新手第二个CrackMe来啦~【已去恶意代码】
本帖最后由 xzy910 于 2020-7-28 15:44 编辑上一个帖子已经被版主删掉了,我由衷地向各位道歉,没看清版规。
我主要是受到了这个文档的“蛊惑”(发出来一起学习,无密码)→
这个版本已经把恶意代码(把你的OD删掉,哈哈)去除了,放心破解!不用虚拟机也可以!
主界面: 注册成功:
下载链接在此 ↓ (密码是52pojie)
最后还是祝各位【破解愉快】~
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
这里是KeyGen。主要是这个注册码是用RSA算出来的,怀疑放到KeyGenMe可能无解,因此把它当做CrackMe来做。 其实我本来没想到这个
下载链接在此 ↓ (没有密码,也没有加壳)
本帖最后由 xzy910 于 2020-8-1 13:05 编辑
提示:请不要小看这个信息框……
另注:28号下午公布注册机。
下面是优秀破解帖,瞻仰!↓ 当作 crackme 处理:
1、脱壳:
1)把文件中节名 DOg0, DOg1 改成 UPX0, UPX1,再把第1节中前面的 DOg! 改为 UPX!, 就可以用 upx -d 脱掉第一层壳。
2)利用 ESP 定律脱第二层壳,到达OEP (0x0048D491),这个时候不要用OD或LordPE脱壳,用 PETool 1.5 直接 Dump 内存,然后用2进制编辑工具打开dump出来的文件,将OEP 由 0x000AC768 改为 0x0008D491 就完成脱壳。
2、破解:
修改的位置及数据如下:
C:\crack\CrackMe_2>fc /b Dumped_origin.exe Dumped_cracked.exe
正在比较文件 Dumped_origin.exe 和 DUMPED_CRACKED.EXE
00001045: E8 90
00001047: 01 90
00001048: 00 90
00001049: 00 90
0000B7F8: E8 90
0000B7F9: DD 90
0000B7FA: 59 90
0000B7FB: FF 90
0000B7FC: FF 90
0000BD64: EB 33
0000BD65: 01 C0
0000BD66: 0F 40
其中后3字节修改是 crack 算法,而前面的字节是破解防脱壳及调试(检查父进程名)的。
还有一个 tickCount 检查,没有破解。位置如下:
00425390 .8B4424 0C mov eax,dword ptr ss: ;ntdll_12.7DEA9ED2
00425394 .8B48 08 mov ecx,dword ptr ds:
00425397 .85C9 test ecx,ecx
00425399 .75 28 jnz short Dumped_n.004253C3
0042539B .FF15 68D34A00 call dword ptr ds:[<&KERNEL32.GetTickCount>] ; [GetTickCount
004253A1 .8B0D 98824D00 mov ecx,dword ptr ds:
004253A7 .03C1 add eax,ecx
004253A9 .8BD0 mov edx,eax ;kernel32.BaseThreadInitThunk
004253AB .50 push eax ;kernel32.BaseThreadInitThunk
004253AC .81E2 FF000000 and edx,0xFF
004253B2 .8D4C11 64 lea ecx,dword ptr ds:
004253B6 .890D 98824D00 mov dword ptr ds:,ecx
004253BC .E8 E1870600 call Dumped_n.0048DBA2
004253C1 .59 pop ecx ;kernel32.7DD733CA
004253C2 .C3 retn
好象是把add eax,ecx 改成 xor ecx, ecx 吧 ,记不清了。
3、效果展示:
以及:
4、其它:
其弹出对话框,是执行如下脚本:
0095D8F0"cmd.exe /c @start mshta vbscript:CreateObject("Wscript.Shell").popup("再试试吧!",7,"CrackMe",64)(window.close)"
006C51E8"cmd.exe /c @start mshta vbscript:CreateObject("Wscript.Shell").popup("注册成功!",7,"CrackMe",64)(window.close)"
在线 MD5 调用如下网址:
004AF28C "http://student.zjjxx.net/space/contentdisp.aspx?contentClassid=10&student=1488&contentID=80340&listp"
5、没了。
本帖最后由 solly 于 2020-7-31 11:58 编辑
带壳破解成功,破解代码如下位置:
代码如下:
004EF01C /E9 02000000 jmp CrackMe_.004EF023 ; 改成跳转到破解代码
004EF021 |90 nop
004EF022 |90 nop ; 下面是第1次壳后执行
004EF023 \B8 62260400 mov eax,0x42662 ; 新跳转地址偏移量
004EF028 A3 CDC94A00 mov dword ptr ds:,eax ; 第2次壳OEP跳转拦截
004EF02D^ E9 36D7FBFF jmp CrackMe_.004AC768 ; 跳转至第2层壳入口
004EF032 90 nop ; 下面是第2次壳后执行
004EF033 B8 33C04033 mov eax,0x3340C033 ; xor/inc 代码
004EF038 A3 64BD4000 mov dword ptr ds:,eax ; 破解验证
004EF03D B8 90909090 mov eax,0x90909090 ; nop 代码
004EF042 A3 45104000 mov dword ptr ds:,eax ; 破解文件校验
004EF047 A2 49104000 mov byte ptr ds:,al
004EF04C A3 F8B74000 mov dword ptr ds:,eax ; 破解文件校验
004EF051 A2 FCB74000 mov byte ptr ds:,al
004EF056^ E9 36E4F9FF jmp CrackMe_.0048D491 ; 跳转去 OEP
在文件中的位置:
这样就不用脱壳了。 xzy910 发表于 2020-7-27 12:45
哎,CrackMe不就是不让别人破解吗,加个暗桩挺正常的啊!
另外,你碰到了什么问题,以至于这样说呢?分 ...
你可以用技术,混淆,花指令,反调试,抛异常,hook测试强度。
你想想我来尝试破解crackme,碰到这个软件把我的文件删了,啥感觉,我能骂死这作者。暗装不一定非得破坏别人电脑上的东西。{:301_1008:} xzy910 发表于 2020-7-27 13:05
真正的破解中,作者会说吗
这就是你的心态问题了,这里只是练习攻防的地方,你的技术达到了那个层次就不会需要暗桩了。再者说,这里只是让大家交流技术的地方,不是实战,暗桩变得没有任何意义,只会给别人添加麻烦。 楼主 了解下啥叫CrackMe 不是你写个程序就是CrackMe.CrackMe 你加的内容可以 加壳 混淆 等等. 但是前提都是自己写的. 你做个CrackMe 加个VMP 意义何在. 就跟你做个CrackMe 加个暗庄 意义何在那.测试的是CrackMe的强度. 你可以用算法写算法.来让逆向爱好者来破解算法. 你加个恶意代码.没得意义的. 跟CrackMe 背道而驰. 谁还会去玩你的CrackMe. 是个·狠人啊,楼主,就算版规不说你也不该加暗桩啊。 那年夏天52 发表于 2020-7-27 12:31
是个·狠人啊,楼主,就算版规不说你也不该加暗桩啊。
哎,CrackMe不就是不让别人破解吗,加个暗桩挺正常的啊!
另外,你碰到了什么问题,以至于这样说呢?分享一下 xzy910 发表于 2020-7-27 12:45
哎,CrackMe不就是不让别人破解吗,加个暗桩挺正常的啊!
另外,你碰到了什么问题,以至于这样说呢?分 ...
没有,我个人观点,觉得加了暗桩的话,应该说一声啥的。起码让破解的有个准备 绝无神 发表于 2020-7-27 13:00
你可以用技术,混淆,花指令,反调试,抛异常,hook测试强度。
你想想我来尝试破解crackme,碰到这个 ...
当然,我已经把这段代码去掉了,一楼里面说过了 那年夏天52 发表于 2020-7-27 13:02
没有,我个人观点,觉得加了暗桩的话,应该说一声啥的。起码让破解的有个准备
真正的破解中,作者会说吗;www xzy910 发表于 2020-7-27 13:03
当然,我已经把这段代码去掉了,一楼里面说过了
咳咳咳,俺太菜了,还没找到思路,再看看{:301_987:}