160个crackme 024详细题解(动态指令)

于 2019-09-30 10:06:16 发布
阅读量610 收藏 2
点赞数 1
分类专栏: 反编译 逆向工程 crackme
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaaseesa/article/details/101754651
版权

0x4012DD处开始向后的三条指令是关键

004012DD  lods dword ptr ds:[esi];  [0x4011ec处开始,每次向后取4个字节(高端存取法),进行异或运算],直到执行到向后偏移4 * 0x3E个字节

  1. 004012DD   >  AD            lods dword ptr ds:[esi]                  ;  [0x4011ec处开始,每次向后取4个字节(高端存取法),进行异或运算],直到执行到向后偏移4 * 0x3E个字节  
  2. 004012DE   . |33D8          xor ebx,eax  
  3. 004012E0   . |49            dec ecx  

 

注意在0x4011ec到向后偏移4 * 0x3E处不能有任何断点,不然某些地方数据会变成0xCC, 0xCC对应的汇编指令为int3,是专门用来调试的中断指令。当CPU执行到int3指令时,会触发异常代码为EXCEPTION_BREAKPOINT的异常,这样OD就能够接收到这个异常,然后进行相应的处理,这也是CC断点也叫int3断点的原因。

 

因此为了获取数据,我们直接从exe文件中读取

  1. const int count = 0x3E;  
  2. int size = count * 4;  
  3. FILE *f = fopen("Chafe.2.exe","rb");  
  4. fseek(f,0x5ec,0);//0x4011ec在文件中的绝对偏移为0x5EC  
  5. unsigned long *buffer = new unsigned long[0x3E];  
  6. fread(buffer,4,count,f);  
  7. fclose(f);  

接下来,我们模拟这个异或运算

  1. unsigned long x = 0;  
  2. for (int i=0;i<count;i++) {  
  3.     //对于倒数第2组和第三组的数据,是我们需要逆推的数据,这里先跳过  
  4.     //由于高位存取法   
  5.     //所以倒数第二组数据为0xD833ADXX  
  6.     //所以倒数第三组数据为0xXXXXXX04   
  7.     if (i == count - 3 || i == count - 2) continue;  
  8.     x ^= buffer[i];  
  9. }  

异或运算可以分字节运算,所以,为了求解XX,我们先把已知的字节做运算

  1. //x ^= 0xNNNNNN04  
  2. x ^= 0x00000004;  
  3. //x ^= 0xD833ADNN  
  4. x ^= 0xD833AD00;  

然后由于最终结果要等于0xAFFCCFFB,才能注册成功

因此我们再与0xAFFCCFFB做异或运算

  1. x ^= 0xAFFCCFFB; 

现在,x的结果为0x5426eb58

对应起来,倒数第二组的末尾字节为0x58,

倒数第三组的前三个字节为0x54eb26

但是,由于4个数据一组,

  1. 004012BB xor dword ptr ds:[0x4012D9],eax ;  [0x4012d9] ^= ans  
  2. 004012C1 shr eax,0x10  ;  ans = ans >> 0x10  
  3. 004012C4 sub word ptr ds:[0x4012D9],ax  ;  [0x4012d9] -= ans 以上相当于修改了[0x4012d9]处的指令  

程序是修改0x4012d9处的数据,4字节数据,即0x4012d9 ,0x4012da,0x4012db,0x4012dc处的数据,而根据逆推,它们分别存储着数据0xEB 0x26 0x54 0x58,由于高位存取法,该处数据实际为0x585426EB

即我们需要把运算结果的最后一字节放到最开头,我们使用位移实现

  1. //做位调换   
  2. unsigned long t = x;  
  3. x = (t & 0xFF) << 24;  
  4. x = x + (t >> 0x8);  

现在,我们得出,要想注册成功,0x4012D9的数据必须为0x585426EB

更为关键的是0x585426EB对应的指令正好有一条jmp 0x00401301,因此这样就能跳转到注册成功的地方了,这种动态改变指令的算法很巧妙,值得我们学习

我们来分析,程序是如何计算这里的数据的

  1. 004012A3   .  A1 0B304000   mov eax,dword ptr ds:[0x40300B]          ;  unsigned long ans = 0x58455443  
  2. 004012A8   .  BB 6C314000   mov ebx,Chafe_2.0040316C                 ;  for (int i=0; i<16; i++) {  
  3. 004012AD   >  0303          add eax,dword ptr ds:[ebx]               ;     ans += *((unsigned long *)p++);  
  4. 004012AF   .  43            inc ebx  
  5. 004012B0   .  81FB 7C314000 cmp ebx,Chafe_2.0040317C  
  6. 004012B6   .^ 75 F5         jnz XChafe_2.004012AD                    ;  }  

首先是对用户名进行计算,循环16次,每一次用户名字符串指针向后移到一个字节,并把当前指针指向的地址处的数据向后取出4个字节,转成数字,即向后取4个字符,获取ascii码,由高到低组合成4字节数据

接下来是关键的计算

  1. 004012B8   .  5B            pop ebx                                  ;  获取输入的serial,存入ebx  
  2. 004012B9   .  03C3          add eax,ebx                              ;  ans += serial  
  3. 004012BB   .  3105 D9124000 xor dword ptr ds:[0x4012D9],eax          ;  [0x4012d9] ^= ans  
  4. 004012C1   .  C1E8 10       shr eax,0x10                             ;  ans = ans >> 0x10  
  5. 004012C4   .  66:2905 D9124>sub word ptr ds:[0x4012D9],ax            ;  [0x4012d9] -= ans 以上相当于修改了[0x4012d9]处的指令  

这里就是修改0x4012D9处的数据了

首先写出运算过程

ans += serial;

         unsigned long x = 0x584554; //0x4012D9的初始内容

         x ^= ans;

         ans = ans >> 0x10;

         x -= ans & 0xFF;

x == 0x585426EB

由于异或运算可以分字节单独运算,于是我们写出方程

0x0058 ^ ans_h = 0x5854

ans_l ^ 0x4554  –  ans_h = 0x26EB

解得ans_h = 0x580C

ans_l = 3BA3

所以 ans = 0x580C3BA3

  1. unsigned long fl = 0x00584554;   
  2. unsigned long key = fl ^ x;  
  3. t = (key >> 0x10) + (x & 0xFFFF);  
  4. t ^= (fl & 0xFFFF);  
  5. key = (key & 0xFFFF0000) + t;  

 

name的运算结果+serial必须为0x580C3BA3才能注册成功

所以serial = key – (name的运算结果)

综上,我们写出注册机

  1. #include <iostream>  
  2. #include <cstdio>  
  3. #include <cstring>  
  4.   
  5. using namespace std;  
  6.   
  7. int main() {  
  8.     const int count = 0x3E;  
  9.     int size = count * 4;  
  10.     FILE *f = fopen("Chafe.2.exe","rb");  
  11.     fseek(f,0x5ec,0);//0x4011ec在文件中的绝对偏移为0x5EC  
  12.     unsigned long *buffer = new unsigned long[0x3E];  
  13.     fread(buffer,4,count,f);  
  14.     fclose(f);  
  15.     unsigned long x = 0;  
  16.     for (int i=0;i<count;i++) {  
  17.         //对于倒数第2组和第三组的数据,是我们需要逆推的数据,这里先跳过  
  18.         //由于高位存取法   
  19.         //所以倒数第二组数据为0xD833ADXX  
  20.         //所以倒数第三组数据为0xXXXXXX04   
  21.         if (i == count - 3 || i == count - 2) continue;  
  22.         x ^= buffer[i];  
  23.     }  
  24.     //cout << "异或" << x << endl;  
  25.     x ^= 0xAFFCCFFB;  
  26.     //x ^= 0xNNNNNN04  
  27.     x ^= 0x00000004;  
  28.     //x ^= 0xD833ADNN  
  29.     x ^= 0xD833AD00;  
  30.       
  31.     //做位调换   
  32.     unsigned long t = x;  
  33.     x = (t & 0xFF) << 24;  
  34.     x = x + (t >> 0x8);  
  35.       
  36.     //0x585426EB  
  37.     cout << hex << "0x" << x << endl;  
  38.     unsigned long fl = 0x00584554;   
  39.     unsigned long key = fl ^ x;  
  40.       
  41.     t = (key >> 0x10) + (x & 0xFFFF);  
  42.     t ^= (fl & 0xFFFF);  
  43.     key = (key & 0xFFFF0000) + t;  
  44.       
  45.     char name[50];  
  46.     memset(name,0,50);  
  47.     cout << "请输入用户名:";  
  48.     cin >> name;  
  49.     int len = strlen(name);  
  50.     char *p = name;  
  51.     unsigned long ans = 0x58455443;  
  52.     for (int i=0; i<16; i++) {  
  53.         ans += *((unsigned long *)p++);  
  54.     }  
  55.     cout << dec << key - ans << endl;  
  56.     return 0;  
  57. }  

 

ha1vk
关注
专栏目录
160crackme程序
02-04
160个全能用的CRACKME程序,很不错,有的和简单但是也有难的,值得一玩
160CrackMe算法分析.chm
最新发布
09-12
我制作的《新160CrackMe算法分析》视频的配套文件,内含全部课件及评分。
160CrackMe
平安的博客
12-09 203
1. Reverse re-1: · ida打开直接搜索字符串; getit: | asddass sdsadad – –sasd asddas 2. Web 3. Misc 4. Crypto 5. pwn
160Crackme007
鬼手的博客
03-09 505
文章目录查壳Darkde分析程序导入符号分析核心算法写出注册机校验结果分析again按钮事件校验步骤 007这个crackme跟006是同一个作者,只不过难度上升了一颗星。先来查一下壳吧 查壳 还是Delphi写的程序,没有壳。接下来用Darkde分析一下程序。 Darkde分析程序 右边这个again按钮是被隐藏的。然后再来看事件 这里有以下几个事件: Cancella按钮的点击事件 A...
160Crackme009
鬼手的博客
03-14 641
文章目录查壳VB Decompiler分析程序前置知识OD分析算法写出注册机验证结果 查壳 先来查一下壳,这个程序是用VB写的,和008是同一个作者,用的是用户名和序列号的保护方式,难度可能会有所上升,所以得分析整个按钮点击事件的算法。 VB Decompiler分析程序 把程序拖到VB Decompiler里,这个可是VB的逆向神器啊。 重要的信息有两个,一个是Native Code,说明是...
160CrackMe之001
w_g3366的博客
07-14 665
160CrackMe之001 环境和工具 Win10+OD+PEID 程序分析 想要破解一个程序,首先我们要了解它,知道它的执行流程,这要我们才好反向跟踪 怎么搜集信息呢?程序本身和外部工具 PEID查壳后发现没有壳,是一个Delphi的程序 打开程序Acid burn.exe运行,我么发现这个程序破解分两部分: 一个是Serial/Name,需要输入正确的用户名和密码才能通过 一个Se...
160Crackme024之Opcode加密1
08-03
2. ebx为指向用户名的指针 3. 将eax和ebx的内容相加 结果保存在eax 4. 然后用户名左移1位 5. 检测用户名是否到了结尾,即循环次数为用户名的
适合破解新手的160crackme练手.zip
06-03
适合破解新手的160crackme练手.chm,结合ollydbg等工具可以很好的掌握
适合破解新手的160crackme练手.rar
08-12
适合破解新手的160crackme练手
适合破解新手的160crackme练手.chw
01-18
适合破解新手的160crackme练手.chw
160Crackme006
鬼手的博客
03-06 1034
文章目录查壳导入符号分析程序分析关键函数写出注册机验证结果分析ok按钮点击事件分析关键函数写出注册机校验结果 查壳 同样也是用Delphi写的,没有壳。 导入符号 将程序载入到IDA,添加所有的Delphi的签名,然后导出为map文件,在OD中加载map文件,强大的签名库可以减少后面的分析时间。 分析程序 接下来分析一下这个程序,OK那个按钮被禁用了,这是什么套路? 旁边还有个help,不过...
160Crackme011
鬼手的博客
03-21 384
文章目录查壳分析思路寻找突破口OD分析程序分析核心算法强行推序列号 查壳 目标程序是使用VB写的,和前面三个crackme是同一个作者 分析思路寻找突破口 这个就是这次的目标程序,只提供了一排输入按键和右边的提示,没有确定按钮,那么猜测这个程序校验序列号的方式应该有两种,一种是通过Serial编辑框的变化事件来判断,一种是通过定时器来判断。 然后再用VB Decompiler来看一下有哪些事件...
160Crackme029
鬼手的博客
04-15 354
文章目录查壳分析程序分析算法写出注册机校验结果 查壳 这个Crackme跟027和028是同一个作者,VC6写的,难度为一颗星 分析程序 同样,根据字符串的错误提示,来到函数头的位置,配合IDA的伪代码分析整个算法, 分析算法 随便输入一个用户名和序列号,算法的校验过程如下。这个Crackme跟028一样有花指令的干扰,如果想在IDA中看到F5的伪代码,需要手动去除花指令,去除的方法请参考我...
160Crackme010
鬼手的博客
03-18 358
文章目录查壳分析程序分析算法写出注册机验证结果 查壳 跟008和009这两个crackme一样是同一个作者,还是用VB写的。 分析程序 这个程序的保护方式也很简单,只有一个序列号 直接搜索字符串, 根据错误提示来到关键代码处,接着一直往上找, 接着就看到了这个地方的跳转来自0x402053这个位置,跟过去看看 这里有一个关键的比较,根据ax的值来提示是否正确。 kXy^rO|*yXo*...
160Crackme040
鬼手的博客
05-04 815
文章目录分析程序找到响应事件添加签名 导出map文件分析算法写出注册机校验结果 【软件名称】:DaNiEl-RJ.1.exe 【软件大小】:216KB 【下载地址】:https://github.com/TonyChen56/160-Crackme 【加壳方式】:无壳 【保护方式】:Name/Serial 【编译语言】:Delphi 【调试环境】:W10 64 【使用工具】: OD+IDA+Dar...
160CrackMe之004
w_g3366的博客
08-03 474
160CrackMe之004 环境和工具 Win10+x32dbg+PEID 程序分析 程序说明:没有按钮,错误没有提示,如果成功会出现一张照片. 1.先查壳:无壳.Delphi程序 2.尝试注册: 用户名:123456789012 发现用户名最多12位 注册码:abcdefghijk 注册码好像没有长度限制 目前就这些信息了,开始分析 分析过程 没什么头绪,先搜索字符串看看,发现注册成功...
160crackme之004
Neu_webin的博客
08-02 1057
还是下定决心好好做一波crackme 逆向的新手,写个博客记录一下自己的学习经历和crack思路 ---------------------------------------------------华丽丽的分割线------------------------------------------------- 0X00  首先查壳,观察到没有壳并且是delphi语言编写的 还是打开软件,
crackme160的解题步骤
03-30
对于一个CrackMe来说,解题的步骤会因题目难度和设计而有所不同。下面是一般情况下的解题步骤: 1. 分析题目和二进制文件:首先,需要了解题目的背景和目的,以及二进制文件的类型和结构。可以使用反汇编器、调试器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值