恶意程序CrackMe分析(超详细)
一.实验要求:
请依据课堂上所讲解的内容,完成本次的实验,要求:
1、结合你上次自行编写的CrackMe程序,实现“爆破”的逆向分析工作。
2、结合KeyFile.exe文件的内容,采用逆向技术,实现“爆破”操作。
3、采用逆向技术分析KeyFile.exe文件的内容,在不采用“爆破”技术的前提下,编写出符合要求的可以通过程序验证的文件,要求这个文件内容必须包含有你的学号以及中文姓名的拼音。
本次实验需要提交实验报告以及要求3中的程序验证文件。
二.实验目标和使用工具:
1.爆破上次所写的CrackMe,爆破这次老师给出的KeyFile,逆向分析KeyFile并通过验证
2.IDA 32,Ollydbg ,CrackMe,KeyFile,视频
三.实验过程:
1.爆破CrackMe.exe
将上次实验所写的CrackMe.exe拖入IDA
Shift+F12:打开String表,找到关键词
定位到False,Pass说明这里有判断点
双击后Pass:
看到pass参数放在apass,ctrl+x回车
右键打开Graph view
可以看到jz 在loc_401879判断是否和加密方式一样后输出Pass or False
显示地址
打开Ollydbg,拖进CrackMe.exe,ctrl+G快速定位到判断的地址
将判断的逻辑改为相反:即将je改为jne
汇编后,复制所有修改
在新窗口右键保存在桌面
运行,输入错误密码显示成功,爆破完成。
2.爆破KeyFile.exe
打开KeyFile.exe
看到有关键字:Status,Unregistered,Try it
将程序拖入IDA并shift+F12
找到关键字,双击CrackMe,转换到Graph view
同样找到了判断的地址:00429DDE
打开Ollydbg快速定位,修改为JZ
汇编保存在桌面,步骤和第一问相同。
运行,这时新建txt文件随便输入,添加后
Well done爆破成功
3.逆向分析KeyFile.exe,编写验证文件
将KeyFile.exe文件分别拖入IDA和Ollydbg
同样找到判断语句的地方
可以发现在判断语句的上方,(cmp)即判断的内容是ebx和20A9是否相等
同时注意到20A9后面有一个h说明这是一个16进制数字
点击ebx找到流程中出现ebx 的位置
第一个位置展示的是异或ebx本身,实际是一个清零初始化的过程
这是第二个位置:展示的是一个循环体,add为累加,将eax累加到ebx,eax的值存放在ebp+var_1;
同样显示出它的地址00429DAF,打开Ollydbg
快捷跳转ctrl+G 00429DAF,F2设置断点
F9运行程序到这里
其中插入文件的内容是;
运行的发现:
累加了61,即“a”
我们输入的第一个字符是a那么可以猜测它把我们输入的字符的ascii累加
再继续两次循环运行,发现果然是将输入的abc全部累加,猜测成功
那么就是输入的字符ascii累加等于16进制20A9;
使用老师所给的软件和电脑自带的计算器
在输入我的学号和姓名后,将二进制全部求和转16进制为579,
20A9-579发现还差1B30
百度找到ascii的最大有意义字符为”~”,那么就用他填充可以简洁一些
“~”的16进制为7E
用1B30分别求商和余数为37;1E
也就是需要添加37个~和一个1E
1E转换成字符为”.”
那么可以知道在创建插入文件时,内容应该填入
1801030137guowenwu~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~.
然而现实是痛苦的,无法通过
可以发现,”.”是2e
我天真的以为了1e就是一个点,后面了解到,转成的字符可能是需要分在两个空间里
出现了一个问号,于是我又改成了一个点再加一个问号,发现还是不对
再次百度知道了他是由于所转的字符在电脑无法显示,那么我想着尽量把这个情况避免,
于是用20A9除以579等于5,十进制下也是5,余数是54C
54C再除以7E等于A,十进制下为10,
余数为60
反向验证一下
也是60,说明正确
最终程序验证文件组成为5个学号姓名10个~1个`
成功!
谢谢浏览,大家可以从实验中掌握一些分析的方法,如果需要下载文中的软件和提到的恶意程序,点击下方链接
软件,程序
32
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
