010破解(三)之算法分析二

最新推荐文章于 2019-09-10 09:35:01 发布
最新推荐文章于 2019-09-10 09:35:01 发布
阅读量306 收藏
点赞数 1
分类专栏: 逆向分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_g3366/article/details/95584634
版权

010破解(三)之算法分析二

概述

010破解(二)之算法分析一
上一篇详细分析了第一种算法,也就是k[3]=0x9C系列的
之后分析了k[3]=0xFC系列后发现函数返回值最终并不能返回0x2D
因此这篇分析k[3]=0xAC系列的算法,部分地方需要结合上篇文章,在这不重复分析了

逐行分析代码

枯燥的旅程,耐心、耐心、再耐心

013BDCFC    80FB AC         CMP BL,0xAC
013BDCFF    0F85 70010000   JNZ 010Edito.013BDE75
013BDD05    8A45 DD         MOV AL,BYTE PTR SS:[EBP-0x23]            ; k[1]
013BDD08    3245 E3         XOR AL,BYTE PTR SS:[EBP-0x1D]            ; AL=k[0]^k[7]
013BDD0B    0FB6C8          MOVZX ECX,AL                             ; ecx=AL&0xFF
013BDD0E    B8 00010000     MOV EAX,0x100
013BDD13    66:0FAFC8       IMUL CX,AX                               ; CX=(k[0]^k[7]&0xFF)*0x100
013BDD17    8A45 DE         MOV AL,BYTE PTR SS:[EBP-0x22]            ; AL=k[2]
013BDD1A    32C7            XOR AL,BH                                ; k[2]^k[5]
013BDD1C    C747 1C 0200000>MOV DWORD PTR DS:[EDI+0x1C],0x2
013BDD23    0FB6C0          MOVZX EAX,AL                             ; AL=(k[2]^k[5])&0xFF
013BDD26    66:03C8         ADD CX,AX
013BDD29    0FB7C1          MOVZX EAX,CX                             ; CX=(k[0]^k[7]&0xFF)*0x100+(k[2]^k[5])&0xFF
013BDD2C    50              PUSH EAX
013BDD2D    E8 96A604FF     CALL 010Edito.004083C8
013BDD32    0FB7C0          MOVZX EAX,AX
013BDD35    83C4 04         ADD ESP,0x4
013BDD38    8947 20         MOV DWORD PTR DS:[EDI+0x20],EAX
013BDD3B    85C0            TEST EAX,EAX
013BDD3D    0F84 32010000   JE 010Edito.013BDE75
013BDD43    3D E8030000     CMP EAX,0x3E8
013BDD48    0F87 27010000   JA 010Edito.013BDE75
013BDD4E    0FB655 E5       MOVZX EDX,BYTE PTR SS:[EBP-0x1B]         ; k[9]
013BDD52    0FB64D E0       MOVZX ECX,BYTE PTR SS:[EBP-0x20]         ; k[4]
013BDD56    0FB6C7          MOVZX EAX,BH                             ; k[5]
013BDD59    33D0            XOR EDX,EAX                              ; EDX=k[9]^k[5]
013BDD5B    0FB645 E4       MOVZX EAX,BYTE PTR SS:[EBP-0x1C]         ; eax=k[8]
013BDD5F    33C8            XOR ECX,EAX                              ; ecx=k[4]^k[5]
013BDD61    C1E2 08         SHL EDX,0x8                              ; EDX=(k[9]^k[5])<<8
013BDD64    0FB645 E2       MOVZX EAX,BYTE PTR SS:[EBP-0x1E]         ; eax=k[6]
013BDD68    03D1            ADD EDX,ECX                              ; EDX=(k[9]^k[5])<<8+k[4]^k[5]
013BDD6A    0FB64D DC       MOVZX ECX,BYTE PTR SS:[EBP-0x24]         ; ecx=k[0]
013BDD6E    C1E2 08         SHL EDX,0x8                              ; EDX=((k[9]^k[5])<<8+k[4]^k[5])<<8
013BDD71    33C8            XOR ECX,EAX                              ; ecx=k[0]^k[6]
013BDD73    03D1            ADD EDX,ECX                              ; EDX=((k[9]^k[5])<<8+k[4]^k[5])<<8+k[0]^k[6]
013BDD75    68 278C5B00     PUSH 010Edito.005B8C27                   ; ASCII CC,"烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫烫"
013BDD7A    52              PUSH EDX
013BDD7B    E8 0BCA04FF     CALL 010Edito.0040A78B
013BDD80    83C4 08         ADD ESP,0x8

验证完用户名之后会有个判断k[3]==0xAC的比较,继续逐行分析,会发现函数最终返回值是0x2D

013BDE2B    80FB AC         CMP BL,0xAC
013BDE2E    75 1A           JNZ SHORT 010Edito.013BDE4A
013BDE30    8B45 F0         MOV EAX,DWORD PTR SS:[EBP-0x10]
013BDE33    85C0            TEST EAX,EAX
013BDE35    74 13           JE SHORT 010Edito.013BDE4A
013BDE37    3945 0C         CMP DWORD PTR SS:[EBP+0xC],EAX
013BDE3A    76 07           JBE SHORT 010Edito.013BDE43
013BDE3C    BE 4E000000     MOV ESI,0x4E
013BDE41    EB 0C           JMP SHORT 010Edito.013BDE4F
013BDE43    BE 2D000000     MOV ESI,0x2D
013BDE48    EB 05           JMP SHORT 010Edito.013BDE4F
013BDE4A    BE E7000000     MOV ESI,0xE7
013BDE4F    8D4D EC         LEA ECX,DWORD PTR SS:[EBP-0x14]
013BDE52    C745 FC FFFFFFF>MOV DWORD PTR SS:[EBP-0x4],-0x1
013BDE59    FF15 7C24E702   CALL DWORD PTR DS:[<&Qt5Core.??1QByteArr>; Qt5Core.??1QByteArray@@QAE@XZ
013BDE5F    8BC6            MOV EAX,ESI
013BDE61    8B4D F4         MOV ECX,DWORD PTR SS:[EBP-0xC]
013BDE64    64:890D 0000000>MOV DWORD PTR FS:[0],ECX

算法到这就分析全部分析完了

算法总结

  1. 判断用户名/密码是否为空

  2. 将密码字符串转为16进制数据

  3. 验证密码

    1. k[3]=0x9C 或 0xFC 或者 0xAC

    2. sub_00407644函数返回值不能为0

      即AL = (k0 ^ k6 ^ 0x18 + 0x3D) ^ 0xA7

      AL!=0

    3. sub_004083C8函数返回值不能为0 且 小于等于0x3e8

      即esi=((K[2]k[5]&0xFF)+(K[1]k[7]&0xFF)*0x100)&0xFFFF

      EAX=((esi0x7892+0x4D30)0x3421&0xFFFF)/0xB

      if (dwEAX % 0xB == 0 && dwEAX/0xB <= 0x3e8)

  4. 将用户名转为ASCII字符串

  5. 调用sub_402E50函数计算用户名字符串加密值,参数是(用户名,1,0,sub_004083C8函数返回值)

    用户名加密值与k4 k5 k6 k7有对应关系

    K[4]=Ret&0xFF
    k[5]=(Ret>>8)&0xFF
    k[6]=(Ret>>0x10)%0xFF
    k[7]=(Ret>>0x18)&0xFF

  6. 判断参数

    即sub_00407644函数返回值>=9

    或者<=0x4389(根据算法选择不同的参数作比较)

本文仅限学习交流使用
初识逆向
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据结构与算法分析C++描述(第版)_数据开发_数据结构与算法分析版C++_
10-03
通过C++语言进行数据结构的讲解与算法分析
010破解(一)之暴力破解
w_g3366的博客
09-10 815
010破解(一)之暴力破解 010介绍 010是非常好用的16进制编辑工具 功能介绍: 16进制修改 文本修改 模板解析各种文件格式 对比文件 暴力破解分析 分析思路: 找到注册窗口 测试注册窗口反应(输入错误的假序列号) 根据反应做出下一步分析的打算 猜测API,API下断点动态调试 挑出敏感字符串,在程序中搜索 动态分析,定位关键跳转,修改代码 动态分析,定位关键CALL,修改代码...
010破解(四)之注册机
w_g3366的博客
09-10 872
010破解(四)之注册机 010破解()之算法分析010破解()之算法分析 概述 算法总算分析完成了,接下来准备就编写注册机了,根据我们输入的用户名,计算出序列号 思路分析 方法一:暴力枚举,这种方式太费时间,能用技术解决的事不可能用这种方法的 方法: 根据输入用户名计算加密值 加密值与密码对应关系可以得到 k4 k5 k6 k7,假设Ret是函数返回的加密值 K[4]=Ret&am...
010破解()之算法分析
w_g3366的博客
09-10 428
010破解()之算法分析010破解(一)之暴力破解 暴力破解后,仍然想写一个010Edit的注册机,这篇接着上一篇分析 算法分析 分析关键函数: 单步跟踪,找到访问用户名密码的代码, 一步一步分析,加注释, 反复推敲,找规律 写代码验证 在关键函数出下断点,然后注册用户名和密码,监视程序运行 函数参数确定: 参数一:0x9 参数:0x4389 参数:ecx---------ec...
吉林大学算法分析习题课答案.zip
09-01
吉林大学算法分析习题课答案.zip
算法设计与分析基础第版答案
02-26
英文完整答案
算法分析与设计之算法分析.pps
05-26
算法分析与设计之算法分析.pps
一款比较简单的PDF解密工具注册码分析
w_g3366的博客
09-09 2862
文章目录准备工作暴力破解算法分析 准备工作 工具环境 Windows7+OllyDbg+PEiD 查壳 无壳,VB6.0程序 暴力破解 OD载入文件,F9运行,点击注册按钮,弹出注册页面 去掉网页弹窗,字符串搜索,找到网址 内存修改网址,用00填充 保存文件 分析dump出来的文件 提示字符串刚才在找网址的时候见过,定位过去 跟踪跳转,直到找到关键跳转 验证一下找的对不对,再...
看雪CTF2019Q2第一题神秘的来信
w_g3366的博客
08-09 1310
看雪CTF2019Q2第一题神秘的来信 环境和工具 Windows10+x32dbg 程序分析 运行程序,输入序列号,输错程序就直接退了。 没看到任何提示,先搜索字符串,看看有什么有用信息 定位error和success字符串位置,观察代码,发现代码不是很长,那么直接从输入字符串的地方开始分析 分析代码 00401298 | 68 F8C64100 | push mys...
看雪CTF题目——流浪者
w_g3366的博客
08-06 1259
看雪CTF题目——流浪者 一、环境和工具 Windows7+OllyDbg 、题目分析 1.先查壳,无壳程序 2.运行程序 不输入,之间点验证,弹出请输入pass对话框 随意输入123456,弹出错误,加油对话框 分析过程 提示很明显,我们直接搜索字符串可以定位关键位置了 这里有两个CALL,所有的跳转位置都看看,会发现如果输入的key不是数字字母就会调用第一个CALL,弹出错误对...
010破解(五)之网络验证
w_g3366的博客
09-10 1253
010破解(五)之网络验证 概述 计算出来的序列号只能用一段时间就失效,原因是每次010Edit联网是会通过官网验证我们的序列号,因此要实现完美破解,我们还要分析一下网络验证. 分析思路 联网 输入计算出来的序列号 定位到核心代码,一路跟下来,直到无效字符串或者成功字符串 注册问题 问题:会出现这种情况,就是网络验证不通过 可能你会有疑惑,为什么我上篇文章就成功了? 我来分析一下,首先我们根...
160个CrackMe之001
w_g3366的博客
07-14 619
160个CrackMe之001 环境和工具 Win10+OD+PEID 程序分析 想要破解一个程序,首先我们要了解它,知道它的执行流程,这要我们才好反向跟踪 怎么搜集信息呢?程序本身和外部工具 PEID查壳后发现没有壳,是一个Delphi的程序 打开程序Acid burn.exe运行,我么发现这个程序破解分两部分: 一个是Serial/Name,需要输入正确的用户名和密码才能通过 一个Se...
WinRar压缩工具去广告
w_g3366的博客
09-05 334
WinRar去广告 查壳:无壳程序,VS2015编译的64位程序 使用Spy++捕获广告窗口类名,窗口标题 使用x64dbg调试程序,在CreateWindowW处下断点,观察堆栈窗口,直到参数窗口类名为RarReminder 调用堆栈返回上层模块 观察上下文,往上找可以看到广告的网址字符串 删除之前的API断点,找到函数头部下断点,重新分析 程序断下后返回上一层,关键函数参数和返回值 ...
160个CrackMe之004
w_g3366的博客
08-03 324
160个CrackMe之004 环境和工具 Win10+x32dbg+PEID 程序分析 程序说明:没有按钮,错误没有提示,如果成功会出现一张照片. 1.先查壳:无壳.Delphi程序 2.尝试注册: 用户名:123456789012 发现用户名最多12位 注册码:abcdefghijk 注册码好像没有长度限制 目前就这些信息了,开始分析 分析过程 没什么头绪,先搜索字符串看看,发现注册成功...
infrared-remote-candroid studiodemo
最新发布
05-05
android studio下载
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
05-05
【新质生产力】新质生产力赋能智能制造数字化解决方案.pptx
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
05-05
基于matlab实现的用于应用布格重力异常数据反演地下异常密度体.rar
算法分析枚硬币伪代码
07-12
以下是一个伪代码示例,用于分析枚硬币的算法: ``` function analyzeCoins(coin1, coin2, coin3): countHeads = 0 countTails = 0 if coin1 == "H": countHeads = countHeads + 1 else: countTails = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值