逆向工程核心原理2--破解abex'crackme#1

最新推荐文章于 2024-04-20 09:45:48 发布
最新推荐文章于 2024-04-20 09:45:48 发布
阅读量721 收藏
点赞数
分类专栏: 逆向安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40535097/article/details/98354830
版权
  • 有需要工具或书籍的联系QQ:3198280360

程序运行原本状态

在这里插入图片描述
在这里插入图片描述
初次运行,暂时还不清楚程序需要怎么破解,但是推断应该是对消息内容进行修改,接下来使用OD附加程序

使用OD附加

  • 选择程序,右键点击 使用OllyICE 打开(或者打开OD 在里面选择打开文件)
    在这里插入图片描述
    这里解释一下上面的汇编代码
    abex’crackme#1程序是使用汇编编写的,所以EP代码非常短
// MessageBox API
//MessageBox(NULL, L"Make me think your HD is a CD-Rom.", L"abex' 1st crackme", MB_OK|MB_APPLMODAL)


00401000 >/$  6A 00         PUSH 0                                   ; /Style = MB_OK|MB_APPLMODAL
00401002  |.  68 00204000   PUSH abexcm1-.00402000                   ; |Title = "abex' 1st crackme"
00401007  |.  68 12204000   PUSH abexcm1-.00402012                   ; |Text = "Make me think your HD is a CD-Rom."
0040100C  |.  6A 00         PUSH 0                                   ; |hOwner = NULL

// 调用MessageBOxA
0040100E  |.  E8 4E000000   CALL <JMP.&USER32.MessageBoxA>           ; \MessageBoxA
00401013  |.  68 94204000   PUSH abexcm1-.00402094                   ; /RootPathName = "c:\\"
00401018  |.  E8 38000000   CALL <JMP.&KERNEL32.GetDriveTypeA>       ; \GetDriveTypeA
0040101D  |.  46            INC ESI                                  ;  ESI ++
0040101E  |.  48            DEC EAX                                  ;  EAX --

// 无意义的跳转,垃圾代码
0040101F  |.  EB 00         JMP SHORT abexcm1-.00401021
00401021  |>  46            INC ESI
00401022  |.  46            INC ESI
00401023  |.  48            DEC EAX
00401024  |.  3BC6          CMP EAX,ESI
00401026      EB 15         JE SHORT abexcm1-.0040103D


// MessageBox API
//MessageBox(NULL, L"Nah... This is not a CD-ROM Drive!", L"Error", MB_OK|MB_APPLMODAL)

00401028  |.  6A 00         PUSH 0                                   ; /Style = MB_OK|MB_APPLMODAL
0040102A  |.  68 35204000   PUSH abexcm1-.00402035                   ; |Title = "Error"
0040102F  |.  68 3B204000   PUSH abexcm1-.0040203B                   ; |Text = "Nah... This is not a CD-ROM Drive!"
00401034  |.  6A 00         PUSH 0                                   ; |hOwner = NULL
00401036  |.  E8 26000000   CALL <JMP.&USER32.MessageBoxA>           ; \MessageBoxA
0040103B  |.  EB 13         JMP SHORT abexcm1-.0040105


// MessageBox API
//MessageBox(NULL, L"Ok, I really think that your HD is a CD-ROM! :p", L"YEAH!", MB_OK|MB_APPLMODAL)

0040103D  |>  6A 00         PUSH 0                                   ; |/Style = MB_OK|MB_APPLMODAL
0040103F  |.  68 5E204000   PUSH abexcm1-.0040205E                   ; ||Title = "YEAH!"
00401044  |.  68 64204000   PUSH abexcm1-.00402064                   ; ||Text = "Ok, I really think that your HD is a CD-ROM! :p"
00401049  |.  6A 00         PUSH 0                                   ; ||hOwner = NULL
0040104B  |.  E8 11000000   CALL <JMP.&USER32.MessageBoxA>           ; |\MessageBoxA

// 退出进程
00401050  \>  E8 06000000   CALL <JMP.&KERNEL32.ExitProcess>         ; \ExitProces
  • 涉及到的汇编指令
    指令解释
    PUSH入栈
    CALL调用函数
    INC加1
    DEC减1
    JMP跳转到指定位置
    CMP比较操作数(若两个操作数一致,SUB结果为0,ZF置1)
    JE条件跳转指令(Jump if equal)若ZF为1,则跳转

分析

查看代码,发现存在3个MessageBox API的调用,而初始程序之调用了以下两个MessageBox
在这里插入图片描述
由于条件不满足,导致标题为“YEAN” 的MessageBox 没有调用,那么不难得出该程序的目的就是显示出该处的MessageBox

0040103D  |> \6A 00         PUSH 0                                   ; |/Style = MB_OK|MB_APPLMODAL
0040103F  |.  68 5E204000   PUSH abexcm1-.0040205E                   ; ||Title = "YEAH!"
00401044  |.  68 64204000   PUSH abexcm1-.00402064                   ; ||Text = "Ok, I really think that your HD is a CD-ROM! :p"
00401049  |.  6A 00         PUSH 0                                   ; ||hOwner = NULL
0040104B  |.  E8 11000000   CALL <JMP.&USER32.MessageBoxA>           ; |\MessageBoxA

破解

  • 方法一:
    不考虑比较的结果,直接跳转到0x04103D处继续执行
    修改0x00401026处汇编语句

    00401026     /75 15         JMP SHORT abexcm1-.0040103

  • 方法二
    修改跳转条件,当结果为假的手环跳转
    修改0x00401026处汇编语句

    00401026     /75 15         JNZ SHORT abexcm1-.0040103D

  • 方法三
    修改比较语句

    00401024      3BC0          CMP EAX,EAX
秃头的JJ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
abex' crackme#1 破解练习
03-29
逆向工程核心原理》中第6章的供破解的程序
逆向工程原理》-示例程序.rar
05-29
包含书中用到的程序。
逆向工程核心原理》学习笔记 破解abex' crackme #1
EloflyS的博客
02-12 669
逆向工程核心原理》学习笔记2 破解abexcrackme #1 这是一个作为初学者的我都觉得过于简单的crackme,所以简单地介绍一下解法。 首先先打开这个.exe,我们会发现这样的一个窗口 点击确定 ...
逆向工程核心原理学习笔记(十二):分析abex' crackme #1
killcoco的小窝
04-28 1025
程序下载地址:http://t.cn/RX1wpX7 我们首先运行一下,看看提示什么: 我们初步推测,这个程序应该是判断磁盘是否运行在一个CD-ROM上。 为了验证我们的推测,我们拖进OD看一下。 我们现在可以划重点了: 这个重要的跳转是信息框提示什么内容的关键。 我
使用OllyDug分析abex crackme#2程序
最新发布
m0_69407979的博客
04-20 1163
使用OllyDug分析abex crackme#2程序
逆向工程核心原理abex's crackme#1 0x02 190603
爱党人士
06-03 490
中间介绍的寄存器,栈什么的都是汇编基础, 注意16位和32位的区别即可。 abex’s crackme 是一个著名的简单小程序。 初学者也会容易理解。 下载见上几遍的云盘链接的文件。 首先打开,看看是什么类型的, 继续点, ok,大概知道这是判断你的电脑c驱动器类型,然后返回正确或者error, right,拉进od, main函数直接位于ep,用汇编语言编写的程序实锤了。 果然, 那么直接...
逆向工程核心原理》第6章——分析abexcrackme#1
diamond_biu的博客
11-27 506
分析abexcrackme#1 点击abexcrackme#1程序,运行结果如下: 点击确定 开始调试 使用OllyDbg载入程序,可以看到程序的汇编代码。 该程序的EP代码很短,因为它使用汇编语言编写的可执行文件。main()函数直接出现在EP中,简洁直观。 分析代码 调用MessageBoxA()函数 调用GetDriveType()函数;获取C驱动器类型,这里返回值EAX=3 ESI+1;EAX-1;ESI+1;ESI+1;EAX-1; 比较EAX与ESI,相等则跳转40103D,不等.
crackme集合[2/2]
08-17
crackme集合[2/2] 本crackme集合分了10个等级。由linholer[PYG]整理制作
crackme集合[1/2]
08-17
crackme集合[1/2] 本crackme集合分了10个等级。由linholer[PYG]整理制作
Abex Document Converter Pro Patch
10-23
Abex Document Converter Pro是一款多功能为一体的文档转换工具,可以高质量的转换PDF文档到HTML, Text, Image、Word、Excel、PowerPoint等格式。同时它支持许多不同格式的文档和图像相互之间的转换。 它支持许多...
逆向工程核心原理笔记(五)——分析abex crackme-1
a1351937368的博客
05-14 691
逆向工程核心原理笔记(五)——分析abexcrackme#1 下面我们将分析一个很简单的crackme小程序,从而进一步熟悉调试器和汇编代码,当然我们的目标不是进行crack(破解)而是加深汇编打吗和调试技术的认识。 Abexcrackme是一个著名的小程序,这是一个公开用作破解练习的小程序。 首先我们先运行abexcrackme#1这个程序: 显示一个消息窗口,显示"Make me think your HD is a CD-Rom"消息。我们此时并不知道程序在这里是在干什么。于是我们点击确
逆向工程核心原理学习笔记(二十五):abex'crackme #2初步破解
killcoco的小窝
05-13 931
首先我们随便输入试一下 然后我们打开OD进行调试: 我们根据字符串来检索,然后找到相应的地址,OK,我们点进去。 然后,跟进: 我们从这里发现了信息框的标题,信息框的内容,然后上面我们还发现了条件分支,我们猜测这里就有可能是一个字符串的判断后的跳转 上面的call就是判
分析abex'crackme#2
weixin_30876945的博客
08-09 133
文件地址:https://www.wocloud.com.cn/webclient/share/sindex.action?id=i9K_Br6TgE4gbyGIlYkffWKcRy5TUdZ8U6_uiWwxDovNjPaT6IJAgRhtvqTOsW3w 这是一个根据输入的name自动生成serial的VB软件。 1.指令分析 打开之后,外部主要有三条指令。 ...
abexcm5.exe(★)
qq_42363151的博客
03-26 111
abexcm5.exe(★)软件运行情况查壳OD调试 软件运行情况 查壳 汇编编写的 OD调试 通过字符串搜索,发现认证不成功的字符串 进入correct serial位置 破解思路: ①发现关键跳 修改成为jmp 结果(任意serial都可以成功) ② 找到serial算法(该软件算法简单) 往上找到代码起始 第一部分 第二部分 第三部分 结果 ...
逆向工程核心原理——学习笔记_abex' crackme#1
weixin_30364325的博客
11-09 146
0x1: 调试前运行此程序 单击确定 单击确定 程序退出 0x2: 开始调试,使用OD载入该程序 EP代码非常短,这是因为abex'crackme程序是使用汇编语言编写出来的可执行文件。 使用VC++ VC Delphi等开发工具编写程序时,除了自己编写的代码外,还有一部分启动函数是由编译器添加的,经过反编译后,代码看上去就变得非常复杂。但是如果...
Visual Basic文件解析与算法探秘
例如,在分析“abex'crackme#2.exe”这样的挑战程序时,我们可以找到VB引擎的入口点ThunRTMain(),并通过设置断点观察程序执行过程。 在调试过程中,可能会遇到程序卡壳的问题,这可能是由于调试器设置不当或者某些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值