44018723 发表于 2014-7-3 22:50

[反汇编练习] 160个CrackMe之026

[反汇编练习] 160个CrackMe之026.
本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160个CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。其中,文章中按照如下逻辑编排(解决如下问题):1、使用什么环境和工具2、程序分析3、思路分析和破解流程4、注册机的探索----------------------------------提醒各位看客: 如果文章中的逻辑看不明白,那你一定是没有亲手操刀!OD中的跳转提示很强大,只要你跟踪了,不用怎么看代码就理解了!----------------------------------1、工具和环境:WinXP SP3 + 52Pojie六周年纪念版OD + PEID + 汇编金手指。160个CrackMe的打包文件。下载地址: http://pan.baidu.com/s/1xUWOY 密码: jbnq注:1、Win7系统对于模块和程序开启了随机初始地址的功能,会给分析带来很大的负担,所以不建议使用Win7进行分析。2、以上工具都是在52PoJie论坛下的原版程序,NOD32不报毒,个人承诺绝对不会进行任何和木马病毒相关内容。http://images.cnitblog.com/blog/573547/201406/192147191763366.png2、程序分析:想要破解一个程序,必须先了解这个程序。所以,在破解过程中,对最初程序的分析很重要,他可以帮助我们理解作者的目的和意图,特别是对于注册码的处理细节,从而方便我们反向跟踪和推导。和上一节一样,打开CHM,选择第26个Colormaster.exe,保存下来。运行程序,程序界面如下:
点击上面的那个按钮没有任何反应,看来失败没有提示的。PEID:Microsoft Visual Basic 5.0 / 6.03、思路分析和破解流程没有信息框,我们可以试试查找文本的办法。1、打开OD,将exe拖到OD窗口中,等程序暂停后,直接点击运行按钮(F9),不用理会。2、在OD中反汇编窗口,右键->中文搜索插件->智能搜索,信息如下:
大概地猜猜意思,图中选中的哪一行应该就是正确的。(为什么是它?因为它的第一个单词我认识啊!哈哈哈!)双击或者右键->Show call进去,我们就返回到了反汇编窗口,附进代码如下:004036EB   /0F84 AB000000 je 0040379C
004036F1   . |8B35 D4104000 mov esi,dword ptr ds:[<&MSVBVM60.__vbaVa>;msvbvm60.__vbaVarDup
004036F7   . |B9 04000280   mov ecx,0x80020004
004036FC   . |898D 64FFFFFF mov dword ptr ss:,ecx
00403702   . |B8 0A000000   mov eax,0xA
00403707   . |898D 74FFFFFF mov dword ptr ss:,ecx
0040370D   . |BF 08000000   mov edi,0x8
00403712   . |8D95 0CFFFFFF lea edx,dword ptr ss:
00403718   . |8D8D 7CFFFFFF lea ecx,dword ptr ss:
0040371E   . |8985 5CFFFFFF mov dword ptr ss:,eax
00403724   . |8985 6CFFFFFF mov dword ptr ss:,eax
0040372A   . |C785 14FFFFFF>mov dword ptr ss:,00401F2C   ;Colormaster′s Crackme 7.0
00403734   . |89BD 0CFFFFFF mov dword ptr ss:,edi
0040373A   . |FFD6          call esi                                 ;<&MSVBVM60.__vbaVarDup>
0040373C   . |8D95 1CFFFFFF lea edx,dword ptr ss:
00403742   . |8D4D 8C       lea ecx,dword ptr ss:
00403745   . |C785 24FFFFFF>mov dword ptr ss:,00401F80   ;   Gratulation ,du hast es geschafft!
0040374F   . |89BD 1CFFFFFF mov dword ptr ss:,edi
00403755   . |FFD6          call esi哈哈,代码是不是很简单?这段代码的开头je 0040379C 就是我们需要的关键跳转!尝试爆破一下!选中je 0040379C, 右键->Binary->Fill with NOPs。再试试:4、注册机的探索注册码比较肯定在关键跳转附近,我们直接分析这段代码就可以了:代码比较长,捡重要的说明:00402CAC   .FF15 34104000 call dword ptr ds:[<&MSVBVM60.__vbaHresu>;msvbvm60.__vbaHresultCheckObj
00402CB2   >8B55 D8       mov edx,dword ptr ss:
00402CB5   .52            push edx                                 ;// edx="bbdxf",目的是校验字符串长度大于5
00402CB6   .FF15 10104000 call dword ptr ds:[<&MSVBVM60.__vbaLenBs>;msvbvm60.__vbaLenBstr
00402CBC   .33C9          xor ecx,ecx
00402CBE   .83F8 04       cmp eax,0x4
00402CC1   .0F9EC1      setle cl
00402CC4   .F7D9          neg ecx
00402CC6   .66:898D DCFEF>mov word ptr ss:,cx
00402CCD   .8D4D D8       lea ecx,dword ptr ss:
00402CD0   .FF15 F0104000 call dword ptr ds:[<&MSVBVM60.__vbaFreeS>;msvbvm60.__vbaFreeStr
00402CD6   .8D4D B8       lea ecx,dword ptr ss:
00402CD9   .FF15 F4104000 call dword ptr ds:[<&MSVBVM60.__vbaFreeO>;msvbvm60.__vbaFreeObj
00402CDF   .66:399D DCFEF>cmp word ptr ss:,bx
00402CE6   .0F84 B0000000 je 00402D9C
00402CEC   .8B35 D4104000 mov esi,dword ptr ds:[<&MSVBVM60.__vbaVa>;msvbvm60.__vbaVarDup
00402CF2   .B9 04000280   mov ecx,0x80020004
00402CF7   .898D 64FFFFFF mov dword ptr ss:,ecx
00402CFD   .B8 0A000000   mov eax,0xA
00402D02   .898D 74FFFFFF mov dword ptr ss:,ecx
00402D08   .BF 08000000   mov edi,0x8
00402D0D   .8D95 0CFFFFFF lea edx,dword ptr ss:
00402D13   .8D8D 7CFFFFFF lea ecx,dword ptr ss:
00402D19   .8985 5CFFFFFF mov dword ptr ss:,eax
00402D1F   .8985 6CFFFFFF mov dword ptr ss:,eax
00402D25   .C785 14FFFFFF>mov dword ptr ss:,00401F2C   ;Colormaster′s Crackme 7.0
00402D2F   .89BD 0CFFFFFF mov dword ptr ss:,edi
00402D35   .FFD6          call esi                                 ;<&MSVBVM60.__vbaVarDup>
00402D37   .8D95 1CFFFFFF lea edx,dword ptr ss:
00402D3D   .8D4D 8C       lea ecx,dword ptr ss:
00402D40   .C785 24FFFFFF>mov dword ptr ss:,00401ED4   ;   Der Name muss mindestens 5 Chars haben
00402D4A   .89BD 1CFFFFFF mov dword ptr ss:,edi
00402D50   .FFD6          call esi
00402D52   .8D95 5CFFFFFF lea edx,dword ptr ss:
00402D58   .8D85 6CFFFFFF lea eax,dword ptr ss:
00402D5E   .52            push edx
00402D5F   .8D8D 7CFFFFFF lea ecx,dword ptr ss:
00402D65   .50            push eax
00402D66   .51            push ecx
00402D67   .8D55 8C       lea edx,dword ptr ss:
00402D6A   .6A 40         push 0x40
00402D6C   .52            push edx
00402D6D   .FF15 48104000 call dword ptr ds:[<&MSVBVM60.#595>]   ;msvbvm60.rtcMsgBox首先,校验了Name的长度,必须大于4. 然后,有很长很长一段代码用于进行浮点数计算,但是生成的数值实在无法理解是怎样互相联系的,所以我放弃了。最后,就进行了注册码的相关处理:00403648   . /7D 12         jge short 0040365C
0040364A   . |68 A0000000   push 0xA0
0040364F   . |68 941E4000   push 00401E94
00403654   . |56            push esi
00403655   . |50            push eax
00403656   . |FF15 34104000 call dword ptr ds:[<&MSVBVM60.__vbaHresu>;msvbvm60.__vbaHresultCheckObj
0040365C   > \8B45 D8       mov eax,dword ptr ss:
0040365F   .8B4D D4       mov ecx,dword ptr ss:
00403662   .8B55 D0       mov edx,dword ptr ss:
00403665   .50            push eax                                 ;// eax = "123123"
00403666   .51            push ecx                                 ;// ecx = "52406C2C2CC54463"
00403667   .52            push edx                                 ;// edx = "bbdxf"
00403668   .FF15 10104000 call dword ptr ds:[<&MSVBVM60.__vbaLenBs>;msvbvm60.__vbaLenBstr
0040366E   .50            push eax                                 ;// eax = 5
0040366F   .FF15 08104000 call dword ptr ds:[<&MSVBVM60.__vbaStrI4>;msvbvm60.__vbaStrI4
00403675   .8B35 DC104000 mov esi,dword ptr ds:[<&MSVBVM60.__vbaSt>;msvbvm60.__vbaStrMove
0040367B   .8BD0          mov edx,eax
0040367D   .8D4D CC       lea ecx,dword ptr ss:
00403680   .FFD6          call esi                                 ;<&MSVBVM60.__vbaStrMove>
00403682   .8B3D 30104000 mov edi,dword ptr ds:[<&MSVBVM60.__vbaSt>;msvbvm60.__vbaStrCat
00403688   .50            push eax                                 ;// eax = "5", ecx="52406C2C2CC54463"
00403689   .FFD7          call edi                                 ;<&MSVBVM60.__vbaStrCat>
0040368B   .8BD0          mov edx,eax
0040368D   .8D4D C8       lea ecx,dword ptr ss:
00403690   .FFD6          call esi
00403692   .50            push eax
00403693   .68 741F4000   push 00401F74                            ;-CM
00403698   .FFD7          call edi
0040369A   .8BD0          mov edx,eax
0040369C   .8D4D C4       lea ecx,dword ptr ss:
0040369F   .FFD6          call esi
004036A1   .50            push eax
004036A2   .FF15 74104000 call dword ptr ds:[<&MSVBVM60.__vbaStrCm>;msvbvm60.__vbaStrCmp这里,我们发现:注册码比较的文本,在我们点击按钮之前就已经生成好了,String    "52406C2C2CC54463",为了避免这个文本是固定的,我们再次换一个Name跟踪下它的比较文本,发现确实不一样了,说明,比较字符串是在输入Name的时候也已经根据Name的内容动态生成了。想要在输入Name就完成了比较文本的生成,一般都是用的是Edit控件文本变化事件或者一个Timer定时去读取Name的内容然后生成。遗憾的是,我尝试寻找这两种事件的地址,终究也没有找到,以下是使用其他VB工具尝试的结果: 首先,他确实有一个Timer,但是根据Timer事件的跟踪内容,发现里面就产生了一个错误,和注册码相关的啥也没有。在按钮按下时,通过遍历Name的每一个字符ANSII值,然后与浮点数432.4以及0x15进行了一些乘法运算,(这在OD里已经跟踪出来了,但是怎么计算也无法匹配跟踪的结果,有点无语),最后将结果转换为整数,最后的两个结果转换为十六进制整数文本,然后开头和结尾加上了一些其他的整数文本,组成了最后的注册码。
PS:VB的代码跟踪起来代价太大,太坑了,但是160个CrackMe中有很多这种程序,无语啊!
BY笨笨D幸福

wbdl88 发表于 2014-7-3 23:29

楼主辛苦了。。

永远不知道 发表于 2014-7-3 23:22

刘宏伟大人丶 发表于 2014-7-3 23:00

纵横、叼蛮意 发表于 2014-7-4 08:28

shuguang 发表于 2014-7-19 19:04

注册码每次确实不同

www52pojiecn 发表于 2014-10-21 20:38

赞,一定顶上去

我是烟花 发表于 2014-10-26 00:49

必须感谢楼主啊!!!
页: [1]
查看完整版本: [反汇编练习] 160个CrackMe之026


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn