeyFile保护没有必要用监控工具了。验证直接就在入口处，直接单步往下跟就可以了首先检测CRACKME3.KEY这个文件是否存在然后...

2019-04-22 21:09:10 322

原创 160个Crackme033

文章目录查壳分析程序用户名算法分析序列号算法分析写出注册机校验结果这个Crackme的作者是《使用OllyDbg从零开始Cracking》那部教程的作者在教程中使用的配套教程，当初也是看的这篇教程入门的，没想到会在这里遇见。查壳这个程序看着有点像Delphi写的，但其实是汇编写的。作者在OEP处故意制造了一个和Delphi一模一样的入口特征来迷惑查壳器。分析程序随便输入一个序列号和...

2019-04-22 09:38:37 428

原创 160个Crackme032用ProcessMonitor拆解KeyFile保护

文章目录查壳添加签名导入符号KeyFile前置知识原理如何防止被破解相关API函数拆解KeyFile保护实战破解KeyFile校验结果破解Name/Serial用Darkde4确定响应事件算法分析算法总结写出注册机校验结果这个Crackme有两种保护方式一种是KeyFile，一种是Name/Serial。这个是160个Crackme里面第一个文件校验的保护方式了。难度系数为问号，自我感觉就值...

2019-04-21 14:16:03 552

原创 160个Crackme031之一元二次方程

文章目录查壳设计思路算法分析第一部分第二部分写出注册机校验结果查壳这个Crackme和030是同一个作者，也是VB程序。虽然难度显示是问号，充其量也就一星设计思路这个Crackme和上一个算法几乎一样，作者又故技重施了一次。所以我们先来捋一遍Crackme30的校验过程，再看这个会相对轻松。作者首先准备了一个正确的序列号和一个密钥，然后用密钥去加密这个正确的序列号，得到密文，也就是结果...

2019-04-17 09:38:31 329

原创 160个Crackme030之一元一次方程

文章目录查壳分析程序算法分析写出注册机校验结果查壳目标程序是VB写的，序列号保护方式，难度为一颗星分析程序随便输入一个序列号，来到字符串的错误提示处找到跳转到错误提示的地方跟过去接着发现了一个VB的比较函数，下断点，观察一下堆栈，参数一和参数二如下：并不是我们之前看到的正确注册码和错误注册码的形式，也不是0和1的比较，看来这个程序是有算法的，最终比较的是算法算出来之后的...

2019-04-15 20:52:29 480

原创 160个Crackme029

文章目录查壳分析程序分析算法写出注册机校验结果查壳这个Crackme跟027和028是同一个作者，VC6写的，难度为一颗星分析程序同样，根据字符串的错误提示，来到函数头的位置，配合IDA的伪代码分析整个算法，分析算法随便输入一个用户名和序列号，算法的校验过程如下。这个Crackme跟028一样有花指令的干扰，如果想在IDA中看到F5的伪代码，需要手动去除花指令，去除的方法请参考我...

2019-04-15 16:03:42 348

原创 160个Crackme028之对抗花指令

文章目录查壳分析程序分析算法对抗花指令校验过程校验结果查壳目标程序是用VC6写的，没有加壳，跟027是同一个作者，难度为一颗星分析程序首先根据错误提示可以看到跳转到这个地址的地方有很多，我们直接选择最前面那个地址，开始分析整个算法先随便输入一个序列号另外，这个程序如果有IDA的帮助会分析的更快分析算法我们找到算法开始处的地址，对应到IDA中，F5查看一下伪C代码，但是你会...

2019-04-15 12:31:16 643

原创 160个Crackme027之First CD-Check

文章目录查壳分析程序前置知识什么是光盘检测检测原理拆解光盘保护CD-Check分析作者低级的错误暴力破解CD-Check校验结果查壳程序是使用VC6写的没有壳分析程序这个程序跟之前的Crackme不一样，采取的保护方式是光盘检测，如果检测通过，点击Check for CD，会提示检测通过，但是现在是失败的我也是第一次分析这种程序，所以需要一点相关的前置知识前置知识以下内容出自...

2019-04-13 15:57:06 389

原创 160个Crackme026之六段式注册码详解

文章目录查壳分析程序算法分析基础校验第一部分第二部分第三部分第四部分第五部分第六部分写出注册机验证结果查壳这个Crackme也是用VB写的，难度是问号，自我感觉应该值三颗星分析程序首先根据字符串提示，来到按钮点击事件的开头下断点，随便输入一个用户名和序列号，开始分析程序算法分析这个程序的算法分成六个部分，下面依次对每个部分的算法进行详细的讲解基础校验首先获取输入的用户名...

2019-04-12 10:25:51 368

原创 160个Crackme025之巧去Neg

文章目录查壳去Neg追踪Serial查壳这个Crackme是VB5写的没有壳去Neg第一个任务就是去除这个倒计时五秒的Neg窗口，去除的思路就是通过字符串的提示向上找到窗体一的加载事件，然后去除首先来到字符串的提示的地方，向上滚找到函数开头，下断点程序断下来时倒计时为1秒，窗体加载完成，所以这里肯定不是，所以我们需要继续往上翻，再找到上一个函数，下断点断下之后，倒计时为...

2019-04-11 14:47:31 315

原创 160个Crackme024之Opcode加密

文章目录查壳分析程序分析算法第一部分计算用户名和序列号第二部分根据用户名和序列号的结果改写Opcode第三部分关键校验揣摩作者意图程序算法总结写出注册机校验结果查壳024这个Crackme跟023是同一个作者，难度两颗星，程序设计的很巧妙，非常有意思分析程序首先根据字符串的错误提示找到错误跳转到这个地址的位置，总共有两处，两处校验的地方，地址相差不远，随便找一个跟过去两处校验...

2019-04-11 12:25:59 374

原创 Windbg新手入坑指南

文章目录前言熟悉理论提高调试效率定制自己的Windbg界面关于工作空间命令概述标准命令元命令扩展命令调试技巧伪寄存器开始实战控制调试目标单步步入和单步步过单步执行到指定地址单步执行到下一个函数调用单步执行到下一个分支继续运行追踪并监视停止调试总结使用断点软件断点硬件断点条件断点地址表达式管理断点总结观察栈显示栈回溯总结分析内存显示内存显示字符串显示数据类型搜索内存修改内存其他命令参考资料前言...

2019-04-08 21:47:26 4466 1

原创 160个Crackme023

文章目录查壳分析程序分析条件一分析条件三分析条件二分析条件四写出注册机查壳目标程序是一个用汇编写的带图形界面的程序，没有壳分析程序直接查找错误的字符串，来到错误的提示处，可以看到这个cmp就是关键比较了这里会比较eax是否等于0x10，而eax来自于0x403166，所以必须让0x这个地址的值为0x10才能注册成功直接右键->查找所有常量这里有四个地址分别对0x4031...

2019-04-07 22:41:15 372

原创 160个Crackme022之故布疑阵

文章目录查壳分析程序追踪序列号验证结果查壳这个Crackme是用VB写的，没有加壳，也不是P-Code，那就直接上OD吧分析程序这个Crackme只有一个序列号保护，一般来说序列号的保护程序大多数只需要追踪正确的Key就能达到目的，少部分是通过算法校验的追踪序列号首先根据错误的字符串提示，找到跳转到这个位置的地方，直接转到402DE9的位置下面就是注册成功的提示，我们直接往上...

2019-04-07 18:47:46 259

原创 160个Crackme021

文章目录查壳导出符号分析程序关键算法分析结论查壳是Delphi写的，没有壳导出符号直接拖到IDA里，添加所有的Delphi签名然后导出为map文件，再导入到OD，能加快分析速度分析程序这个程序有两个序列号，直接通过DarkDe，找到按钮事件，开始分析算法，管他有几个序列号呢~关键算法分析整个校验过程如下获取用户名序列号1 序列号2将函数内置的int变...

2019-04-07 17:09:55 316

原创 160个Crackme020之无OD爆破

文章目录查壳分析程序寻找规律验证结果查壳链接器是2.25说明是Delphi写的，加了个不知道什么鬼的壳分析程序这个程序也是特别有意思，单纯的序列号保护方式。完全没有必要逆向分析，有个小学数学就能直接爆破这个程序想表达的意思已经很明显了，让你输入一个序列号，然后根据序列号会生成一串注册码，当这个注册码为3E74984B的时候就成功了寻找规律拿到程序后我的一个反应是找找看算法是否有规...

2019-04-07 15:39:16 428

原创 160个Crackme019

文章目录查壳分析程序校验结果写出注册机查壳目标程序难度一颗星，没有壳，VC6写的，终于不再是VB的程序了。VC6的好处就是可以用IDA配合OD调试了分析程序随便输入一个账号密码，根据字符串提示来到按钮事件这个算法本身并不难，我就直接贴IDA的分析图了，大家可以根据我提供的.idb文件动态调试程序验证过程如下设定一个int变量，值为0x81276345，这个变量会用于密码校验，...

2019-04-07 15:13:53 317

原创双机调试环境搭建

文章目录准备工作第一步复制target文件第二步安装vminstall第三步配置windbg第四步连接到虚拟机第五步设置符号路径准备工作一个安装了windows操作系统的虚拟机需要一个windbg，要求与被调试机器的位数一样VirtualKD 一个用于搭建双机调试的工具下载链接:http://virtualkd.sysprogs.org/第一步复制target文件...

2019-04-07 12:43:41 489

原创 Windbg无源码调试驱动

文章目录准备工具修改OEP修改校验和开始调试准备工具windbg调试器一台搭建好双机调试环境的虚拟机任意一个能运行驱动的软件CFF ExplorerLoadPE修改OEP首先随便找一个驱动文件，我就直接用Everything搜索一个接着把文件脱到CFF，找到OEP接下来，将RVA转成FOA然后把OEP修改为CC，保存文件修改校验和修改完成之后，记得还要修改校验...

2019-04-07 12:41:05 1061

原创 vbs病毒分析神技——使用VS2017调试vbs脚本

在分析VBS类的文档病毒的时候，通常会因为病毒加密问题感到头疼，如果加密了好几层，只能用MsgBox或者输出到文件，一层一层解密，但是如果能有个顺手的调试器去调试就能达到事半功倍的效果了设置VS2017调试器接着选择调试->选项，把脚本前面的勾给打上，这一步需要管理员权限调出调试器命令行输入wscript /X 要调试vbs脚本的路径或者用cmd敲上这条命令也可以打开调试器...

2019-04-05 15:45:00 1828

原创 160个Crackme018

文章目录查壳OD分析程序校验结果查壳这个Crackme是用VC6写的难度只有一颗星，相当简单了OD分析程序根据字符串的错误提示找到对应的位置，往上发现一个字符串比较函数，接着根据比较的结果进行跳转，那么可以断定就是正确的Key了校验结果输入程序中出现的字符串，提示成功，破解完成需要相关文件的可以到我的Github下载：https://github.com/TonyChen56...

2019-04-01 18:53:24 314

鬼手的博客