适合新手的CM练习

0524lei · 发表于 2020-2-27 11:27

本帖最后由 0524lei 于 2020-2-27 19:04 编辑

无壳无花指令

注意：易语言编写可能报毒，另外WIN10需要管理员权限运行

软件截图：

破解成功截图：

昨晚上传的因为里面加载了模块导致被判断为有恶意代码！重新编辑了源代码，感谢吾爱相关人员删帖提醒，本贴已纠正！
下面附上哈勃分析截图：

点击此处下载：https://www.lanzouj.com/i9pzdgd
直接下载：
大佬们附上破解过程最好，我也想学习，虽然很简单

@crack5 关于本CM的分析贴 https://www.52pojie.cn/thread-1117605-1-1.html

crack5 · 发表于 2020-2-27 15:20

本帖最后由 crack5 于 2020-2-27 15:24 编辑

一组正确授权

GF5tFgtDVXfYSMXoIfBw

GF5tFgtDVXfYSMXoIfBwCjDENH4jLWn34txDD++SxF8=

算法写了半易语言奔溃不写了 - -

大概是

[Asm] 纯文本查看 复制代码

取主机名() 和 luochen（)  运算 

第一组运算  j = 申请空白字节集(256) 

依次次转入 1~256的字节集

{0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100,101,102,103,104,105,106,107,108,109,110,111,112,113,114,115,116,117,118,119,120,121,122,123,124,125,126,127,128,129,130,131,132,133,134,135,136,137,138,139,140,141,142,143,144,145,146,147,148,149,150,151,152,153,154,155,156,157,158,159,160,161,162,163,164,165,166,167,168,169,170,171,172,173,174,175,176,177,178,179,180,181,182,183,184,185,186,187,188,189,190,191,192,193,194,195,196,197,198,199,200,201,202,203,204,205,206,207,208,209,210,211,212,213,214,215,216,217,218,219,220,221,222,223,224,225,226,227,228,229,230,231,232,233,234,235,236,237,238,239,240,241,242,243,244,245,246,247,248,249,250,251,252,253,254,255}


第二组 运算  J = 申请空白字节集(256) 
int c;
const char*  temp = "luochen";
for (int i = 0; i <=256 i++)
{
 c = c+1;
J[i] =temp[c];
if(c = strlen(temp))
{
j ＝ 0;
}
}

第三组运算 没去逆大概就是

for (int i = 0; i <=256 i++)
{
k ＝ k ＋ 位与 (空白字节 [i], 255) ＋ 位与 (空白字节2 [i], 255)
}

然后在和机器码运算 这里猜的！！


最后得到 机器码的运算的结果 在用Base64编码 校验编辑框1.内容是否等于 编码后运算的机器码 如果等于 就进行下一个 注册码的运算 

注册码相对于比较简单 

就是取主机名 和 取MAC 地址 注意他这个取MAC 是 PIC去取或者通过 注册表取 或 WQL 
得到的MAC地址 大概是这样的 40:50:60:70:80:90:10 然后机器码和 MAC文本相加  在Base编码 判断是否与注册码编辑框的内容相同 

校验OD 部分就没什么好说的了 就是 取标题和窗口 而已

云在天 · 发表于 2020-2-27 12:48

本帖最后由云在天于 2020-2-27 13:06 编辑

先分析下报毒的原因

1. 遍历了整个窗口句柄，找关键字进行反调试
2. 往C盘写文件

0524lei · 发表于 2020-2-27 12:51

本帖最后由云在天于 2020-2-27 13:07 编辑

云在天发表于 2020-2-27 12:48
先分析下报毒的原因

1. 遍历了整个窗口句柄，找关键字进行反调试

0524lei · 发表于 2020-2-27 12:54

云在天发表于 2020-2-27 12:50
还有整个检测写在时钟里很瞎.

新手玩的不这样不行啊！

云在天 · 发表于 2020-2-27 12:57

0524lei 发表于 2020-2-27 12:54
新手玩的不这样不行啊！

给个建议，不要明码对比，base64解码也不够

yrd2014 · 发表于 2020-2-27 15:30

详细的过程就不发了简单发下修改的地址1.程序检测OD进程.JMP以下地址即可OD跳过检测
00401019    /EB 2B       jmp short CM.00401046
00401059 /0F84 27000000 jmp CM.00401086
0040108D /0F84 27000000 jmp CM.004010BA
2.输入账号密码后直接修改下面地址完成
00404453    837D E4 01 cmp dword ptr ss:[ebp-0x1C],0x1
004045A3    837D D8 00 cmp dword ptr ss:[ebp-0x28],0x1

0524lei · 发表于 2020-2-27 15:45

crack5 发表于 2020-2-27 15:20
一组正确授权

GF5tFgtDVXfYSMXoIfBw

厉害了大佬。学习了学习了

华灯初上夜未央 · 发表于 2020-2-27 22:26

学历这个有什么用啊？

鬼狐 · 发表于 2020-2-28 03:45

本帖最后由鬼狐于 2020-2-28 04:10 编辑

先下特征断点跟进
0040435F  /.  55          push ebp
然后跟到
00404453    837D E4 00 cmp dword ptr ss:[ebp-0x1C],0x0
的时候发现有些诡异
然后发现下面有个Module：user32.dll确定这里有个判断
改为cmp dword ptr ss:[ebp-0x1C],0x1继续跟进到
004045A3  |> \837D D8 00 cmp [local.10],0x0
的时候再次发现诡异下面还是有个user32.dll
然后确定修改赋值亦可(寄存器已经出明码的。。。)
发现已经有dalao用这个方法破解了emmmm

帐号		自动登录	找回密码
密码			注册[Register]

[CrackMe] 适合新手的CM练习

本帖子中包含更多资源

免费评分

本帖子中包含更多资源

免费评分

本帖子中包含更多资源

本帖子中包含更多资源

免费评分

本帖子中包含更多资源