关于kris的超简单CM,大大勿玩,小菜快来恢复信心~~~

yangand · 发表于 2011-10-19 16:47

关于kris的超简单CM,大大勿玩,小菜快来恢复信心~~~ 帖子地址：http://www.52pojie.cn/thread-111122-1-1.html
本人菜鸟，搞不出来这个crackme。但也有点思路，不知道对不对。求大家赐教。
用OD加载，然后运行。打开可执行模块窗口，选择本程序模块，双击。
来到
00401000 .  A1 58214000 mov eax,dword ptr ds:[<&MFC42.#4274>]
00401005 .  C3          retn
00401006    90          nop
00401007    90          nop
可以看得出程序是MFC的。然后用MFC按钮入口地址定位器找到按扭事件的段首。为00401330，
在为OD中找到这个位置。点击crackme的按扭，断在这里
00401330  - E9 51860000    jmp 超简单.00409986
00401335 F6D8          neg al
00401337 66:0FA5E0    shld ax,sp,cl
0040133B 66:0FBEC0    movsx ax,al
0040133F 66:8B45 00    mov ax,word ptr ss:[ebp]
00401343 E8 B6420000    call 超简单.004055FE
00401348 FF3424       push dword ptr ss:[esp]
0040134B 894C24 3C    mov dword ptr ss:[esp+0x3C],ecx
0040134F C60424 67    mov byte ptr ss:[esp],0x67
00401353 8D6424 3C    lea esp,dword ptr ss:[esp+0x3C]
00401357  - E9 66500000    jmp 超简单.004063C2
0040135C E8 92520000    call 超简单.004065F3
00401361 F9             stc
00401362 39E2          cmp edx,esp

第一行就是一个JMP到了非代码区段。然后我就在DATA段下F2断，F9运行程序，又回到
00401405  - E9 A2400000    jmp 超简单.004054AC
0040140A 90             nop
0040140B 90             nop
0040140C 90             nop
0040140D 90             nop
0040140E 90             nop
0040140F 90             nop
00401410 8B41 20       mov eax,dword ptr ds:[ecx+0x20]
00401413 6A 00          push 0x0
00401415 50             push eax

然后就是不停的进入VM区段，下CODE断，不停的回到代码段，就这样不停的VM段，代码段的跑。
跑了好久，没有个结果。

不知道这个方法对不对。这样下去能不能找关键代码。

zhi5231 · 发表于 2011-10-19 17:46

提示: 作者被禁止或删除内容自动屏蔽

yangand · 发表于 2011-10-19 17:52

回复 zhi5231 的帖子

你看一下我帖的地址，那个CM没有吧。你说的是哪个，破文在哪？

Shiny · 发表于 2011-10-19 19:22

提示: 作者被禁止或删除内容自动屏蔽

yangand · 发表于 2011-10-19 21:08

大牛们给个思路吧。

Kris · 发表于 2011-10-20 18:35

我感到非常诧异，这个CM竟然还有人拿出来专门开一个帖子来讨论，首先我告诉你，你那样做是没用的，我用的比较函数为strcmp直接集合成汇编代码到本身函数中，也就是说比较代码本身也VM掉的，你如果是酱紫的话根本是不可能跟到关键的，其次要秒杀这个CM真的非常简单，nor32和add32门完美秒杀，明码比较，我实在不知道是有什么难度，至于楼主说我在炫耀技术，我表示，我本来就是一个菜鸟，是Shiny大师傅的马甲，所以根本谈不上炫耀，另外我表示那个CM我自己也是在Shiny大大的指导下才会破解的，我自己VM的我自己也破不了，所以技术真的是很差，实在看不出来哪里有炫耀的，炫耀的应该是楼主这样分析的那么头头是道的大牛才对。我想楼主到现在应该已经破解了，所以我也就不说什么了，感谢Shiny大大教我的nor32，再次表示我是马甲

Kris · 发表于 2011-10-20 18:53

膜拜zhi大大，俺是Shiny的马甲。。。

mycc · 发表于 2011-10-20 23:47

Kris 发表于 2011-10-20 18:35
我感到非常诧异，这个CM竟然还有人拿出来专门开一个帖子来讨论，首先我告诉你，你那样做是没用的，我用的比 ...

嗯，与楼主同等shiny教程

absolutex · 发表于 2011-10-21 02:12

提示: 作者被禁止或删除内容自动屏蔽

帐号		自动登录	找回密码
密码			注册[Register]

zhi5231 zhi5231 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	zhi5231 发表于 2011-10-19 17:46 提示: 作者被禁止或删除内容自动屏蔽
	【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
	回复支持举报

Shiny Shiny 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	Shiny 发表于 2011-10-19 19:22 《站点帮助文档》有什么问题来这里看看吧，这里有你想知道的内容！提示: 作者被禁止或删除内容自动屏蔽
	呼吁大家发布原创作品添加吾爱破解论坛标识！
	回复支持举报

[CrackMe] 关于kris的超简单CM,大大勿玩,小菜快来恢复信心~~~

点评

点评

点评

点评

点评

absolutex absolutex 当前离线好友阅读权限 0 听众最后登录 1970-1-1 头像被屏蔽	absolutex 发表于 2011-10-21 02:12 提示: 作者被禁止或删除内容自动屏蔽

	回复支持举报

[CrackMe] 关于kris的 超简单CM,大大勿玩,小菜快来恢复信心~~~

点评

点评

点评

点评

点评

[CrackMe] 关于kris的超简单CM,大大勿玩,小菜快来恢复信心~~~