适合新手的CM练习
本帖最后由 0524lei 于 2020-2-27 19:04 编辑无壳无花指令
注意:易语言编写可能报毒,另外WIN10需要管理员权限运行
软件截图:
破解成功截图:
昨晚上传的因为里面加载了模块导致被判断为有恶意代码!重新编辑了源代码,感谢吾爱相关人员删帖提醒,本贴已纠正!
下面附上哈勃分析截图:
点击此处下载:https://www.lanzouj.com/i9pzdgd
直接下载:
大佬们附上破解过程最好,我也想学习,虽然很简单
@crack5 关于本CM的分析贴 https://www.52pojie.cn/thread-1117605-1-1.html
本帖最后由 crack5 于 2020-2-27 15:24 编辑
一组正确 授权
GF5tFgtDVXfYSMXoIfBw
GF5tFgtDVXfYSMXoIfBwCjDENH4jLWn34txDD++SxF8=
算法写了半 易语言奔溃不写了 - -
大概是
取主机名() 和 luochen()运算
第一组运算j = 申请空白字节集(256)
依次次转入 1~256的字节集
{0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121,122,123,124,125,126,127,128,129,130,131,132,133,134,135,136,137,138,139,140,141,142,143,144,145,146,147,148,149,150,151,152,153,154,155,156,157,158,159,160,161,162,163,164,165,166,167,168,169,170,171,172,173,174,175,176,177,178,179,180,181,182,183,184,185,186,187,188,189,190,191,192,193,194,195,196,197,198,199,200,201,202,203,204,205,206,207,208,209,210,211,212,213,214,215,216,217,218,219,220,221,222,223,224,225,226,227,228,229,230,231,232,233,234,235,236,237,238,239,240,241,242,243,244,245,246,247,248,249,250,251,252,253,254,255}
第二组 运算J = 申请空白字节集(256)
int c;
const char*temp = "luochen";
for (int i = 0; i <=256 i++)
{
c = c+1;
J =temp;
if(c = strlen(temp))
{
j = 0;
}
}
第三组运算 没去逆大概就是
for (int i = 0; i <=256 i++)
{
k = k + 位与 (空白字节 , 255) + 位与 (空白字节2 , 255)
}
然后在和机器码运算 这里猜的!!
最后得到 机器码的运算的结果 在用Base64编码 校验编辑框1.内容是否等于 编码后运算的机器码 如果等于 就进行下一个 注册码的运算
注册码相对于比较简单
就是取主机名 和 取MAC 地址 注意他这个取MAC 是 PIC去取或者通过 注册表取 或 WQL
得到的MAC地址 大概是这样的 40:50:60:70:80:90:10 然后机器码和 MAC文本相加在Base编码 判断是否与注册码编辑框的内容相同
校验OD 部分就没什么好说的了 就是 取标题和窗口 而已
本帖最后由 云在天 于 2020-2-27 13:06 编辑
先分析下报毒的原因
1. 遍历了整个窗口句柄,找关键字进行反调试
2. 往C盘写文件
本帖最后由 云在天 于 2020-2-27 13:07 编辑
云在天 发表于 2020-2-27 12:48
先分析下报毒的原因
1. 遍历了整个窗口句柄,找关键字进行反调试
云在天 发表于 2020-2-27 12:50
还有整个检测写在时钟里很瞎.
新手玩的不这样不行啊! 0524lei 发表于 2020-2-27 12:54
新手玩的不这样不行啊!
给个建议,不要明码对比,base64解码也不够 详细的过程就不发了简单发下修改的地址1.程序检测OD进程.JMP以下地址即可OD跳过检测
00401019 /EB 2B jmp short CM.00401046
00401059 /0F84 27000000 jmp CM.00401086
0040108D /0F84 27000000 jmp CM.004010BA
2.输入账号密码后直接修改下面地址完成
00404453 837D E4 01 cmp dword ptr ss:,0x1
004045A3 837D D8 00 cmp dword ptr ss:,0x1
crack5 发表于 2020-2-27 15:20
一组正确 授权
GF5tFgtDVXfYSMXoIfBw
厉害了大佬。学习了学习了 学历这个有什么用啊? 本帖最后由 鬼狐 于 2020-2-28 04:10 编辑
先下特征断点跟进
0040435F/.55 push ebp
然后跟到
00404453 837D E4 00 cmp dword ptr ss:,0x0
的时候发现有些诡异
然后发现下面有个Module:user32.dll确定这里有个判断
改为cmp dword ptr ss:,0x1继续跟进到
004045A3|> \837D D8 00 cmp ,0x0
的时候再次发现诡异下面还是有个user32.dll
然后确定修改赋值亦可(寄存器已经出明码的。。。)
发现已经有dalao用这个方法破解了emmmm
页:
[1]
2