crackme例子2

已于 2023-04-16 23:29:08 修改
阅读量334 收藏
点赞数
分类专栏: 逆向工程 文章标签: 逆向工程 unidbg
于 2023-04-16 20:19:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012787710/article/details/130153385
版权

样本在这里插入图片描述

jadx

在这里插入图片描述

clacSnFuntion jni函数,ida分析
关键位置函数一片红色,可能有动态加解密
在这里插入图片描述

如果不分析具体解密算法,可内存dump解密后整个so
frida如下:

function dump_so(so_name) {
    Java.perform(function () {
        var currentApplication = Java.use("android.app.ActivityThread").currentApplication();
        var dir = currentApplication.getApplicationContext().getFilesDir().getPath();
        var libso = Process.getModuleByName(so_name);
        console.log("[name]:", libso.name);
        console.log("[base]:", libso.base);
        console.log("[size]:", ptr(libso.size));
        console.log("[path]:", libso.path);
        var file_path = dir + "/" + libso.name + "_" + libso.base + "_" + ptr(libso.size) + ".so";
        var file_handle = new File(file_path, "wb");
        if (file_handle && file_handle != null) {
            Memory.protect(ptr(libso.base), libso.size, 'rwx');
            var libso_buffer = ptr(libso.base).readByteArray(libso.size);
            file_handle.write(libso_buffer);
            file_handle.flush();
            file_handle.close();
            console.log("[dump]:", file_path);
        }
    });
}
dump_so("libclacSn.so")

dump后文件拖入Ida,正常看来这是解密后的函数了
在这里插入图片描述

伪代码如下

int __fastcall sub_21B4(const char *imei, const char *userName, const char *sn)
{
  int v3; // r4
  int v4; // lr
  int v5; // r11
  int v6; // r9
  void *v8; // r0
  void *v9; // r4
  int result; // r0
  void (__fastcall *v11)(int *); // r11
  int userName_len2; // r4
  int *v13; // r6
  int i; // r3
  int v15; // r0
  int *v16; // r5
  unsigned int v17; // r2
  int v18; // r2
  char v19; // r2
  int j; // r3
  char *v21; // r5
  int k; // r4
  int v23; // r2
  int v24; // r3
  signed int userName_len; // [sp+10h] [bp-44h]
  unsigned int v28; // [sp+10h] [bp-44h]
  signed int imei_len; // [sp+14h] [bp-40h]
  int v30[6]; // [sp+18h] [bp-3Ch]
  int v31[6]; // [sp+30h] [bp-24h] BYREF
  char name[4]; // [sp+48h] [bp-Ch] BYREF
  int v33; // [sp+4Ch] [bp-8h]
  int v34; // [sp+50h] [bp-4h] BYREF
  int v35[64]; // [sp+54h] [bp+0h] BYREF
  int v36[4]; // [sp+154h] [bp+100h] BYREF
  int v37[18]; // [sp+164h] [bp+110h] BYREF
  int v38[5]; // [sp+1ACh] [bp+158h] BYREF
  int v39[5]; // [sp+1C0h] [bp+16Ch]
  char v40[8]; // [sp+1D4h] [bp+180h] BYREF
  int v41; // [sp+1DCh] [bp+188h]

  v3 = 0;
  v4 = *(_DWORD *)off_4F24;
  v30[5] = 0;
  v31[5] = 0;
  v30[1] = 523322177;
  v31[1] = 272376371;
  v30[2] = 536953137;
  v31[2] = 258025531;
  v30[3] = 1346515761;
  v31[3] = 320878139;
  v30[4] = 1135118;
  v5 = 1074270993;
  v6 = 863068190;
  v41 = v4;
  v31[4] = 6168864;
  *(_DWORD *)name = 1346109522;
  v31[0] = 1074270993;
  v30[0] = 863068190;
  v33 = 0;
  memset(v35, 0, sizeof(v35));
  v39[1] = 0;
  v39[2] = 0;
  v39[3] = 0;
  v39[4] = 0;
  v39[0] = 0;
  imei_len = strlen(imei);
  userName_len = strlen(userName);
  while ( 1 )
  {
    v31[v3++] = v6 + v5;
    if ( v3 == 6 )
      break;
    v5 = v31[v3];
    v6 = v30[v3];
  }
  *(_DWORD *)name = 1701669236;
  v8 = dlopen((const char *)v31, 0);
  v9 = v8;
  if ( !v8 )
    return -1;
  v11 = (void (__fastcall *)(int *))dlsym(v8, name);
  dlclose(v9);
  v11(&v34);
  if ( strlen(sn) != 16 )
    goto LABEL_7;
  userName_len2 = userName_len;
  if ( userName_len >= imei_len )
    userName_len2 = imei_len;
  v28 = v34 / 0x14u;
  v13 = (int *)malloc(imei_len + 1);
  memset(v13, 0, imei_len + 1);
  v11(&v34);
  *v13 ^= (v34 / 20) ^ v28;
  strcpy((char *)v13, imei);
  if ( userName_len2 > 0 )
  {
    for ( i = 0; i != userName_len2; ++i )
      *((_BYTE *)v13 + i) ^= userName[i];
  }
  v11(&v34);
  v15 = *v13;
  v38[1] = 0;
  v38[2] = 0;
  v38[3] = 0;
  *v13 = v15 ^ (v34 / 20) ^ v28;
  v38[4] = 0;
  v16 = v36;
  v36[0] = 1732584193;
  v36[1] = -271733879;
  v36[2] = -1732584194;
  v37[0] = 0;
  v36[3] = 271733878;
  v38[0] = 0;
  v37[1] = 0;
  sub_1B78(v36, v13, imei_len);
  sub_1C64(v40, v37, 8);
  v17 = ((unsigned int)v37[0] >> 3) & 0x3F;
  v18 = v17 > 0x37 ? 120 - v17 : 56 - v17;
  sub_1B78(v36, 24388, v18);
  sub_1B78(v36, v40, 8);
  sub_1C64(v38, v36, 16);
  do
  {
    *(_BYTE *)v16 = 0;
    v16 = (int *)((char *)v16 + 1);
  }
  while ( v16 != v38 );
  v19 = 16;
  for ( j = 0; j != 16; ++j )
    *((_BYTE *)v39 + j) = v19++ ^ *((_BYTE *)v38 + j);
  v21 = (char *)v35;
  for ( k = 0; k != 16; ++k )
  {
    v23 = *((unsigned __int8 *)v39 + k);
    v24 = k + 16;
    sprintf(v21, "%02X", v23 ^ v24);
    v21 += 2;
  }
  v11(&v34);
  v35[0] ^= v28 ^ (v34 / 20);
  free(v13);
  if ( !memcmp(v35, sn, 0x10u) )
    result = 1;
  else
LABEL_7:
    result = 0;
  return result;
}

由于老app对运行环境有要求。
本机是安卓10,常见模拟器又没法动态调试arm,采取unidbg大杀器

unidbg

package com.ucweb.crackme140522;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Emulator;
import com.github.unidbg.Symbol;
import com.github.unidbg.arm.context.RegisterContext;
import com.github.unidbg.hook.hookzz.HookEntryInfo;
import com.github.unidbg.hook.hookzz.HookZz;
import com.github.unidbg.hook.hookzz.IHookZz;
import com.github.unidbg.hook.hookzz.InstrumentCallback;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.jni.ProxyDvmObject;
import com.github.unidbg.memory.Memory;
import com.sun.jna.Pointer;

import java.io.File;
import java.io.IOException;

public class MainActivity extends AbstractJni {
    private final AndroidEmulator emulator;
    private final VM vm;

    public MainActivity() {
        emulator = AndroidEmulatorBuilder.for32Bit()
                .setProcessName("com.ucweb.crackme140522")
                .build();
        Memory memory = emulator.getMemory();
        memory.setLibraryResolver(new AndroidResolver(23));
        vm = emulator.createDalvikVM();
        vm.setVerbose(false);
        vm.setJni(this);
        DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/armeabi/libclacSn.so"), false);
        dm.callJNI_OnLoad(emulator);
    }

    public void destroy() throws IOException {
        emulator.close();
    }

    public boolean clacSnFuntion(String imei, String user_name, String input_sn) {
        String methodSign = "clacSnFuntion(Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;)Z";
        DvmObject<?> obj = ProxyDvmObject.createObject(vm, this);
        return obj.callJniMethodBoolean(emulator, methodSign, imei, user_name, input_sn);
    }
    
    public void hook() {
        Symbol memcmp = emulator.getMemory().findModule("libc.so").findSymbolByName("memcmp");
        IHookZz hookZz = HookZz.getInstance(emulator);
        hookZz.instrument(memcmp, new InstrumentCallback<RegisterContext>() {
            @Override
            public void dbiCall(Emulator<?> emulator, RegisterContext ctx, HookEntryInfo info) {
                Pointer calc_sn = ctx.getPointerArg(0);
                Pointer input_sn = ctx.getPointerArg(1);
                int size = ctx.getIntArg(2);
                System.out.println("calc_sn=" + calc_sn.getString(0) + ", input_sn=" + input_sn.getString(0));
                // 只需取前16位计算的值
            }
        });
    }
    public static void main(String[] args) throws Exception {
        String imei = "358022025281637";
        String user_name = "haikejishu";
        String input_sn = "FEFAC64990C1224F";
        MainActivity mainActivity = new MainActivity();
        mainActivity.hook();
        System.out.println(mainActivity.clacSnFuntion(imei, user_name, input_sn));
        mainActivity.destroy();
    }
}

下载资源

crackme资源

参考

分析算法

面试三题

解密idc脚本

auto start_addr = 0x4F44;
auto patch_addr = 0x21B4;
auto lenth = 0x414;
auto i=0;
for(i=0;i<lenth;i++)
{
    PatchByte(patch_addr+i, Byte(start_addr+i)^0x55);
}
骇客之技术
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
crackme.rar
03-04
用于学习软件逆向和软件破解的Crack Me可执行文件,共160个例子
crackme例子1
平凡者的专栏
04-14 576
解压assets下abcdefghddddd 拖入010 editor查看
CrackMe算法分析
Hanxinyi930702的博客
10-07 236
平时看了一些CrackMe,算法都比较简单,这次拿到的这个算法自己觉得还是比较有难度,首先自己分析时并没有完全分析出算法的结论,后来参照答案才得到较完整的分析: 1.OD载入,F9运行,输入序列号,点击Check,弹出MessgaeBox提示错误的序列号,那么我们分别给MessageBoxA和MessageBoxW下断,重新载入OD,任意输入序列号,程序中断在调用MessgaeBoxA...
crackme杂记007
goat_2003的博客
08-23 137
花指令的特征: 遇到这种指令,可以立即判断出这是一个花指令,所以花指令较多的话,我们也可以通过搜索代码的方式快速去除 如上图,我们已经知道 E8 01 00 00 00 ?? ?? ?? ?? ?? C3 是花指令,所以我们直接搜索这擦混代码一个一个nop就可以了。 易语言中的特征码: 想要搜索易语言程序的特征码,最好在程序的开始位置搜索, 1.字符串比较函数的特征码: test edx,3 执行到这里停住以后,注意观察ECX,EDX寄存器,比骄傲的字符串一定就在这两个寄存器里面,并且我们可以放根据找
看雪crackme3.exe例子源程序和破解后的程序带破解说明
03-07
看雪crackme3.exe例子的源程序 和 破解以后 crackme3.exe的程序,破解之前点击注册,会显示Wrong Serial,try again,破解后的程序,直接点击注册就注册成功,请用ollydbg查看exe文件,txt文档中写了破解的思路修改2...
OllyDBG and Crackme
01-23
调试器OllyDBG 1.1 及例子程序Crackme3.exe
看雪论坛《OllyDBG 入门系列》用到的例子crackme程序
10-14
crackmes.cjb.net 镜像打包中的 CFF Crackme #3;以及 crackmes.cjb.net 镜像打包中的一个名称为 CrackHead 的crackme
CrackMe03.exe
05-04
《加密与解密》第一版附带光盘中的 crackmes.cjb.net 镜像打包中的 CFF Crackme #3(已脱壳)
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统中某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页中运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档中嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器中实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
四则运算自动生成程序安装包
04-29
四则运算自动生成程序安装包
基于Linux的私有文件服务器(网盘).zip
04-29
基于Linux的私有文件服务器(网盘)
源代码-access 管理 系统 API 文件.zip
04-29
源代码-access 管理 系统 API 文件.zip
海康机器人智能读码器工业协议操作手册V1.0.2.pdf
04-29
海康机器人智能读码器工业协议操作手册V1.0.2.pdf
256ssm-mysql-jsp 在线捐赠系统.zip(可运行源码+数据库文件+文档)
04-29
根据需求,确定系统采用JSP技术,JAVA作为编程语言,MySQL作为数据库。整个系统要操作方便、易于维护、灵活实用。主要实现了系统用户管理、注册用户管理、信息发布管理、医疗物品分类管理、项目信息管理、捐赠项目管理、志愿者申请管理、个人求助管理、个人捐赠统计、系统管理等功能。 前台用户模块包括: 1. 首页:网站打开的第一个页面,显示网站的最新信息。 2. 用户注册/登录、3. 新闻资讯、4. 暖心故事、5. 我要求助、6. 我要捐赠、7. 我们的项目、8. 志愿者中心:实现志愿者中心的列表显示、9. 系统简介、10. 在线留言、11. 用户后台 后台管理员模块包括: 1. 系统用户管理、2. 注册用户管理、3. 信息发布管理、4. 医疗物品分类管理、5. 项目信息管理、6. 捐赠项目管理、7. 志愿者申请管理、8. 个人求助管理:管理员可以设置个人求助审核状态,可以删除个人求助审核信息。 9. 个人捐赠统计:管理员可以查看个人捐赠统计信息。 10. 系统管理:管理员可以对留言板信息进行查看、回复或删除 关键词:医药捐赠系统;JSP;MySQL
系统性文献综述的撰写(Systematic Review)-范文2.pdf
04-29
参考范文:Findings on Teaching Machine Learning inHigh School: A Ten -Year SystematicLiterature Review 用于学习研究,侵权请联系本人删除
OD逆向crackme
09-02
在 [安全攻防进阶篇] 中,有关于逆向分析的教程可以帮助你了解如何使用OllyDbg逆向CrackMe程序。 OllyDbg是一种常用的逆向工具,可以用于分析和修改程序的执行流程和内存。使用内存断点和普通断点,可以在程序执行过程中捕获关键的代码位置,帮助我们找到CrackMe程序的OEP(Original Entry Point),即程序的入口点。 在 [安全攻防进阶篇] 中还有关于逆向分析两个CrackMe程序的详细教程,包括逆向分析和源码还原的步骤。这些教程将帮助你理解逆向分析的基本概念和技巧,提升你的安全能力。 如果你想深入学习如何使用OllyDbg逆向CrackMe程序,可以参考这些教程。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[安全攻防进阶篇] 六.逆向分析之OllyDbg逆向CrackMe01-02及加壳判断](https://blog.csdn.net/Eastmount/article/details/107777190)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [逆向crackme之ESp定律脱壳](https://blog.csdn.net/qq_58970968/article/details/125357834)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

骇客之技术

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值