好友 阅读权限 35
听众 最后登录 1970-1-1
solly
发表于 2019-11-24 12:16
本帖最后由 solly 于 2019-11-27 09:36 编辑 160 个 CrackMe 之 082 - ultraschall 是一个自带了包含10个指令的微型VM的 Crackme 程序,并且其VM部分的代码带有“花指令”干扰。 我们先来看看文件信息:
显示是用汇编语言写的,没有加壳。重新用 “Scan /t” 扫描一下:
这次显示有一个 PE Diminisher v0.1 处理过了,应该就是加了一些“花指令”,我们在后面会看到。 但是这个程序在 Win10 下不能直接运行,会报兼容性问题,如下图所示,Windows10不允许其运行:
这个错误是由于程序的“节”的参数不严谨造成的,是“.rsrc”节的大小超出了文件结尾,在 Windows 9x 下没有问题,在 Win10下则不认可,不过可以修正(本论坛有贴有详细説明,修改原理这里不重复了),修改方法如下面的两图所示:
上图中的 0x00004A00 需要修改,改成 0x00004200 即可,如下图所示:
修改后即可在 Windows 10 下正常运行了。 启动后界面如下:
需要找出其 SN 或写出注册机。 接下来我们用 OD 加载 Crackme,先进行静态分析。
加载后,如上图所示,用汇编写的代码比较精简整洁,结构清晰。 上图中红框 WinMain() 入口函数的代码,直接生成一个基于“对话框”的程序,没有一句多余代码。 由上图可以看到对话框的事件处理回调函数 DlgProc() 的入口为 0x0040103E,也是直接就是在 WinMain() 函数的后面,如上图蓝框 下图所示就是 DlgProc() 的部分代码:
最前面的代码是处理 WM_SHOWWINDOW 消息,对文本框的输入长度进行了一些限制,防止后面接收字符串时溢出。同时将光标(输入焦点)定位到输入用户名的文本框内。 图中红框 下面来看看 DlgProc() 中对 WM_COMMAND 处理的代码,如下图所示:
上图中,蓝框 主要的处理代码在红框 call 004010FF
可以看到,这个函数内部的代码很乱,这是由于有“花指令”的干扰,往下拖,看看函数结尾在哪里,如下图所示,在 IAT 的跳转表前面就是其结尾:
下面先去除“花指令”,在 OD 的“插件”菜单中,选择“5. 花指令去除器”==>“去除花指令”,在弹出的对话框中输入搜索地址和搜索大小,如下图所示:
搜索地址为函数地址:0x004010FF ,搜索大小为 0x31F = 0x0040141E - 0x004010FF。再点“确定”就可以了,如下图所示:
去除了 112 条花指令。后面OD代码区的花指令变成了大量的 nop 指令了,如下图所示,就是 VM 的入口,先将Host机器的上下文(寄存器信息)保存。
同时在地址 0x0040110D 处的 NOP 指令,是 VM 机器的执行标志,后面有说明,当这个字节由 0x90 变成 0xCC 时,VM 结束。 静态分析到这里,下面进行动态跟踪,分析注册机制。 我们先在下图所示位置(0x004010CE),下一个“断点”:
然后按 “F9” 运行 CrackMe,显示主界面,并输入注册假码数据,如下图所示:
输入完注册信息,点“Register”按钮,OD 马上断下程序,如下图所示,定位到了我们前面下的断点处:
可以看到,按钮的 ControlID = 0x000003F4,按几次 F8,来到那个 call 004010FF
我们按 F7 一路按 F8 执行,来到如下图所示位置,这个 VM 内的 call dword ptr [eax+esi],就是解释执行 VM 指令的调用:
其中 al 为操作码,esi 为操作码解释执行程序的入口基址,当前的 cx 为下一条指令的地址,EBX 为第一个操作数,EDX 为第二个操作数,后面再对指令结构详细説明,在 OD 的数据区,就显示了当前正在执行的VM指令。 eax+esi = 0x00403199,这个位置保存的是解释执行当前VM指令的子过程(0x0040128A),如下图所示,在 OD 的数据区就是这些子过程的入口表,共 10 个入口,表示这个小小的 VM 只有 10 条指令。
具体入口代码如下: [Asm] 纯文本查看 复制代码
; Func[0] ~ Func[9], 共 10 个指令解释程序入口地址
00403189: 004011DF 00401202 00401224 00401256
00403199: 0040128A 004012E0 00401343 0040136F
004031A9: 00401380 004013C0
本 VM 机器执行的 VM 程序全部指令序列如下所示: [Asm] 纯文本查看 复制代码
0040300B 10 E0 00 00 00 F0 03 00 00 0B 00 ; Func[4] GetText,取用户名 存于 [004030EB], "solly", API: User32.GetDlgItemTextA()
00403016 10 F5 00 00 00 F1 03 00 00 16 00 ; Func[4] GetText,取序列号(文本) 存于 [00403100], "78787878", API: User32.GetDlgItemTextA()
00403021 08 DC 00 00 00 DC 00 00 00 21 00 ; Func[2] Sub,计算 [004030E7] = [004030E7] - [004030E7] = 0 - 0 = 0,[004030E7]变量初始化为0
0040302C 04 DC 00 00 00 5A 01 00 00 2C 00 ; Func[1] Add,计算 [004030E7] = [004030E7] + [00403165] = 0 + 0 = 0
00403037 20 E0 00 00 00 4E 01 00 00 37 00 ; Func[8] Equ,赋值 [004030E7] = *((dword *)&name[j]) = 0x6C6C6F73("soll"),("olly"),......, 下面Func[6]跳转到这里执行循环。
00403042 04 4E 01 00 00 56 01 00 00 42 00 ; Func[1] Add,计算 [00403159] = [00403159] + [00403161] = 0x00 + 0x01 = 0x01, j++(char索引)
0040304D 04 4A 01 00 00 DC 00 00 00 4D 00 ; Func[1] Add,计算 [00403155] = [00403155] + [004030E7] = 0x00 + 0x6C6C6F73 = 0x6C6C6F73, sum += *((dword *)&name[j]), 循环结束时 sum = 0x5589C233
00403058 08 52 01 00 00 56 01 00 00 58 00 ; Func[2] Sub,计算 [0040315D] = [0040315D] - [00403161] = 0x14 - 0x01 = 0x13,[0040315D] 为循环次数, i--(char索引)
00403063 18 52 01 00 00 00 00 2C 00 63 00 ; Func[6] Jnz,不为0跳转 (操作数1[0040315D] != 0) 结果(IP) == 操作数2:0x002C0000 ==> bswap(0x00002C00) ==> (xchg)0x0000(002C),跳回去循环
0040306E 20 66 01 00 00 52 01 00 00 6E 00 ; Func[8] Equ,赋值 [004030E7] = xor_arr[i] = [00403171](0xD4E1C094), 下面Func[6]跳转到这里执行循环。
00403079 0C 4A 01 00 00 DC 00 00 00 79 00 ; Func[3] Xor,计算 [00403155] = [00403155] ^ [004030E7], sum ^= *((dword *)&xor_arr[j]), 循环结束时 sum = 0x061F4FD2
00403084 04 52 01 00 00 62 01 00 00 84 00 ; Func[1] Add,计算 [0040315D] = [0040315D] + [0040316D] = 0x00 + 0x04 = 0x04, i++(int索引)
0040308F 08 4E 01 00 00 62 01 00 00 8F 00 ; Func[2] Sub,计算 [00403159] = [00403159] - [0040316D] = 0x14 - 0x04 = 0x10, j--(int索引)
0040309A 18 4E 01 00 00 00 00 63 00 9A 00 ; Func[6] Jnz,不为0跳转 (操作数1[00403159] != 0) 结果(IP) == 操作数2:0x00630000 ==> bswap(0x00006300) ==> (xchg)0x0000(0063),跳回去循环
004030A5 24 7A 01 00 00 F1 03 00 00 A5 00 ; Func[9] GetInt,取序列号(整数) 存于 [00403185], API: User32.GetDlgItemInt(), SN = eax == 0x04B23526(78787878)
004030B0 08 4A 01 00 00 7A 01 00 00 B0 00 ; Func[2] Sub,计算 [00403155] = [00403155] - [00403185] = sum - SN,sum -= SN,结果为0时表示序列号正确
004030BB 18 4A 01 00 00 00 00 C6 00 BB 00 ; Func[6] Jnz,不为0跳转 (操作数1(sum) != 0) 结果(IP) == 操作数2:0x00C60000 ==> bswap(0x0000C600) ==> (xchg)0x0000(00C6),跳转去显示注册错误
004030C6 14 2C 01 00 00 00 00 00 00 D1 00 ; Func[5] Msg,显示注册正确,MsgText == [00403137] ===> "Registration Code is CORRECT!",API: USER32.MessageBoxExA()
004030D1 14 0A 01 00 00 00 00 00 00 D1 00 ; Func[5] Msg,显示注册错误,MsgText == [00403115] ===> "Registration Code is not correct!",API: USER32.MessageBoxExA()
004030DC 1C 00 00 00 00 00 00 00 00 00 00 ; Func[7] End,设置程序结束标志,[0040110D] = 0xCC; int3, 设置程序结束标志 [C++] 纯文本查看 复制代码
/// 指令结构
struct Instruction {
char opcode;
DWORD operand1; /// and result
DWORD operand2;
WORD next_ip;
}; [Asm] 纯文本查看 复制代码
;第二次循环进行异或的操作数,5个整数常量:
00403171 94 C0 E1 D4 11 98 1F FF C8 BB FA 91 10 94 1D 78
00403181 BC FA 8F 91
0xD4E1C094, 0xFF1F9811, 0x91FABBC8, 0x781D9410, 0x918FFABC; [Asm] 纯文本查看 复制代码
004010FF 55 push ebp
00401100 8BEC mov ebp, esp
00401107 60 pushad
00401108 9C pushfd
0040110B 90 nop
0040110C 90 nop
0040110D 90 nop ; 程序开始(nop)/结束(int3)标志存放点
0040110E 90 nop
00401112 BB 0B304000 mov ebx, 0040300B ; 初始化数据区基址
0040111B BE 89314000 mov esi, 00403189 ; 初始化指令解释执行函数dispatcher表基址
00401124 33C0 xor eax, eax ; 初始化指令指针寄存器IP = 0
00401128 90 nop
00401129 90 nop
0040112A 50 push eax ; 开始循环执行VM指令
0040112B 53 push ebx
00401131 8BF8 mov edi, eax ; IP
00401137 50 push eax ; IP
0040113C 3D FF000000 cmp eax, 0FF ; IP>255
00401145 0F8F 88000000 jg 004011D3 ; IP大于255则退出VM执行循环
00401153 90 nop
00401154 D7 xlat byte ptr [ebx+al] ; 取指令 AL=opcode, 相当于指令 mov al, byte ptr [ebx+al]
00401155 50 push eax
0040115E 90 nop
0040115F 8B541F 05 mov edx, dword ptr [edi+ebx+5] ; 取操作数2
00401163 90 nop
00401167 59 pop ecx ; 指令
0040116C 58 pop eax ; IP
00401172 51 push ecx ; 指令
00401176 90 nop
00401177 66:8B4C18 09 mov cx, word ptr [eax+ebx+9] ; 取下一条指令IP
0040117C 90 nop
00401180 8B5C1F 01 mov ebx, dword ptr [edi+ebx+1] ; 取操作数1,结果缓冲区
00401184 58 pop eax ; 指令
00401188 90 nop
00401189 FF1430 call dword ptr [eax+esi] ; 执行指令
0040118C 90 nop
00401190 5B pop ebx
00401195 58 pop eax
0040119A 8BC1 mov eax, ecx ; eax ==>下一条指令结构
0040119F 90 nop
004011A0 803D 0D114000 CC cmp byte ptr [40110D], 0CC ; int3, 程序是否结束,0xCC表示VM程序结束
004011AB ^ 0F85 79FFFFFF jnz 0040112A ; 没有结束则继续执行下一条指令
004011B1 90 nop
004011B5 C605 0D114000 90 mov byte ptr [40110D], 90 ; 改成 nop,可重新开始执行的标志
004011C0 90 nop
004011C1 9D popfd
004011C6 61 popad
004011CB C9 leave
004011CC C2 0400 retn 4 ; 返回,退出VM程序
004011CF 90 nop
004011D0 90 nop
004011D3 8A0418 mov al, byte ptr [eax+ebx] ; IP>255 时跳转到这里,取指令并重新返回循环执行指令
004011DA ^ E9 76FFFFFF jmp 00401155
;===============================================================================================================================
004011DF 90 nop ; Func[0] 入口,Equ 指令
004011E3 C605 7A124000 89 mov byte ptr [40127A], 89 ; 修改为 Mov 指令
004011EF 68 46124000 push 00401246 ; ret 返回地址
004011F8 68 56124000 push 00401256 ; ret 返回地址
00401201 C3 retn ; jmp 00401256
;===============================================================================================================================
00401202 90 nop ; Func[1] 入口,Add 指令
00401206 C605 7A124000 01 mov byte ptr [40127A], 1 ; 修改为 Add 指令
00401211 68 46124000 push 00401246 ; ret 返回地址
0040121A 68 56124000 push 00401256 ; ret 返回地址
00401223 C3 retn ; jmp 00401256
;===============================================================================================================================
00401224 90 nop ; Func[2] 入口,Sub 指令
00401228 C605 7A124000 29 mov byte ptr [40127A], 29 ; 修改为 Sub 指令,修改运算符
00401233 68 46124000 push 00401246 ; ret 返回地址
0040123C 68 56124000 push 00401256 ; ret 返回地址
00401245 C3 retn ; jmp 00401256, call Func[3]
;===============================================================================================================================
00401246 90 nop ; Func_Restore()
0040124A C605 7A124000 31 mov byte ptr [40127A], 31 ; 恢复指令
00401255 C3 retn
;===============================================================================================================================
00401256 90 nop ; Func[3] 入口,Xor 指令,同时兼VM的加法器或EU
0040125A 51 push ecx
0040125F 81C3 0B304000 add ebx, 0040300B ; ebx ===> 操作数1,以及结果
00401269 81C2 0B304000 add edx, 0040300B ; edx ===> 操作数2
00401274 8B12 mov edx, dword ptr [edx] ; 取得操作数2的值
0040127A 3113 xor dword ptr [ebx], edx ; 执行操作,这里的指令会是可变的,Mov, Add, Sub, Xor 等
00401280 59 pop ecx
00401285 C3 retn ; 返回 00401246 恢复指令, 由 00401233 处指令压入
;===============================================================================================================================
00401289 90 nop
0040128A 51 push ecx ; Func[4] 入口, GetDlgItemText(),ControlID为参数
00401294 81C3 0B304000 add ebx, 0040300B ; ebx 为存放用户名和序列号的buffer地址
004012A7 6A 15 push 15 ; length
004012AD 53 push ebx ; buffer
004012B2 52 push edx ; ControlID
004012B3 FF35 B8314000 push dword ptr [4031B8] ; hWnd
004012BE 68 D5124000 push 004012D5 ; API调用的返回地址
004012C7 68 3C144000 push <jmp.&USER32.GetDlgItemTextA>
004012D0 C3 retn ; 调用 API
004012D4 90 nop
004012D5 59 pop ecx ; API 返回位置
004012DA C3 retn
;===============================================================================================================================
004012DF 90 nop
004012E0 51 push ecx ; Func[5] 入口,MessageBoxA()
004012E9 81C3 0B304000 add ebx, 0040300B ; MsgText
004012F3 6A 00 push 0
004012F9 6A 00 push 0
004012FF 68 00304000 push 00403000 ; MsgTitle ==> "CrackME #1"
00401308 53 push ebx ; MsgText
00401312 FF35 B8314000 push dword ptr [4031B8] ; hWnd
00401321 68 39134000 push 00401339 ; API 调用返回地址
0040132A 68 48144000 push <jmp.&USER32.MessageBoxExA>
00401334 C3 retn ; 调用 API
00401338 90 nop
00401339 59 pop ecx ; API 返回位置
0040133E C3 retn
;===============================================================================================================================
00401343 90 nop ; Func[6] 入口,Jnz 指令
00401348 81C3 0B304000 add ebx, 0040300B
0040134E 8B1B mov ebx, dword ptr [ebx]
00401350 85DB test ebx, ebx ; 检测条件
00401356 74 12 je short 0040136A
0040135C 8BCA mov ecx, edx ; 不等于0,则改变IP,执行跳转
00401362 0FC9 bswap ecx
00401368 86CD xchg ch, cl ; IP == cl
0040136A 90 nop ; 如果等于0,则直接跳转到此,不改变IP。
0040136E C3 retn
;===============================================================================================================================
0040136F 90 nop ; Func[7] 入口,End 指令
00401373 C605 0D114000 CC mov byte ptr [40110D], 0CC ; int3, 设置程序结束标志
0040137F C3 retn
;===============================================================================================================================
00401380 90 nop ; Func[8] 入口, Equ& 指令
00401384 51 push ecx
00401389 81C3 0B304000 add ebx, 0040300B ; 操作数1
00401393 81C2 0B304000 add edx, 0040300B ; 操作数2
0040139E 8B12 mov edx, dword ptr [edx] ; 取操作数2的值
004013A4 8B0C1A mov ecx, dword ptr [edx+ebx]
004013AB 890D E7304000 mov dword ptr [4030E7], ecx ; 返回结果
004013B5 59 pop ecx
004013BF C3 retn
;===============================================================================================================================
004013C0 51 push ecx ; Func[9] 入口,GetDlgItemInt()
004013CA 81C3 0B304000 add ebx, 0040300B
004013D9 6A 00 push 0
004013DF 6A 00 push 0
004013E5 52 push edx ; ControlID, 操作数2
004013E6 FF35 B8314000 push dword ptr [4031B8] ; hWnd
004013F1 68 08144000 push 00401408 ; API 调用返回地址
004013FA 68 42144000 push <jmp.&USER32.GetDlgItemInt>
00401403 C3 retn ; 调用 API
00401407 90 nop
00401408 90 nop ; API 返回位置
0040140C 8903 mov dword ptr [ebx], eax ; 取得的界面整数数据
00401412 59 pop ecx
00401417 C3 retn
0040141C 90 nop
0040141D CC int3 [Asm] 纯文本查看 复制代码
; 第1条指令
0040300B 10 E0 00 00 00 F0 03 00 00 0B 00 ; Func[4] GetText,取用户名 存于 [004030EB], "solly", API: User32.GetDlgItemTextA() [Asm] 纯文本查看 复制代码
004030BB 18 4A 01 00 00 00 00 C6 00 BB 00 ; Func[6] Jnz,不为0跳转 (操作数1(sum) != 0) 结果(IP) == 操作数2:0x00C60000 ==> bswap(0x0000C600) ==> (xchg)0x0000(00C6),跳转去显示注册错误
004030C6 14 2C 01 00 00 00 00 00 00 D1 00 ; Func[5] Msg,显示注册正确,MsgText == [00403137] ===> "Registration Code is CORRECT!",API: USER32.MessageBoxExA()
004030D1 14 0A 01 00 00 00 00 00 00 D1 00 ; Func[5] Msg,显示注册错误,MsgText == [00403115] ===> "Registration Code is not correct!",API: USER32.MessageBoxExA()
True(不相等) ,则将 next_ip 改为 0x00C6 ,而原来的 next_ip = 0x00BB,即条件为 False ,则继续执行 0x00BB 处的指令,通过上面的 host_ip 计算方法可知,这两个地址分别对应的指令实际地址如下:[Asm] 纯文本查看 复制代码
0x00C6 ===> 0x0040300B + 0x00C6 = 0x004030D1,执行显示 "Registration Code is not correct!" 的指令。
0x00BB ===> 0x0040300B + 0x00BB = 0x004030C6,执行显示 "Registration Code is CORRECT!" 的指令。 [Asm] 纯文本查看 复制代码
; Patch 后的 Jnz 指令
004030BB 18 4A 01 00 00 00 00 BB 00 BB 00 ; Func[6] Jnz,不为0跳转
https://www.52pojie.cn/forum.php ... &page=5#pid11840041 )。[Asm] 纯文本查看 复制代码
#include <iostream>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <windows.h>
int getSN1(char * name);
int getSN2(char * name);
int testSN1(long sum_name);
/// 伪指令结构
struct Instruction {
char opcode;
DWORD operand1; /// and result
DWORD operand2;
WORD next_ip;
};
int main(int argc, char** argv) {
char name[256];
printf("Input your name: ");
gets(name);
getSN1(name); //// 方式1, 碰撞测试
//getSN2(name); //// 方式2,加双前导 0
return 0;
}
long xor_base[] = {0xD4E1C094, 0xFF1F9811, 0x91FABBC8, 0x781D9410, 0x918FFABC};
int getSN1(char * name) {
char buffer[48];
memset(buffer, 0, 48);
/// name: 52pojie.cn
/// SN: 1557972636
int n = strlen(name);
if (n>20) {
n = 20;
}
strncpy(buffer, name, n);
long sum_name = 0;
for(int i=0; i<20; i++) {
sum_name += * ((long *)&buffer[i]); //// 将char* 当作 long* 取 name,一次取4个字符
}
int count = testSN1(sum_name);
if(count == 0) {
printf("SN: no result.\n");
}
return 0;
}
int getSN2(char * name) {
char buffer[48];
memset(buffer, 0, 48);
/// name: 52pojie.cn
/// SN: 001524614812
int n = strlen(name);
if (n>20) {
n = 20;
}
strncpy(buffer, name, n);
//// SN处理,SN 前导 0 不影响数值大小
buffer[21] = '0'; /// CrackMe 中对 name 操作时取到了 SN 最前面两个字符
buffer[22] = '0'; /// CrackMe 中对 name 操作时取到了 SN 最前面两个字符
long sum = 0;
for(int i=0; i<20; i++) {
sum += * ((long *)&buffer[i]); //// 将char* 当作 long* 取 name,一次取4个字符
}
// long xor_check = 0;
// for(int i=0; i<5; i++) {
// xor_check ^= xor_base[i];
// }
long xor_check = 0x53968DE1; //// 5 个整数的 Xor 结果值
// printf("xor check: %08X\n", xor_check);
sum ^= xor_check;
//// SN处理,SN 前导 0 不影响数值大小
printf("SN: 00%lu\n", (unsigned long)sum);
return 0;
}
/*
* SN 前两位碰撞测试
*/
int testSN1(long sum_name) {
char sn[16];
//long sum0 = 0xE652C233;
int n = 0;
long sum0 = sum_name;
for(int i=9; i>=0; i--) {
long k = i+0x30;
long sum1 = (k<<24) + (k<<16);
for(int j=9; j>=0; j--) {
long m = j + 0x30;
long sum2 = (m<<24);
long sum3 = sum0 + sum1 + sum2;
long sum = sum3 ^ 0x53968DE1; /// xor_check
//// 有前导 0 时, 分情况格式化
if(i==0) {
if(j==0) {
sprintf(sn, "00%lu", (unsigned long)sum); /// 这一种情况与 getSN2() 方式一致
} else {
sprintf(sn, "0%lu", (unsigned long)sum);
}
} else {
//// 没有前导 0 时,直接输出
sprintf(sn, "%lu", (unsigned long)sum);
}
//printf("%c%c: %s\n", k, m, sn);
if(((sn[0]) == k) && ((sn[1]) ==m)) {
//printf("%c%c: %s\n", k, m, sn);
printf("SN: %s\n", sn);
n++;
}
}
}
return n;
} [Shell] 纯文本查看 复制代码
Input your name: solly
SN: 0420761554
SN: 00353652690
--------------------------------
Process exited after 4.457 seconds with return value 0
请按任意键继续. . . [Shell] 纯文本查看 复制代码
Input your name: 52pojie.cn
SN: 1557972636
SN: 01507837596
SN: 001524614812
--------------------------------
Process exited after 1.438 seconds with return value 0
请按任意键继续. . .
查看全部评分
[复制链接]
发表于 2019-11-24 12:16
|
发表于 2020-1-6 16:56
