[反汇编练习] 160个CrackMe之015
本帖最后由 44018723 于 2014-6-24 20:03 编辑[反汇编练习] 160个CrackMe之015.本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160个CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。其中,文章中按照如下逻辑编排(解决如下问题):1、使用什么环境和工具2、程序分析3、思路分析和破解流程4、注册机的探索----------------------------------提醒各位看客: 如果文章中的逻辑看不明白,那你一定是没有亲手操刀!OD中的跳转提示很强大,只要你跟踪了,不用怎么看代码就理解了!----------------------------------1、工具和环境:WinXP SP3 + 52Pojie六周年纪念版OD + PEID + 汇编金手指。160个CrackMe的打包文件。下载地址: http://pan.baidu.com/s/1xUWOY 密码: jbnq注:1、Win7系统对于模块和程序开启了随机初始地址的功能,会给分析带来很大的负担,所以不建议使用Win7进行分析。2、以上工具都是在52PoJie论坛下的原版程序,NOD32不报毒,个人承诺绝对不会进行任何和木马病毒相关内容。http://images.cnitblog.com/blog/573547/201406/192147191763366.png2、程序分析:想要破解一个程序,必须先了解这个程序。所以,在破解过程中,对最初程序的分析很重要,他可以帮助我们理解作者的目的和意图,特别是对于注册码的处理细节,从而方便我们反向跟踪和推导。和上一节一样,打开CHM,选择第15个blaster99.exe,保存下来。运行程序,程序界面如下:http://images.cnitblog.com/blog/573547/201406/231857098775219.png一看到这种鸟语我就郁闷!但是,信息框我很喜欢!哈哈,你懂得!PEID查看:Microsoft Visual Basic 5.0 / 6.0
3、思路分析和破解流程思路就不说了,和之前的大部分都一样。步骤:1、打开OD,将exe拖进去,F9运行。2、在Exe中输入伪码123123,点击Registrieren,弹出错误信息框。3、回到OD,点击暂停按钮(Ctrl+F12),再点击K图标(Ctrl+K),这时可以看到堆栈信息。http://images.cnitblog.com/blog/573547/201406/231857120179605.png4、根据经验选中最后一个,右键->Show call,返回到了反汇编窗口。00402A5A .0F84 E7000000 je 00402B47
00402A60 .8D95 74FFFFFF lea edx,dword ptr ss:
00402A66 .8D4D AC lea ecx,dword ptr ss:
00402A69 .C785 7CFFFFFF>mov dword ptr ss:,00401E70 ;UNICODE "Error ! Das Passwort ist falsch !"
00402A73 .C785 74FFFFFF>mov dword ptr ss:,0x8
00402A7D .E8 AAE6FFFF call <jmp.&MSVBVM50.__vbaVarCopy>
00402A82 .8D95 74FFFFFF lea edx,dword ptr ss:
00402A88 .8D4D DC lea ecx,dword ptr ss:
00402A8B .C785 7CFFFFFF>mov dword ptr ss:,0x10
00402A95 .899D 74FFFFFF mov dword ptr ss:,ebx
00402A9B .E8 86E6FFFF call <jmp.&MSVBVM50.__vbaVarMove>
00402AA0 .8D95 74FFFFFF lea edx,dword ptr ss:
00402AA6 .8D4D CC lea ecx,dword ptr ss:
00402AA9 .C785 7CFFFFFF>mov dword ptr ss:,00401EB8 ;UNICODE "PASSWORT FALSCH !"
00402AB3 .C785 74FFFFFF>mov dword ptr ss:,0x8
00402ABD .E8 6AE6FFFF call <jmp.&MSVBVM50.__vbaVarCopy>
00402AC2 .8D45 84 lea eax,dword ptr ss:
00402AC5 .897D 8C mov dword ptr ss:,edi
00402AC8 .50 push eax
00402AC9 .8D45 94 lea eax,dword ptr ss:
00402ACC .50 push eax
00402ACD .8D45 CC lea eax,dword ptr ss:
00402AD0 .50 push eax
00402AD1 .8D45 DC lea eax,dword ptr ss:
00402AD4 .50 push eax
00402AD5 .8975 84 mov dword ptr ss:,esi
00402AD8 .897D 9C mov dword ptr ss:,edi
00402ADB .8975 94 mov dword ptr ss:,esi
00402ADE .E8 37E6FFFF call <jmp.&MSVBVM50.__vbaI4Var>
00402AE3 .50 push eax
00402AE4 .8D45 AC lea eax,dword ptr ss:
00402AE7 .50 push eax
00402AE8 .E8 33E6FFFF call <jmp.&MSVBVM50.#595>
5、向上浏览代码,发现两个字符串,虽然看不懂,但是应该是一个提示成功,一个提示失败的。6、继续向上查看je、jg、jmp等跳转,但是发现没有一个跳转用来区分正确和错误的。7、向上跟踪VB的API看看它在干什么?00402A22 .E8 17E7FFFF call <jmp.&MSVBVM50.__vbaHresultCheckObj>
00402A27 >FF75 A8 push dword ptr ss: ;"123123123"
00402A2A .68 DC1D4000 push 00401DDC ;UNICODE "2G83G35Hs2"
00402A2F .E8 16E7FFFF call <jmp.&MSVBVM50.__vbaStrCmp> ;// 注册码比较
00402A34 .F7D8 neg eax
00402A36 .1BC0 sbb eax,eax
00402A38 .8D4D A8 lea ecx,dword ptr ss:
00402A3B .F7D8 neg eax
00402A3D .F7D8 neg eax
00402A3F .8985 48FFFFFF mov dword ptr ss:,eax
00402A45 .E8 EEE6FFFF call <jmp.&MSVBVM50.__vbaFreeStr>
00402A4A .8D4D A4 lea ecx,dword ptr ss:
00402A4D .E8 E0E6FFFF call <jmp.&MSVBVM50.__vbaFreeObj>
00402A52 .66:83BD 48FFF>cmp word ptr ss:,0x0
00402A5A .0F84 E7000000 je 00402B47
很容易地发现了一个文本比较函数 __vbaStrCmp ,对它下断点,发现了比较的字符串,"2G83G35Hs2" 很可疑,我们试试!http://images.cnitblog.com/blog/573547/201406/231857164863138.png哈哈,成功了!
4、注册机的探索
注册码是固定的:"2G83G35Hs2",不需要继续跟踪啦!哈哈!
BY笨笨D幸福
44018723 发表于 2014-6-24 19:58
每篇文章的开头就有所有工具的下载地址哦!求好评!
好评 !!!! Bad丶Boy 发表于 2014-6-24 17:54
不错得教材 值得学习 求六周年OD
{:17_1080:}每篇文章的开头就有所有工具的下载地址哦!求好评! 不错得教材 值得学习 求六周年OD 精彩帖子,谢谢楼主整理发布。 再把00402CFE E8 1DE4FFFF call <jmp.&MSVBVM50.#595>
这个位置的弹窗解决了,就更完美了!! 大神感谢你的思路,想你学习好东西 这个我喜欢,特简单{:301_987:}
页:
[1]