前话我吐槽一下,我第一次用的od,功能特别少,具体为什么这么少我也没太搞懂,其实也是做题的时候发现没有检索到中文和我的注释,都不会在点击查找字符串后显示出来,可我做题的起始步骤也就是从字符串下手,于是上网搜,是缺少了插件?也没少中文搜索的dll啊,我看到有人回答重新下载一个,于是我就重下了(笑哭),就解决了,上一个我也没删,大致对比了一下,真的没发现少了什么,大多数都有,(可能就是我没发现吧),其实以前的除了不能检索到中文好像都可以,新od功能是多,但是我暂时还没用上,下面是我新下的od
链接:https://pan.baidu.com/s/1q0WDktLaUgeGkJhl5fNI-w
提取码:38hz
----------分割线-----------------分割线------------------------
继续解题吧
crackme005我做起来很难,有壳,先拖入peid里面查壳,发现是upx的壳,我也是看了视频做的,用专门脱upx的软件脱(UPXEasyGUI.exe),脱完拖入od中,一样搜字符串,找到“注册了”,双击进去,发现有很多跳转,都做好记录有些能等于有些不能等,否则就失败,那一个个来,先放入dededark里面看的清楚一点,什么事件,什么控件,都有指明(我的注释请忽略,没逻辑)
##第一个304,他要比较那么就搜索常量304,哪里给这个304赋值了,发现有两个地方,先进第一个,会看到有类似地址的字符串,这里应该是要求你在这个地址放到一个文件(这个地址是x盘可以改成c盘),在往下走又一个决定性比较,跟进去数据窗口跟随,可以看到是跟你选择 的文件的文本内容
这么做后发现第一个跳转安全
##第二个308,一样搜常量跟进去发现自动过了
##第三个310
这时候就会发现有很多控件的数据出现了
有三个关键跳,决定310的值,其中两个跟image2和3有关,
这个函数的事件又是关于鼠标移动的,在大致看下他这里说的是图3坐标都要够大即右下角,图二要x小y大,即左下角。
##第三个要30c不等于9,一样查找常量,进入第二个,第一个是一开始的赋初值,发现第二个就到解锁edit2的位置了,分析一下,发现是判断edit2的输入内容是否合规,但edit2还没解锁,那么这时候就先去解锁,看dededark,找到edit2的控件标识2f0,在搜索常量,这里会发现第三个才是解锁,也是我们还没有分析到的空白双击事件,这里会发现以dl是否为一来决定了是否解锁edit2,这里的一就是鼠标右键点击,解锁了edit2,不要忘了跳到这里来的原因,是为了让30
c赋值9,那么可以分析edit2双击事件了,会发现这个事件里,要求edit2必须是8位,且用户名长度要是3的倍数,edit2的第二位要是下划线,第6位是逗号,
##最后的314和318是一起的,要314的值等于318,先找314,会发现314跟swich case语句,这是个选择,而且这个选择还是随机的,那跟进搜索一下318,发现总共8个,有没有跟前面四个选择对应上了跟进一个发现又是跟dl是否为一进行加减,那又是左右键,点击的位置是控件图片,最后可以跟314的值对上。所以应该是要根据选择来点击。
相关知识:一个弹框,左上角是(0,0)右下角最大
还有这道题用户名要是ajj不是随意的,这里其实要仔细看,在case下面的汇编里,有判断用户名后是否决定隐藏label3的,也就是出现那个选择。看视频还是要看的明白些