学破解第154天,《适合新手破解程序的中文字符串搜索法》总结
本帖最后由 小菜鸟一枚 于 2022-1-5 19:47 编辑前言:
坛友们,年轻就是资本,和我一起逆天改命吧,我的学习过程全部记录及学习资源:(https://www.52pojie.cn/thread-1503734-1-1.html)
立帖为证!--------记录学习的点点滴滴
## 0x1发现目标
1.新手CM,给新手找回自信专用,大佬当没看见:https://www.52pojie.cn/thread-1571404-1-1.html
2.看到这标题小菜鸟很开心,这应该搜字符串就能出来了吧?
## 0x2搜索目标
1.看看入口信息
```
00403861 > 55 push ebp
00403862 8BEC mov ebp,esp
00403864 6A FF push -0x1
00403866|.68 F0624000 push 嘿嘿IE嘿.004062F0
0040386B|.68 D44C4000 push 嘿嘿IE嘿.00404CD4 ;SE 处理程序安装
00403870|.64:A1 0000000>mov eax,dword ptr fs:
00403876|.50 push eax ;kernel32.BaseThreadInitThunk
00403877|.64:8925 00000>mov dword ptr fs:,esp
```
2.这不是易语言就是C++之类的,再去OD搜索字符串,看到
[!(https://s4.ax1x.com/2022/01/05/Tjqsht.png)](https://imgtu.com/i/Tjqsht)
3.krnln.fnr和shell.fne百度一下,这是易语言的库文件,判断程序是易语言写得了。
## 0x3易语言通杀法
1.按钮事件FF 55 FC
2.比较通杀特征码test edx,0x3
3.纳尼,都不行,楼主,你给我出来,你这明明就是打击新手的。
4.坛友们,可怜的小菜鸟感情就这样被欺骗了。
## 0x4字符串大法
1.话说咋们这样的小菜鸟通用的是啥方法呀?字符串搜索嘛。
2.看看原帖楼主给出破解成功的正确截图:
[!(https://s4.ax1x.com/2022/01/05/TjOlJ1.png)](https://imgtu.com/i/TjOlJ1)
3.既然正确会显示“密码正确”,那么来到数据窗口搜索一下,搜不到???
4.这不科学,新手CM难度都这么大吗?点OD上面的小写字母m,或者alt+M打开内存窗口。
[!(https://s4.ax1x.com/2022/01/05/TjXt10.png)](https://imgtu.com/i/TjXt10)
5.两个data段,407000和409000,鼠标双击407000进去,啥都没发现。
6.鼠标双击409000进去,哇,小菜鸟发现了关键字符串:
[!(https://s4.ax1x.com/2022/01/05/TjjS4s.png)](https://imgtu.com/i/TjjS4s)
7.看到了密码错误和密码正确的字符串,密码正确前面又看到了flag,https://www.52pojie.cn/forum.php
## 0x5验证Flag
1.打开程序输入:https://www.52pojie.cn/forum.php,成功!
[!(https://s4.ax1x.com/2022/01/05/Tjj8bD.png)](https://imgtu.com/i/Tjj8bD)
## 0x6总结
1.我们新手碰到程序,看提示信息,然后搜索字符串。
2.字符串搜索三法:右键搜索中文字符串,Ctrl+B搜索,Alt+M内存搜索。
那个data段就封装了易语言的所有代码信息,你去那个段里搜字符串应该就能搜到了,按钮事件可以通过搜到的字符串回溯一下看看是什么。 @小菜鸟一枚
不同意字符串搜索,请问是先有鸡还是先有蛋?
所以该方法不靠谱。从初始化事件抓禁手更有效果。 感谢分享 前排很激动,支持 太强了,salute 学习了不错 感谢分享 学习一下 大佬厉害啊,真强 感谢楼主 感谢,适合小白