关于kris的 超简单CM,大大勿玩,小菜快来恢复信心~~~
关于kris的 超简单CM,大大勿玩,小菜快来恢复信心~~~ 帖子地址:http://www.52pojie.cn/thread-111122-1-1.html本人菜鸟,搞不出来这个crackme。但也有点思路,不知道对不对。求大家赐教。
用OD加载,然后运行。打开可执行模块窗口,选择本程序模块,双击。
来到
00401000 .A1 58214000 mov eax,dword ptr ds:[<&MFC42.#4274>]
00401005 .C3 retn
00401006 90 nop
00401007 90 nop
可以看得出程序是MFC的。然后用MFC按钮入口地址定位器找到按扭事件的段首。为00401330,
在为OD中找到这个位置。点击crackme的按扭,断在这里
00401330- E9 51860000 jmp 超简单.00409986
00401335 F6D8 neg al
00401337 66:0FA5E0 shld ax,sp,cl
0040133B 66:0FBEC0 movsx ax,al
0040133F 66:8B45 00 mov ax,word ptr ss:
00401343 E8 B6420000 call 超简单.004055FE
00401348 FF3424 push dword ptr ss:
0040134B 894C24 3C mov dword ptr ss:,ecx
0040134F C60424 67 mov byte ptr ss:,0x67
00401353 8D6424 3C lea esp,dword ptr ss:
00401357- E9 66500000 jmp 超简单.004063C2
0040135C E8 92520000 call 超简单.004065F3
00401361 F9 stc
00401362 39E2 cmp edx,esp
第一行就是一个JMP到了非代码区段。然后我就在DATA段下F2断,F9运行程序,又回到
00401405- E9 A2400000 jmp 超简单.004054AC
0040140A 90 nop
0040140B 90 nop
0040140C 90 nop
0040140D 90 nop
0040140E 90 nop
0040140F 90 nop
00401410 8B41 20 mov eax,dword ptr ds:
00401413 6A 00 push 0x0
00401415 50 push eax
然后就是不停的进入VM区段,下CODE断,不停的回到代码段,就这样不停的VM段,代码段的跑。
跑了好久,没有个结果。
不知道这个方法对不对。这样下去能不能找关键代码。
回复 zhi5231 的帖子
你看一下我帖的地址,那个CM没有吧。你说的是哪个,破文在哪? 大牛们给个思路吧。 我感到非常诧异,这个CM竟然还有人拿出来专门开一个帖子来讨论,首先我告诉你,你那样做是没用的,我用的比较函数为strcmp直接集合成汇编代码到本身函数中,也就是说比较代码本身也VM掉的,你如果是酱紫的话根本是不可能跟到关键的,其次要秒杀这个CM真的非常简单,nor32和add32门完美秒杀,明码比较,我实在不知道是有什么难度,至于楼主说我在炫耀技术,我表示,我本来就是一个菜鸟,是Shiny大师傅的马甲,所以根本谈不上炫耀,另外我表示那个CM我自己也是在Shiny大大的指导下才会破解的,我自己VM的我自己也破不了,所以技术真的是很差,实在看不出来哪里有炫耀的,炫耀的应该是楼主这样分析的那么头头是道的大牛才对。我想楼主到现在应该已经破解了,所以我也就不说什么了,感谢Shiny大大教我的nor32,再次表示我是马甲 膜拜zhi大大,俺是Shiny的马甲。。。 Kris 发表于 2011-10-20 18:35 static/image/common/back.gif
我感到非常诧异,这个CM竟然还有人拿出来专门开一个帖子来讨论,首先我告诉你,你那样做是没用的,我用的比 ...
嗯,与楼主同等shiny教程
页:
[1]