逆向工程核心原理4-分析crackme

最新推荐文章于 2023-04-14 08:48:58 发布
最新推荐文章于 2023-04-14 08:48:58 发布
阅读量453 收藏
点赞数
分类专栏: 逆向安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40535097/article/details/99349081
版权

打开程序crackme

在这里插入图片描述

  • 这个程序是使用VB编写,目标是知晓其中密码计算的算法
  • 当密码输入错误时会弹出一下对话框
  • 在这里插入图片描述

附加到OD

在这里插入图片描述

  • 在这里介绍一下Visual Basic 文件的特征

    • VB 专用引擎

      • VB 文件使用名为MSVBVM60.dll 的VB专用引擎,VB代码中使用MsgBox()函数来显示消息框,而实际上,VB编译器真正调用的时MSVBVM60.dll 内的rtcMsgBox()函数,而该函数内部通过调用user32.dll内的MessageBoxW()函数(WIN 32 API)来工作

    • 本地代码与伪代码

      • VB文件可以编译成本地代码和伪代码。本地代码一般使用易于调试器解析的IA-32指令;伪代码时一种解释器语言,它是由VB引擎实现虚拟机并且可以自解析的指令(字节码)。

        伪代码具有于JVM(java虚拟机)和Python专用引擎类似的心态结构,具有方便移植的优点

开始调试

在这里插入图片描述

  • EP 地址为0x401238

  • 通过观察

    00401232   $- FF25 A0104000 JMP DWORD PTR DS:[<&MSVBVM60.#100>]      ;  MSVBVM60.ThunRTMain
00401238 > $  68 141E4000   PUSH 00401E14                            ;  EP  压入ThunRTMain()函数所需参数 RT_MainStruct 结构体
0040123D   .  E8 F0FFFFFF   CALL <JMP.&MSVBVM60.#100>                ;  通过CALL 401232 去间接调用ThunRTMain()

  • 00401238处,压入地址00401E14,而此处为ThunRTMain()函数所需参数 RT_MainStruct 结构体

  • 0040123D处,通过调用<JMP.&MSVBVM60.#100>跳转到00401232间接调用MSVBVM60.ThunRTMain()(间接调用)

  • 进入ThunRTMain()

    img

开始分析crackMe

  • 查找需要“打补丁的位置”

    • 搜索字符串

      img

      发现了之前提示错误对话框的字符串,点击定位到该地址

  • 定位过去之后,会看到以下代码

    img

  • 从此处向上查找,找到CALL 的头,即check 触发事件

  • 定位到:00402ED0 > \55 PUSH EBP ; Check 按键的事件

    并且在此处下断(F2)

    img

  • 开始调试,输入Name和Serial(注意,这里不要输入一样的,最好容易分辨)

    我这里输入的Name:1238 Serial:4321

  • 按F8进行单步步过,并且查看寄存器内值的变化

    此处过程省略

  • 最后在00403197 处发现存在应该循环,并且循环次数由Name 输入的字符串长度确定

    img

    则该处较大可能是加密算法

  • 继续调试,最后得出1234所对应的正确密码为95969798

  • 而在00403233 处存在该指令

    00403233   .  C785 2CFFFFFF>MOV DWORD PTR SS:[EBP-D4], 64            ; |密钥  UNICODE + 64

    得出,密钥是0x64

总结:Name 所对应的密码为每一个字母的UNICODE 码值+0x64

秃头的JJ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
逆向工程核心原理
weixin_30270815的博客
04-07 4909
关于逆向工程 代码逆向工程,是逆向工程在软件领域的应用。使用RCE、RE、逆向工程等简称。 分析逆向工程的方法有静态分析法和动态分析法。 静态分析法:是在不执行代码文件情形下,对代码静态分析的方法。不执行代码,而是观察代码外部特征,获取文件类型、大小、PE头信息、导入导出API、内部字符串、是否运行时解压缩、注册信息、调试信息、数字证书等信息。使用反汇编工具查看内部代码、分析代码结构也属于静态分析。 动态分析法:程序文件执行过程中对代码进行动态分析。通过调试获得代码流,获得内存状态。通过动态分析法可以观察文
逆向工程核心原理》总结之入门介绍
weixin_44022769的博客
02-25 601
       程序调试有静态调试和动态调试两种。静态调试是指将程序源代码编译成可执行程序之前,用手工或编译程序等方法对程序源代码进行测试,来查找和修正程序中的语法错误和逻辑错误。动态调试则是在可执行程序的运行过程中,来查找和修正程序中的语法错误和逻辑错误。随着系统安全与逆向工程的不断发展,程序调试已经成为信息安全爱好者所必备的一种技术。 ​       汇编是将汇编代码编译、链接成可执行文件的过...
恶意程序CrackMe分析(超详细)
weixin_45656365的博客
11-23 2671
恶意程序CrackMe分析(超详细) 一.实验要求: 请依据课堂上所讲解的内容,完成本次的实验,要求: 1、结合你上次自行编写的CrackMe程序,实现“爆破”的逆向分析工作。 2、结合KeyFile.exe文件的内容,采用逆向技术,实现“爆破”操作。 3、采用逆向技术分析KeyFile.exe文件的内容,在不采用“爆破”技术的前提下,编写出符合要求的可以通过程序验证的文件,要求这个文件内容必须包含有你的学号以及中文姓名的拼音。 本次实验需要提交实验报告以及要求3中的程序验证文件。 二.实验目标和使用工具:
逆向入门】 CrackMe160-001 分析思路
mastergu2的博客
04-23 862
CrackMe160-001 写在前面:这篇文章主要是从逆向小白的视角来分析,可能(肯定)有点笨,但是会比较详细的记录和分析分析思路 对于一个文件如何去crack,我认为思路是比操作更重要的,至少有个方向,不然看着满屏的代码头疼。。 观察软件的界面 上面的按钮、输入框和弹出的窗口一般(暂时是这样)都有文字,可以在模块中搜索,快速定位。 以下是搜索字符串的方法 Ollydbg : 鼠标右键 会进入如图所示的页面(很黑客帝国。。)虽然不能查找但是这里似乎是把所有字符串都列出来了 x64bdg :
逆向工程核心原理
weixin_34406061的博客
01-08 2078
逆向工程核心原理》 基本信息 作者: (韩)李承远    译者: 武传海 丛书名: 图灵程序设计丛书 出版社:人民邮电出版社 ISBN:9787115350183 上架时间:2014-4-15 出版日期:2014 年4月 开本:16开 页码:1 版次:1-1 所属分类:计算机 &gt; 软件工程及软件方法学 &gt; 综合   更多关于》》》《逆向工程核心原理》  ...
逆向工程原理-示例程序.rar
05-29
包含书中用到的程序。
New-Crackme - Cruehead-CrackMe
最新发布
10-14
New-Crackme - Cruehead-CrackMe
iOS逆向之lldb调试分析CrackMe1.pdf
01-19
接下来几篇文章将介绍iOS逆向分析中动态调试分析。主要是使用lldb配合(ida或者Hopper Disassembler)对iOS app的关键算法进行动态调试外加静态分析,从而还原出算法流程及参数。感兴趣的朋友可以下载下来看看,学习...
逆向工程与软件自我保护
02-24
查找显示注册结果相关代码查找注册码验证相关代码修改程序跳转方法二:编写注册机查找显示注册结果相关代码查找注册码验证相关代码根据注册码验证代码编写注册机第二阶段:软件反动态调试分析分析CrackMe1.exe是如何...
利用开发,逆向工程和密码学- alanvivona/pwnshop
01-27
Support the project :Contents:Reverse engineering a simple crackme called “Just see”:Reverse engineering a level 1 crackme "Easy_firstCrackme-by-D4RK_FL0W":Utility - Object/Executable file to ...
逆向工程核心原理 pe文件(小试牛刀)小结
逆向工程核心原理 学习小结
05-21 1324
在开始这篇pe文件格式时,我阅读到其中的练习时感到比较混乱,在这里我推荐大家先使用PeViews这款软件进行学习。首先应该理清思路然后再自己找一遍。PeViews如下图:首先看着课本能分清楚基本的结构:DOS头——》DOS存根——》NT头(NT文件头和NT可选头)——》各种节区头(其中的.text .data .rsrc等)其次,要能够找的到IMAGEBASE(映射基础),然后再在各个节区头中找到...
[安全攻防进阶篇] 六.逆向分析之OllyDbg逆向CrackMe01-02及加壳判断
热门推荐
杨秀璋的专栏
08-04 1万+
这是作者安全攻防进阶篇,将深入研究恶意样本分析逆向分析、内网渗透、网络攻防实战等。前文作者讲解了OllyDbg和在线沙箱的逆向分析过程,分享了恶意软件如何通过宏脚本发送勒索信息或密码至用户邮箱。这篇文件将带领大家逆向分析两个CrackMe程序,包括逆向分析和源码还原,基础性文章,希望对您有所帮助。技术路上哪有享乐,为了提升安全能力,别抱怨,干就对了,加油~
逆向工程核心原理》第八章
weixin_41748164的博客
03-30 145
前言 了解VB文件特征 分析crackme 预备知识 文字文本(literal-text)运算符(<>)把一个或多个字符和符号组合成一个文字文本,以防止预处理程序把列表中的成员解释为独立的参数。 #30h 表示立即数寻址 替换运算符(&)解析对宏参数名的有歧义的引用。 了解VB文件特征 打开VB文件,找到启动代码 PUSH 00401E14,把RT_MainStruct结构体压入栈 CALL <JMP.&MSVBVM60.#100> 分两部分,call指
逆向工程核心原理】第八章笔记——abex‘crackme #2原理分析及如何计算序列号
wuwuhe99的博客
04-14 371
F9:断点之间的运行,F8:逐步调试0040123D:入口点的指令733735A4属于WindowsAPI函数的代码触发事件找到对应的用户代码用字符串检索法找到对应错误语句,设置断点运行程序LEA : LoadEffectiveAddress载入有效地址,把后面值的地址传到前面。猜测可能比较EDX,EAX。在00403321,右边框中EAX可跟踪dump。Dump-右击-long命令:显示数据为32位地址和十六进制的数值,并尝试将十六进制的数值当作地址进行解析可变长字符串。
逆向分析CrackMe系列——CrackMe001
草草君
08-18 3990
逆向分析CrackMe系列——CrackMe001 之前学的逆向都忘干净了,最近又重新学一学,这次从CrackMe入手。 本系列的CrackMe资源均来自我爱破解网.   1. 运行程序,随便输入序列号后弹窗: 2. 进入到主窗口程序后,下断点:bp MeaasgeBoxA 或者 MessageBoxW 因为不知道调用的是哪一个函数(在主窗口下新窗口的断点是为了在进行错误提示的时候进行暂停) 3. 找到断下的位置: 4. 然后进行回溯ctrl +F9,发现并不是主窗口程序,继续回溯: 5. 继续回溯
逆向破解crackme简要分析
weixin_47118539的博客
05-02 2342
小白逆向破解crackme,并简要分析密码验证过程 采用字符串搜索法爆破,采用字符串比较法验证密码
OD逆向时各编程语言入口特征码
yqhzh的专栏
03-03 1808
OD逆向时各编程语言入口特征码 (2012-04-19 13:49:10) 标签: 杂谈 分类: 逆向and破解 Microsoft Visual Basic 5.0 / 6.0 00401166   - FF25 6C104000 JMP DWORD PTR DS:[]    ; MSVBVM60.ThunRTMain 0040116C >   68 147C4000     P
逆向工程核心原理》第8章——abex‘crackme #2
diamond_biu的博客
11-29 1490
运行abex’crackme #2 下载地址:https://pan.baidu.com/s/1qXhyt8C 运行程序: 输入符合要求的name与serial,点击check: 弹出wrong serial消息框。 Visual Basic文件的特征 abes’ crackme #2文件由Visual Basic编写而成。调试前首先了解Visual Basic文件特征。 VB专用引擎 VB文件使用名为MSVBVM60.dll的VB专用引擎,比如:显示消息框时,VB代码中要调用MsgBox()函数。.
crackme 2
qq_39249347的博客
08-09 539
运行程序 这个程序要求我们找出程序的序列号,从单独输入Name来看,生成Serrial时才会用到Name字符串,输入合适的Name与Serial,按Check按钮,才会通过检查。 Visual Basic文件的特征 VB专用引擎。 VB文件使用名为MSVBVM60.dll的VB专用引擎。 Ex:显示消息框时,VB代码中要调用MsgBox()函数,其实,VB编辑器真正调用的时MSVBVM60.dll里的rtcMsgBox()函数,在该函数内部通过调用user32.dll里的MessageBoxW(
OD逆向crackme
09-02
在 [安全攻防进阶篇] 中,有关于逆向分析的教程可以帮助你了解如何使用OllyDbg逆向CrackMe程序。 OllyDbg是一种常用的逆向工具,可以用于分析和修改程序的执行流程和内存。使用内存断点和普通断点,可以在程序执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值