e3.exe的逆向分析

最新推荐文章于 2024-07-01 00:20:49 发布
最新推荐文章于 2024-07-01 00:20:49 发布
阅读量464 收藏
点赞数
分类专栏: 逆向分析 文章标签: delphi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40756661/article/details/109694939
版权

e3.exe的逆向分析

运行截图

image-20201112112020709

逆向思路

提示如下:

image-20201112112145143

  1. 使用IDR加载Delphi程序,导出Map文件,将Map文件导入OD。

  2. 使用Delphi逆向工具Darkde4

    image-20201112112649506

    可以看到,Panel1有两个方法,单击和双击,是一个按钮

    image-20201112112809706

    FromCreate 窗体的创建事件

    chkcode 校验代码

    KeyUp 响应的键盘的弹起

    DbClick 按钮的双击事件

    Click 按钮的单击事件

  3. 通过1得到了几个事件的RVA,接下来进行分析,首先是Click事件:

拖入OD

右键复制Click的RVA

打开OD,ctrl + G 粘贴点击OK

image-20201112113700321

F2设置断点

image-20201112113757639

运行测试

输入一组用户名和注册码,双击之后单步调试

image-20201112135924618

出现用户名:

image-20201112142831970

image-20201112143032497

此处getText为获取用户名。

image-20201112143546620

获取用户名长度,用户名长度+0x1E(30)

image-20201112143728625

出现“32”

image-20201112142858046

字符串拼接:

image-20201112143816055

循环0x13次:

image-20201112140103376

关键跳转:

image-20201112144807917

  1. 获取用户名

  2. 获取用户名长度 将长度加上0x1E

  3. 将长度转为字符串

  4. 字符串拼接 拼接为长度+用户名+循环次数

  5. 整个算法循环18次 最后的结果如上图

  6. [esi+0x30C]的值必须是0x85

  7. 分析双击事件

    image-20201112145255045

    获取长度

    长度+0x9

    长度转str

    循环:

    image-20201112145714553

    字符串拼接:长度+用户名+循环次数

    image-20201112145758393

    [esi+0x30C]和0x3E作比较,如果成立,就把[esi+0x30C]赋值为0x85,也就满足了单击事件的条件

    [esi+0x30C]的值必须为0x3E

  8. 有一个地方是把0x3E赋值给了[esi+0x30C]。

    OD中,右键->查找所有常量,输入3E,看看能不能找到mov [esi+0x30C],0x3E这样一条指令。如果能,那么这个就是真正校验的地方。

    image-20201112150021636

    跟进:

    image-20201112150156441

    开头:

    image-20201112150216381

    注释显示这个是chkcode的校验事件下断点

  9. 运行

    注册码刚输入1就停住了,分析

    image-20201112195626009

    发现可疑字符串:

    image-20201113202605293

    image-20201112231655675

    直接拦截读取edx,使用keymake制作内存注册机:

    image-20201113201759959

    image-20201113201911026

    image-20201113201949716

    成功,接着分析算法·,尝试制作算法注册机

    image-20201113202904189

    分析0x951C68 位置处何时写入,设置硬件断点

    image-20201113202748542

    keyup中统计输入字符:

    image-20201112222615805

    首先获取用户名长度 然后将用户名长度+5,接着进行字符串拼接 拼接方式为黑头Sun Bird(用户名长度+5)dseloffc-012-OK(用户名),拼接好的字符串就是密码。

  10. 结果:

    image-20201112150942321

    image-20201113203445323

接方式为黑头Sun Bird(用户名长度+5)dseloffc-012-OK(用户名),拼接好的字符串就是密码。

  1. 结果:

image-20201112150942321

image-20201113203445323

myxxxmy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cmd.exe 逆向分析
05-29 1943
1. cmd.exe 是怎样加载其它进程的。2. 其它进程的命令行参数是怎样被传递的。分析完毕,有了四个小小的收获,与大家分享。菜鸟文章,一目了然,高手飘过。好,现在开始。1. ollydbg 加载cmd.exe  后面一个空的控制台窗口已经创建了。这说明windows 发现cmd.exe 是一个控制台程序。  就提前为它准备好了一个控制台窗口。2. f9 运行。  控制台窗口出现如下提示:  M
E3.ConfigurationModules_EN
04-17
Zuken is not responsible for any errors, which may appear in this documentation. Liability, due to direct and indirect losses resulting from the delivery or use of this documentation, is excluded to ...
Delphi通过Map文件查找内存地址出错代码所在行​
173713873
06-11 334
我们得到的崩溃地址都是由 偏移地址+ 基地址得来的,所以在计算行号的时候要把基地址减去,一般情况下,基地址的值是 0x00400000。另外,由于一般的 PE 文件的代码段都是从 0x1000 偏移开始的,所以也必须减去 0x1000。简单地讲, MAP 文件是程序的全局符号、源文件和代码行号信息的唯一的文本表示方法,它可以在任何地方、任何时候使用,不需要有额外的程序进行支持。崩溃行偏移 = 崩溃地址(Crash Address) - 基地址(ImageBase Address) - 0x1000。
Goole CTF 比赛 逆向组 Moom.exe逆向过程简单分析
u012332816的博客
06-22 5698
Goole CTF 比赛 逆向组 Moom.exe逆向过程简单分析
上饶ctf 逆向 pvm.exe
最新发布
weixin_42495210的博客
07-01 1119
第一部分:145, 146, 2, 64, 146, 32768, 32, 146, 792896, 16, 146, 23751, 32, 146, 400000, 64, 146, 297, 32, 146, 200000, 64, 225。所以第一部分的结果就是cpu[0]['e1']=(((flag[-1]//2-32768+792896-23751)//400000)-297)//200000。cpu[0]['eax']=cpu[1].pop(),即将flag[-1]赋给。
逆向分析某office插件
Frank MARS的火星
02-22 3797
逆向crack某office插件
逆向exe
记录生命的轨迹
12-01 1044
逆向分析
蠕虫 srv32.exe 逆向分析笔记5
nanapplehappy的专栏
09-20 319
蠕虫 srv32.exe 逆向分析笔记5安全中国 www.anqn.com更新时间:2007-9-27 22:48:39责任编辑:池天 热 点:文件名称:srv32.exe
蠕虫 srv32.exe 逆向分析笔记4
nanapplehappy的专栏
09-20 1328
安全中国 www.anqn.com更新时间:2007-9-27 22:49:14责任编辑:池天 热 点:文件名称:srv32.exe蠕虫名称:Net-Worm.Win32.Op
蠕虫 srv32.exe 逆向分析笔记
05-11 2771
启动篇文件名称:srv32.exe蠕虫名称:Net-Worm.Win32.Opasoft.s工具:   IDA 4.5.1, OllyDbg V1.10脱壳,用IDA反汇编,到程序的开始位置:CODE:00401000 start       proc nearCODE:00401000           enter   314h, 0CODE:00401004           lea  
逆向 python】反编译pylnstaller打包的exe文件
qq_55271156的博客
05-02 1800
结合例题讲讲如何反编译pylnstaller打包的exe文件的基础流程,适合小白观看
E3-table-1.3.zip_E3.TABLE_E3.Tab_Table_e3 table
09-14
5. **E3.Table**:根据标签信息,E3.Table可能是一个专门用于数据展示和操作的组件库,它可能提供了一些便捷的表格展示和操作功能,与Struts2的视图层进行配合,使得用户界面更加友好。 在实践中,你可以通过解压**...
微软代码签名软件(cert2spc.exe CertMgr.Exe makecert.exe pvk2pfx.exe signtool.exe)
11-24
https://download.microsoft.com/download/A/6/A/A6AC035D-DA3F-4F0C-ADA4-37C8E5D34E3D/winsdk_web.exe https://www.microsoft.com/en-us/download/details.aspx?id=8279 如果只为签名,可以自定义安装项,只...
Windows版本lspci.exe和setpci.exe
01-16
在IT领域,尤其是在系统管理和硬件调试中,`lspci.exe` 和 `setpci.exe` 是两个非常重要的命令行工具,通常在Linux环境下使用。然而,这个话题涉及到的是它们的Windows版本,这对于习惯于Windows操作系统的用户来说...
30部件移动E3.zip
04-27
PLC专为在工业环境下应用而设计,它采用可编程序的存储器,用来在其内部存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作的指令,并通过数字式、模拟式的输入和输出,控制各种类型的机械或生产过程。...
27部件移动E3.zip
04-27
PLC专为在工业环境下应用而设计,它采用可编程序的存储器,用来在其内部存储执行逻辑运算、顺序控制、定时、计数和算术运算等操作的指令,并通过数字式、模拟式的输入和输出,控制各种类型的机械或生产过程。...
jdk-8u212-windows-i586.exe 32位安装包
04-25
jdk-8u212-windows-i586.exe 32位安装包 截至2019.04.25 最新版JDK for windows x86 32位 exe文件大小: 202.64 MB exe文件检验码 sha256: 2ea45edb83303d87cabef2e872abb8a7c80da578e4e7a468bd27d9e3b8595b1b md5: ...
chromedriver.exe
07-29
(Driver info: chromedriver=2.34.522940 (1a76f96f66e3ca7b8e57d503b4dd3bccfba87af1),platform=Windows NT 6.1.7601 SP1 x86_64) (WARNING: The server did not provide any stacktrace information) Command ...
Zuken E3.ConfigurationModules: 安装与程序描述
"E3.ConfigurationModules_EN" 是一份关于Zuken E3.series配置模块的文档,其中包含了法律免责声明、技术咨询联系方式以及重要的版权信息。 本文档主要关注Zuken公司的E3.series软件的配置模块,这是一个专为电子...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值