44018723 发表于 2014-6-16 20:55

[反汇编练习] 160个CrackMe之008

[反汇编练习] 160个CrackMe之008.本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160个CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。其中,文章中按照如下逻辑编排(解决如下问题):1、使用什么环境和工具2、程序分析3、思路分析和破解流程4、注册机的探索----------------------------------提醒各位看客: 如果文章中的逻辑看不明白,那你一定是没有亲手操刀!OD中的跳转提示很强大,只要你跟踪了,不用怎么看代码就理解了!----------------------------------1、工具和环境:WinXP SP3 + 52Pojie六周年纪念版OD + PEID + 汇编金手指。160个CrackMe的打包文件。下载地址: http://pan.baidu.com/s/1xUWOY密码: jbnq注:1、Win7系统对于模块和程序开启了随机初始地址的功能,会给分析带来很大的负担,所以不建议使用Win7进行分析。2、以上工具都是在52PoJie论坛下的原版程序,NOD32不报毒,个人承诺绝对不会进行任何和木马病毒相关内容。http://images.cnitblog.com/blog/573547/201406/152219166701903.png 2、程序分析:想要破解一个程序,必须先了解这个程序。所以,在破解过程中,对最初程序的分析很重要,他可以帮助我们理解作者的目的和意图,特别是对于注册码的处理细节,从而方便我们反向跟踪和推导。和上一节一样,打开CHM,选择第8个Andrénalin.1(谁能告诉我这是哪国语言?什么意思?),保存下来。运行程序,程序界面如下:

3、思路分析和破解流程虽然看不懂这是什么意思,也不知道是哪国语言,但是不妨碍我们把它破掉。出现消息框,是不是感到很亲切?哈哈,Ctrl+K你懂的。不过,为了放心地继续下去,还是先用PEID查看一下:Microsoft Visual Basic 5.0 / 6.0。恩,没加壳,真良心。
由于它第一时间就把消息框给弹出来了,我们不能辜负她,还是用老办法,暂停,查看堆栈。
具体操作步骤如下:1、关掉程序,打开OD,将exe拖到OD中运行。2、在exe中随意输入一个伪码,比如123321,点击【OK】按钮,弹出错误对话框。3、此时不要关闭对话框,回到OD,使用Ctrl+K(K图标),得到当前堆栈信息。4、参考vba常用函数说明(http://www.cnblogs.com/bbdxf/p/3780187.html),发现信息框函数。


5、选中rtcMsgBox这一行,右键->Show Call,返回到了反汇编窗口。6、向上浏览代码,发现有两块字符串相关的内容。00401DC4   .8D95 74FFFFFF lea edx,dword ptr ss:
00401DCA   .8D4D B4       lea ecx,dword ptr ss:
00401DCD   .8945 94       mov dword ptr ss:,eax
00401DD0   .8945 A4       mov dword ptr ss:,eax
00401DD3   .C785 7CFFFFFF>mov dword ptr ss:,00401AC4   ;UNICODE "SuCCESFul !"
00401DDD   .899D 74FFFFFF mov dword ptr ss:,ebx
00401DE3   .FFD7          call edi                                 ;<&MSVBVM50.__vbaVarDup>
00401DE5   .8D55 84       lea edx,dword ptr ss:
00401DE8   .8D4D C4       lea ecx,dword ptr ss:
00401DEB   .C745 8C 701A4>mov dword ptr ss:,00401A70   ;UNICODE "RiCHtiG ! ...nun weiter zu CrackMe 2 !"
00401DF2   .895D 84       mov dword ptr ss:,ebx
00401DF5   .FFD7          call edi
00401DF7   .8D55 94       lea edx,dword ptr ss:
00401DFA   .8D45 A4       lea eax,dword ptr ss:
00401DFD   .52            push edx
00401DFE   .8D4D B4       lea ecx,dword ptr ss:
00401E01   .50            push eax
00401E02   .51            push ecx
00401E03   .8D55 C4       lea edx,dword ptr ss:
00401E06   .6A 30         push 0x30
00401E08   .52            push edx
00401E09   .FF15 F0304000 call dword ptr ds:[<&MSVBVM50.#595>]   ;msvbvm50.rtcMsgBox
00401E0F   .8D95 44FFFFFF lea edx,dword ptr ss:
00401E15   .8D4D DC       lea ecx,dword ptr ss:
00401E18   .8985 4CFFFFFF mov dword ptr ss:,eax
00401E1E   .C785 44FFFFFF>mov dword ptr ss:,0x3
00401E28   .FF15 D0304000 call dword ptr ds:[<&MSVBVM50.__vbaVarMo>;msvbvm50.__vbaVarMove
00401E2E   .8D45 94       lea eax,dword ptr ss:
00401E31   .8D4D A4       lea ecx,dword ptr ss:
00401E34   .50            push eax
00401E35   .8D55 B4       lea edx,dword ptr ss:
00401E38   .51            push ecx
00401E39   .8D45 C4       lea eax,dword ptr ss:
00401E3C   .52            push edx
00401E3D   .50            push eax
00401E3E   .E9 95000000   jmp 00401ED8
00401E43   >8B3D 48314000 mov edi,dword ptr ds:[<&MSVBVM50.__vbaVa>;msvbvm50.__vbaVarDup
00401E49   .B9 04000280   mov ecx,0x80020004
00401E4E   .894D 9C       mov dword ptr ss:,ecx
00401E51   .B8 0A000000   mov eax,0xA
00401E56   .894D AC       mov dword ptr ss:,ecx
00401E59   .BB 08000000   mov ebx,0x8
00401E5E   .8D95 74FFFFFF lea edx,dword ptr ss:
00401E64   .8D4D B4       lea ecx,dword ptr ss:
00401E67   .8945 94       mov dword ptr ss:,eax
00401E6A   .8945 A4       mov dword ptr ss:,eax
00401E6D   .C785 7CFFFFFF>mov dword ptr ss:,00401B44   ;UNICODE "leider NeiN !"
00401E77   .899D 74FFFFFF mov dword ptr ss:,ebx
00401E7D   .FFD7          call edi                                 ;<&MSVBVM50.__vbaVarDup>
00401E7F   .8D55 84       lea edx,dword ptr ss:
00401E82   .8D4D C4       lea ecx,dword ptr ss:
00401E85   .C745 8C E01A4>mov dword ptr ss:,00401AE0   ;UNICODE "Leider Falsch !Schau noch mal genau nach ..."
00401E8C   .895D 84       mov dword ptr ss:,ebx
00401E8F   .FFD7          call edi
00401E91   .8D4D 94       lea ecx,dword ptr ss:
00401E94   .8D55 A4       lea edx,dword ptr ss:
00401E97   .51            push ecx
00401E98   .8D45 B4       lea eax,dword ptr ss:
00401E9B   .52            push edx
00401E9C   .50            push eax
00401E9D   .8D4D C4       lea ecx,dword ptr ss:
00401EA0   .6A 10         push 0x10
00401EA2   .51            push ecx
00401EA3   .FF15 F0304000 call dword ptr ds:[<&MSVBVM50.#595>]   ;msvbvm50.rtcMsgBox
因为语言的原因,虽然看的不是很明白,但是大概上面的一个就是成功(success),下面的那个就是我们刚看到的失败提示内容。继续向上找发现了一个JE跳转:00401D94   .FF15 60314000 call dword ptr ds:[<&MSVBVM50.__vbaFreeO>;msvbvm50.__vbaFreeObj
00401D9A   .66:3BFE       cmp di,si
00401D9D   .0F84 A0000000 je 00401E43
00401DA3   .FF15 2C314000 call dword ptr ds:[<&MSVBVM50.#534>]   ;msvbvm50.rtcBeep
00401DA9   .8B3D 48314000 mov edi,dword ptr ds:[<&MSVBVM50.__vbaVa>;msvbvm50.__vbaVarDup
00401DAF   .B9 04000280   mov ecx,0x80020004
00401DB4   .894D 9C       mov dword ptr ss:,ecx
00401DB7   .B8 0A000000   mov eax,0xA
00401DBC   .894D AC       mov dword ptr ss:,ecx
00401DBF   .BB 08000000   mov ebx,0x8
00401DC4   .8D95 74FFFFFF lea edx,dword ptr ss:
00401DCA   .8D4D B4       lea ecx,dword ptr ss:
00401DCD   .8945 94       mov dword ptr ss:,eax
00401DD0   .8945 A4       mov dword ptr ss:,eax
00401DD3   .C785 7CFFFFFF>mov dword ptr ss:,00401AC4   ;UNICODE "SuCCESFul !"
00401DDD   .899D 74FFFFFF mov dword ptr ss:,ebx
00401DE3   .FFD7          call edi                                 ;<&MSVBVM50.__vbaVarDup>
00401DE5   .8D55 84       lea edx,dword ptr ss:
00401DE8   .8D4D C4       lea ecx,dword ptr ss:
00401DEB   .C745 8C 701A4>mov dword ptr ss:,00401A70   ;UNICODE "RiCHtiG ! ...nun weiter zu CrackMe 2 !"
发现,JE如果跳过去则提示的是失败,如果不跳则提示成功,所以这个肯定是关键跳啦!我们尝试使用NOP填充一下!选中JE 00401E43,右键->Binary->Fill with NOPs。再次回到程序,点击【OK】按钮,哈哈哈,爆破成功!

4、注册码探索既然已经找到关键的JE跳转了,关键CALL一定在它的旁边,我们试着再向上寻找:00401D70   > \8B4D D8       mov ecx,dword ptr ss:
00401D73   .51            push ecx                                 ;// ecx=输入的字符串
00401D74   .68 541A4000   push 00401A54                            ;UNICODE "SynTaX 2oo1"
00401D79   .FF15 08314000 call dword ptr ds:[<&MSVBVM50.__vbaStrCm>;msvbvm50.__vbaStrCmp
00401D7F   .8BF8          mov edi,eax
00401D81   .8D4D D8       lea ecx,dword ptr ss:
00401D84   .F7DF          neg edi
00401D86   .1BFF          sbb edi,edi
00401D88   .47            inc edi
00401D89   .F7DF          neg edi
00401D8B   .FF15 5C314000 call dword ptr ds:[<&MSVBVM50.__vbaFreeS>;msvbvm50.__vbaFreeStr
00401D91   .8D4D D4       lea ecx,dword ptr ss:
00401D94   .FF15 60314000 call dword ptr ds:[<&MSVBVM50.__vbaFreeO>;msvbvm50.__vbaFreeObj
00401D9A   .66:3BFE       cmp di,si
00401D9D   .0F84 A0000000 je 00401E43
00401DA3   .FF15 2C314000 call dword ptr ds:[<&MSVBVM50.#534>]   ;msvbvm50.rtcBeep
是否看到了一个很明显的字符串比较? __vbaStrcmp 我们在这里下F2断点,回到程序,点击【OK】按钮,查看Call前面的两个push,ecx指向的就是我们输入的字符串,下面的【SynTax 2oo1】就是一个固定的字符串,比较它们是否相等。好了,注册码是不是已经出来啦!它是固定的字符串【SynTax 2oo1】。
BY   笨笨D幸福

44018723 发表于 2014-6-17 12:15

loveliuhao323 发表于 2014-6-16 21:32
写图文教程很累,如果你能坚持到160个,膜拜你

{:301_972:}说道心坎上了!

loveliuhao323 发表于 2014-6-17 12:51

44018723 发表于 2014-6-17 12:15
说道心坎上了!

主要是本身写着就很费事,别人也不回复也不给热心的,根本就毫无动力,我写了两篇教程之后直接绝望。。。

101 发表于 2014-6-16 21:06

都是不同类型的吗?

xiaowenyu520 发表于 2014-6-16 21:06

灵光丶Fiycix 发表于 2014-6-16 21:10

依然是支持你

瓜子吧3 发表于 2014-6-16 21:11

膜拜~真想你指导下我~

幸福树 发表于 2014-6-16 21:22


谢谢分享的

zc123 发表于 2014-6-16 21:30

感谢发布原创作品

loveliuhao323 发表于 2014-6-16 21:32

写图文教程很累,如果你能坚持到160个,膜拜你

rake_yin 发表于 2014-6-16 21:32

谢谢分享,下载学习

alpper 发表于 2014-6-16 21:46

楼主太强悍了
页: [1] 2 3 4
查看完整版本: [反汇编练习] 160个CrackMe之008


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn