【2020春节】解题领红包之二 解题过程
本帖最后由 惊蛰 于 2020-2-9 00:02 编辑新手题:送分题完成啦来试试新手题吧,点击下方“立即申请”任务,即可获得本题Windows CrackMe题目下载地址,通过分析CrackMe获得本题正确口令的解题方法。
过了12点编辑的。。应该没违规{:1_909:}
楼主也是破解小白,如果错误,请指出,不胜感激
# 脱 壳
## 查 壳
脱壳第一步先查壳,发现是UPX壳,尝试用ESP定律脱掉
## 拖入OD
继续分析,点击【**否**】
进入OD
看到pushad,F8步过
在**寄存器**中找到**ESP**,右键点击ESP后面的地址,点击**在数据窗口中跟随**
左下角**HEX数据**中随意选取一段,右键→断点→硬件访问→Byte
F9,程序断在了这里
调试→硬件断点
删除→确定
F8单步,发现这是一个累加循环,左键点击**jnz下一行**按**F4**
继续F8,到push停
右键**用OllyDump脱壳调试进程**
## 重建输入表
记下**修正为**的**地址**,取消重建输入表的勾,点击**脱壳**保存
运行未经任何处理的**原版**CrackMe程序,打开ImportREC
1、选择进程;2、填写刚刚记下的地址;3、自动搜索;4、获取导入表;5、修正转储;6、找到刚才od脱壳保存的文件
## 脱壳部分完成
#继续分析
##找编辑框内容修改触发事件的地址
程序是用Delphi写的
拖到Idr中
依次点开Forms、Form、TFORM1、Form1、edPwd,双击OnChange
##继续OD部分
记住右边第一条的地址,将脱壳后的CrackMe程序拖到OD中,Ctrl+G转到这个地址中,F2下断
F9让程序跑起来,输入框输入随意字符,程序断在了刚才下断的地方
##15位字符串
F8单步分析,发现这里是判断字符串是否等于15位,由此推断真码有15位
重新载入程序,复制一个15位字符串【1234567890abcde】重新输入,继续调试
这里程序取出了字符串的前7位
这里取出了8到11位
这里取出了12到15位
##32位字符串
这里调用了call生成了一串32位字符串【FCEA920F7412B5DA7BE0CF42B8C93759】
并在下一行与【E7EE5F4653E31955CACC7CD68E2A7839】进行了比较
并且在附近还可以找到另外的两串32位字符串
【ea6b2efbdd4255a9f1b3bbc6399b58f4】
【c8d46d341bea4fd5bff866a65ff8aea9】
##MD5加密
32位字母数字字符串,首先考虑MD5,前面将 15位字符串拆分成了3部分,分别是【1234567】【890a】【bcde】
将这三部分分别计算md5,看是否有所发现
计算后的MD5分别为
| 原文 | MD5 |
| ---------- |: ----------------------------------------- |
| 1234567| fcea920f7412b5da7be0cf42b8c93759 |
| 890a | 97c80792e4cfe73df1a714d1ebf908de |
| bcde | e02cfbe5502b64aa5ae9f2d0d69eaa8d|
经过对比,确认是MD5,百度MD5解密,将被比较值【E7EE5F4653E31955CACC7CD68E2A7839】填入,解出原文为【52pojie】
| MD5 | 原文 |
| ------------------------------------------------ |: -------- |
| E7EE5F4653E31955CACC7CD68E2A7839 | 52pojie|
| ea6b2efbdd4255a9f1b3bbc6399b58f4 | 2019 |
| c8d46d341bea4fd5bff866a65ff8aea9 | game |
7+4+4正好15位字符串,将解密出来的原文组合【52pojie2019game】填入
## 至此,追码完成。
# 附
## CrackMe程序
| CrackMe程序 | 下载 |
| ---------------- |: ------------- |
| 原版 | |
| 原版 | https://down.52pojie.cn/CZEgXRxthu.7z|
| 原版 | 密码忘记了。。请自行寻找密码|
|重新打包 | |
|重新打包 |https://www.lanzouj.com/i96b2ad 密码:5pts|
|重新打包 | 密码www.52pojie.cn|
## 使用工具
| 名称 | 下载地址 |
| --------------- |: ------------- |
| PEiD 0.95.zip| https://down.52pojie.cn/Tools/PEtools/PEiD%200.95.zip |
| Ollydbg | https://down.52pojie.cn/Tools/Debuggers/%E5%90%BE%E7%88%B1%E7%A0%B4%E8%A7%A3%E4%B8%93%E7%94%A8%E7%89%88Ollydbg.rar |
| ImportREConstructor 1.7e | https://down.52pojie.cn/Tools/PEtools/ImportREConstructor%201.7e.zip |
| IDR | https://down.52pojie.cn/Tools/Disassemblers/IDR%20(Interactive%20Delphi%20Reconstructor).rar |
## 最后
第三题我也不会,等教程ing
netspirit 发表于 2020-2-9 00:19
这题有个大坑 这个不是答案 要输入到微信里面才能得到答案的!!!我就这样输错了2次!!!!!
这就是不认真阅题的后果,有些傲娇,是不是和小学时候只能考99没100的感觉差不多?
另外这题我增加个小难度,看谁能更完美的脱壳,把程序还原成原始没加壳状态一样。 本帖最后由 netspirit 于 2020-2-9 00:37 编辑
Hmily 发表于 2020-2-9 00:28
你就想说自己天赋异禀吧
我真是新手{:1_909:} 除了esp定律脱upx壳以外啥都不会 楼主上面的几个分析工具我都不会用 这题我用论坛里一个修改版od然后把常用断点全部选上 然后强行断下来的{:301_1008:} 不像楼主能使用其他工具来找到关键地方{:301_1004:} 你可真速度啊。 Hmily 发表于 2020-2-9 00:03
你可真速度啊。
早就写好了,一直存在草稿箱里。。{:301_1001:} 66666666 这题有个大坑 这个不是答案 要输入到微信里面才能得到答案的!!!我就这样输错了2次!!!!!
Hmily 发表于 2020-2-9 00:23
这就是不认真阅题的后果,有些傲娇,是不是和小学时候只能考99没100的感觉差不多?
另外这题我增加个 ...
我是新手啊 能解出来就很不容易了 就好比根本不会做硬是蒙对了.......... netspirit 发表于 2020-2-9 00:25
我是新手啊 能解出来就很不容易了 就好比根本不会做硬是蒙对了..........
你就想说自己天赋异禀吧{:1_918:} 楼主速度啊