170619 逆向-CrackMe之033

最新推荐文章于 2021-08-26 22:30:41 发布
最新推荐文章于 2021-08-26 22:30:41 发布
阅读量585 收藏
点赞数
分类专栏: CrackMe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whklhhhh/article/details/73476942
版权

1625-5 王子昂 总结《2017年6月19日》 【连续第260天总结】

A.CrackMe(33)

B.

眼花不小心解压到后面好几个之后的CM了_(:з」∠)_做完才发现

拖入PEiD,显示MASM,汇编写的程序。前天那个异或自己指令的程序真是给我留下心理阴影了……

F9运行,窗口空白,菜单栏的FILE点不开,估计是后一个KeyFile类型的时候用的

HELP里有Register和About,点开Register里面就是Name/Serial的注册了

输入123/321,确认后有两个报错窗口

再次输入,在第一个报错窗口弹出的时候到OD里F12暂停,然后ALT+K查看调用堆栈,找到用户领空的调用行

004013AA  |. /EB 15         jmp short Cruehead.004013C1
004013AC  |> |5E            pop esi                                  ;  user32.761FCB33
004013AD  |. |6A 30         push 0x30                                ; /Style = MB_OK|MB_ICONEXCLAMATION|MB_APPLMODAL
004013AF  |. |68 60214000   push Cruehead.00402160                   ; |Title = "No luck!"
004013B4  |. |68 69214000   push Cruehead.00402169                   ; |Text = "No luck there, mate!"
004013B9  |. |FF75 08       push [arg.1]                             ; |hOwner = 00402048
004013BC  |. |E8 79000000   call <jmp.&USER32.MessageBoxA>           ; \MessageBoxA
004013C1  \> \C3            retn
发现之前有一个判断,但是之后就之前返回了。说明这一个错误窗口不触发的话就直接跳过,下断后重新运行,然后单步跟出去,就到了主领空里。

00401228   .  68 8E214000   push Cruehead.0040218E                   ;  ASCII "ABC"
0040122D   .  E8 4C010000   call Cruehead.0040137E                   ;  第一个错误弹窗
00401232   .  50            push eax                                 ;  判断字符是否都为字母,并以大写形式将ASCII累加再与0x5678异或
00401233   .  68 7E214000   push Cruehead.0040217E                   ;  ASCII "123"
00401238   .  E8 9B010000   call Cruehead.004013D8                   ;  累加和先*0xA再+serial的每个字节的ASCII-0x30,最后与0x1234异或
0040123D   .  83C4 04       add esp,0x4                              ;  结果保存在bx中
00401240   .  58            pop eax                                  ;  user32.761FCB33
00401241   .  3BC3          cmp eax,ebx                              ;  结果必须等于Name的结果
00401243   .  74 07         je short Cruehead.0040124C               ;  第二个关键跳
00401245   .  E8 18010000   call Cruehead.00401362                   ;  第二个错误弹窗
0040124A    ^ EB 9A         jmp short Cruehead.004011E6
0040124C   >  E8 FC000000   call Cruehead.0040134D                   ;  成功弹窗
00401251   .^ EB 93         jmp short Cruehead.004011E6

在一堆跳转之中,很容易判断出004011E6是退出的地址,那么跳过两个错误弹窗以后,最后一个退出之前很明显就是成功弹窗了
把00101243的je改成jmp就可以爆破成功

注册机:

跟进第一个错误弹窗的call里是一个循环处理字符的结构:

0040137E  /$  8B7424 04     mov esi,dword ptr ss:[esp+0x4]           ;  Cruehead.00402048
00401382  |.  56            push esi
00401383  |>  8A06          /mov al,byte ptr ds:[esi]
00401385  |.  84C0          |test al,al
00401387  |.  74 13         |je short Cruehead.0040139C
00401389  |.  3C 41         |cmp al,0x41  ;  每个字符都要大于等于0x41,即为字母
0040138B  |.  72 1F         |jb short Cruehead.004013AC      ;失败
0040138D  |.  3C 5A         |cmp al,0x5A                             ;  小于5A时不跳转
0040138F  |.  73 03         |jnb short Cruehead.00401394;大于5A(即小写字母)则跳转
00401391  |.  46            |inc esi
00401392  |.^ EB EF         |jmp short Cruehead.00401383
00401394  |>  E8 39000000   |call Cruehead.004013D2                  ;  小写转大写
00401399  |.  46            |inc esi
0040139A  |.^ EB E7         \jmp short Cruehead.00401383
0040139C  |>  5E            pop esi                                  ;  user32.761FCB33
0040139D  |.  E8 20000000   call Cruehead.004013C2                   ;  ASCII累加
004013A2  |.  81F7 78560000 xor edi,0x5678 ;与0x5678异或
004013A8  |.  8BC7          mov eax,edi                              ;  Cruehead.00402048
004013AA  |.  EB 15         jmp short Cruehead.004013C1
004013AC  |>  5E            pop esi                                  ;  user32.761FCB33
004013AD  |.  6A 30         push 0x30                                ; /Style = MB_OK|MB_ICONEXCLAMATION|MB_APPLMODAL
004013AF  |.  68 60214000   push Cruehead.00402160                   ; |Title = "No luck!"
004013B4  |.  68 69214000   push Cruehead.00402169                   ; |Text = "No luck there, mate!"
004013B9  |.  FF75 08       push [arg.1]                             ; |hOwner = 00402048
004013BC  |.  E8 79000000   call <jmp.&USER32.MessageBoxA>           ; \MessageBoxA
004013C1  \>  C3            retn

当Name存在数字字符的时候会触发第一个错误弹窗,并且此时的eax值为数字的ASCII

第二个循环就简单多了:

004013D8  /$  33C0          xor eax,eax
004013DA  |.  33FF          xor edi,edi                              ;  Cruehead.00402048
004013DC  |.  33DB          xor ebx,ebx
004013DE  |.  8B7424 04     mov esi,dword ptr ss:[esp+0x4]           ;  Cruehead.00402048
004013E2  |>  B0 0A         /mov al,0xA
004013E4  |.  8A1E          |mov bl,byte ptr ds:[esi]
004013E6  |.  84DB          |test bl,bl
004013E8  |.  74 0B         |je short Cruehead.004013F5
004013EA  |.  80EB 30       |sub bl,0x30                             ;  ASCII-0x30
004013ED  |.  0FAFF8        |imul edi,eax                            ;  di*0xA
004013F0  |.  03FB          |add edi,ebx                             ;  整型值加到di上
004013F2  |.  46            |inc esi
004013F3  |.^ EB ED         \jmp short Cruehead.004013E2
004013F5  |>  81F7 34120000 xor edi,0x1234                           ;  与0x1234异或
004013FB  |.  8BDF          mov ebx,edi                              ;  Cruehead.00402048
004013FD  \.  C3            retn

循环:累加和先乘0xA(即10),然后加上第n个字符减0x30,最后与0x1234异或

然后前后两个进行比较,失败则显示第二个错误弹窗,否则显示成功弹窗


实际上就是将数字字符串转换为整型值,最后与0x1234异或,因为乘10相当于十进制下左移一位嘛

这样看来纯汇编的StrToInt还要自己写也挺麻烦的……识别起来也是OTZ给个API的话OD一下就识别出来了

因此注册机很好做:只需要将Name的值算出来后,与0x1234异或即可得到Serial


我本来以为可能在第一个错误的情况下第二个通过然后弹正确呢,没想到最后的messagebox的call会使得eax变为1。不过仍然可以计算出这种情况,令1与0x1234异或得到0x1235,则Name输入数字,Serial输入4661就都会触发先报错再成功的提示了。

虽然程序本身挺简单的,不过找到BUG也是挺有意思的。下一个是同作者的KeyFile验证,第一次碰到这样的,有点新奇。

C. 明日计划

CrackMe(28)


奈沙夜影
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
170610 逆向-CrackMe之019
whklhhhh的博客
06-12 364
1625-5 王子昂 总结《2017年6月10日》 【连续第251天总结】 A. CrackMe(19) B. 第19个为Name/Serial类型,拖入PEiD,无壳 C++ 那么应该也是mfc界面了 运行,随便输入123以后报出长度不足的提示 暂停查看调用堆栈,锁定MessageBox的调用后就找到主线程了 输入符合要求的Name单步跟下去,在错误提示前不远处有一个call后紧跟着
New-Crackme - Cruehead-CrackMe
10-14
New-Crackme - Cruehead-CrackMe
加解密学习:简单的用户名密码组合式验证程序的解密流程
arenascat的博客
10-10 1333
该文章说明了以160之033为例,解密用户名密码(序列号)组合式简单验证程序的流程
CrackMe练习-033
weixin_43972499的博客
04-16 215
目录查壳程序测试代码分析第一个关键call第二个关键callSerial推断分析结果 查壳   将CrackMe拖入PEiD进行查壳,可以看到程序是由汇编编写的,无壳。    程序测试   双击打开CrackMe,点击Rigster,输入Name和Serial,点击测试,弹出如下提示。那么我们便可以从这个错误提示字符串入手进行分析。       代码分析   将程序拖入OD开始分析,使用中文搜索引擎查找ASCII字符串,可以看到我们想要寻找的错误提示字符串"No luck there,mate!",如下图所
[反汇编练习] 160个CrackMe之033
LindaXu1220的博客
07-12 163
[反汇编练习] 160个CrackMe之033. 本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160个CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。 其中,文章中按照如下逻辑编排(解决如下问题): 1、使用什么环境和工具 2、程序分析 3、思路分析和破解流程 4、注册机的探索 -----------------...
硬编码序列号追踪-CrackMe系列1
ling_xiao007的专栏
03-21 1265
硬编码序列号追踪-CrackMe系列1 首先整体看一下这个CrackMe小程序。一个注册界面,要求输入Name&Serial。输入随便一个后得到失败信息。 现在,开始硬编码序列号追踪。加载到OllyDbg,程序暂停在入口处; Ctrl+N查看Name in currentmodule;看到有GetMessageA以及MessageBox等API函数。 浏览一下s
160个练手CrackMe-033
还是上会网吧~
12-03 295
1、汇编级程序2、OD载入搜索字符串,定位“Good work!”对话框,查找参考。00401241 . 3BC3 cmp eax,ebx 00401243 . 74 07 je XCruehead.0040124C 00401245 . E8 18010000 call Cruehead.00401362
NewCrackme160 - CrackMe2
10-18
NewCrackme160 - CrackMe2
逆向分析-IDA pro恶意代码(Crackme.exe)静态逆向分析
最新发布
06-14
C++语言编写的简易移位加密程序,帮助初学者小试牛刀,练习IDA pro静态逆向分析。
iOS逆向之lldb调试分析CrackMe1.pdf
01-19
接下来几篇文章将介绍iOS逆向分析中动态调试分析。主要是使用lldb配合(ida或者Hopper Disassembler)对iOS app的关键算法进行动态调试外加静态分析,从而还原出算法流程及参数。感兴趣的朋友可以下载下来看看,学习...
逆向练手crackme
12-28
练手的小项目 打开后是以索引展开的
吾爱破解crackme 033 034
foyjog的研究生涯
09-18 827
这两个程序都是比较简单但是还是比较有趣的,都是汇编直接编写,没有加壳,分析如下: 033: od载入进行关键点的分析: 代码如下:00401241 . 3BC3 cmp eax,ebx 00401243 . 74 07 je short Cruehead.0040124C 00401245 . E8 18010000 call Crueh
吾爱破解160个crackme之003
foyjog的研究生涯
07-31 705
这个破解其实只是再之前的基础上对算法做了一定增加而已,仔细分析汇编代码,可以将name和注册码的关系写出来。 第一步,找到破解入口。 往上找出整个函数出来。寻到函数的入口处。 然后根据代码一行一行的进行跟踪和分析。 这一段是将输入的字符串进行长度的获取,然后再将长度乘以15B38,接着加上输入的name的第一个字符。 这一段答案+2 这一段*3-2 这一段+15 最后得出答案的结构为
第十六章-序列号生成算法分析-Part1
Onlyone_1314的博客
08-26 1547
步骤:1、查看CrackMe程序信息2、使用OllyDbg加载CrackMe程序3、GetDlgItemTextA函数设置一个内存断点4、读取输入的序列号的位置5、输入的序列号的值6、输入的序列号计算的值保存在eax寄存器7、程序的计算逻辑8、计算输入的用户名9、验证输入的用户名字符串10、输入的用户名的值11、完整的用户名和序列号的比较逻辑12、用户名和序列号的注册机 序列号是基于名称变化的,也就是说我们将讨论序列号生成算法。 1、查看CrackMe程序信息 先运行一下CrackMe程序: 有File、
吾爱破解160个crackme之004
foyjog的研究生涯
08-02 1096
这个crackme我做了一阵子,一直没有出结果,所以看了一下 http://blog.csdn.net/liwz11/article/details/50717038 的帖子,根据dede的作用其实已经找出了keyup的chkcode代码,但是因为本人用的是x32dbg调试,发现存在着一些问题,导致分析的时候不是很清楚。 问题如下:00457C2B | FF 0F
160 - 33 Cruehead.1
123
12-04 363
160 - 33 Cruehead.1
160个CrackMe破解思路合集
arenascat的博客
10-20 6356
适合破解新手的160个crackme下载地址:http://pan.baidu.com/s/1o7Wrg3w   大学毕业后感觉学的知识不够,不足以踏入社会,所以选择到15PB进行进一步的学习。第一次接触CrackMe就感觉很着迷,分析别人写好的程序,然后找到程序的流程,作者的思路,进一步攻破它,写出注册机,让我感到非常有成就感。破解的过程中也遇到各种各样的困难,没有见过的语言,没有遇到的校
160个crackme之010 Andrnalin.3破解思路
iqiqiya的博客
04-24 425
0x001:  很遗憾,Falsch !Nochmal veruschen !我不知道你在说什么,你是什么人?Andrenalin@gmx.net确定  要我说就是错误的意思  还是熟悉的界面 不过右上方显示DIFFCULT(困难) 到底困难在哪 我们来看看 0x002: 查壳还是无壳 依旧是VB写的程序    0x003: 我们将程序载入O
破解入门(三)-----脱壳的常用方法
系统运维
06-09 1431
什么是壳 大家应该先明白“壳”的概念。在自然界中,我想大家对"壳"这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(当然后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在...
OD逆向crackme
09-02
在 [安全攻防进阶篇] 中,有关于逆向分析的教程可以帮助你了解如何使用OllyDbg逆向CrackMe程序。 OllyDbg是一种常用的逆向工具,可以用于分析和修改程序的执行流程和内存。使用内存断点和普通断点,可以在程序执行过程中捕获关键的代码位置,帮助我们找到CrackMe程序的OEP(Original Entry Point),即程序的入口点。 在 [安全攻防进阶篇] 中还有关于逆向分析两个CrackMe程序的详细教程,包括逆向分析和源码还原的步骤。这些教程将帮助你理解逆向分析的基本概念和技巧,提升你的安全能力。 如果你想深入学习如何使用OllyDbg逆向CrackMe程序,可以参考这些教程。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [[安全攻防进阶篇] 六.逆向分析之OllyDbg逆向CrackMe01-02及加壳判断](https://blog.csdn.net/Eastmount/article/details/107777190)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [逆向crackme之ESp定律脱壳](https://blog.csdn.net/qq_58970968/article/details/125357834)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值