3种方法OD调戏.NET程序，追注册码！【完结】By：凉游浅笔深画眉

凉游浅笔深画眉

目标程序	[CrackMe] C# 4.0 CrackMe 获取密码,欢迎大家挑战~
程序连接	http://www.52pojie.cn/thread-364741-1-1.html
破解目的	1.追出密码(爆破不算)

小信看看
题外话：

这段时间公司每天加班赶项目，真的是帘卷西风,人比黄花瘦啊！

忙里偷闲，给大家分享一些调试.NET程序的技巧！希望可以抛砖引玉！
如果有讲得不对的地方，你来打我呀！

.NET混淆加壳工具越来越多的今天，很多时候已经不能脱壳了！这时候，Native调试工具就起到了至关重要的作用！

或许很多人知道如何在OD中爆破.NET程序，但是并不知道如何追注册码！那么请你跟着此文手动操作吧！

基础知识：

.NET所有的字符串均采用Unicode编码，所以我们在OD中的断点，要加W，比如Windows平台下对话框断点，我们使用bp MessageBoxA,那么.NET程序中，我们需要使用bp MessageBoxW !

方法一：首先介绍一种通杀.NET文本比较的方法! (我暂且将它命名为EDX大法！为什么取这个名字，请看下文分解)!

所谓的通杀，是针对这样的语法：

if(注册码==xxxxxx)
{
  //执行注册成功的代码
}else
{
//执行失败提示
}

1.下断点 bp MessageBoxW



2.然后让程序跑起来，随便输入一个注册码，点击按钮，会在OD里中断到MessageBoxW函数位置！



3.单步往下跟踪回溯(如果你不知道回溯法，请参看论坛相关回溯调试技巧的帖子，这里就不废话了)，直到来到这个位置，已经很明显了，前面一个JNZ，后面一个JMP，如果爆破，这里就是最好的破解点！



4.但是我们今天讲的是追注册码，那么我们仅仅回溯到这里是不行的，继续回溯，找到CALL EAX这一句，下断点！



5.重新运行程序，输入假码，程序会中断到刚才我们断点的 Call EAX这一句！



6.F7单步往下跟踪，会看到一个Call 后面紧跟一个JMP！



7.这时候你需要注意了，我们再F8往下执行一句！程序会来到push ebp 位置！这里就是我们当前C#函数的入口了！



8.我们往下找，找到mov edx,xxxxxxx的下面一句下断点(这里是关键，NET破解遇到文本比较的时候，必须留心观察 "mov edx,xxxxx"，这通常是破解的关键所在)
    CM区很多.NET的UnpackMe和CrackMe都可以通过这种方式来搞定，千万别说是我说的！




9.重新运行程序，点击按钮，让程序在这个断点处断下！然后将数据窗口显示模式设置为文本->Unicode 32位



10.在寄存器Edx处，鼠标右键，选择在数据窗口中跟随



11.不需要怀疑，真码肯定在附近！我也不知道为什么，用ZeNIX大牛经典的一句话就是"其实我也是猜的，只是一般猜的比较准" ！注册码：(52pojie_)




方法二：通过分析加壳工具，在OD中下对应函数断点！

1.查壳可以发现，该程序是采用Enigma Visual Box对文件进行了打包操作，如何逆向它呢？

2.首先，Enigma Visual Box并不是什么强壳，仅仅是一个打包工具！他的执行原理是将我们的所有打包文件，写到区段里，生成成一个唯一的exe文件，这个exe文件运行时候，在内存中释放并加载！

3.知道了Enigma Visual Box的工作原理，我们很容易联想到该壳肯定会读取我们的打包进去的文件，在Windows平台，读取文件的函数为ReadFile，那么我们在OD中下这个函数的断点bp ReadFile 试试看！



4.重新加载程序，并运行，运行之前将该断点设置为禁用状态，避免程序不停地断下！


5.点击CM上面的按钮之前将该断点设置为启用，然后点击按钮，我们可以看到，程序被中断下来了！



6.单步往下跟，注意观察堆栈窗口，毫无疑问，这就是我们要的注册码！







方法三：区段修复法！

1.此方法比较猥琐，本来我以为直接用脱壳机就行了，工具党的福音！可惜的是用脱壳机直接报错！


2.认真分析了一下，原来是这个CM的作者太机智，把区段名字弄成了空白！现在我们来修复区段！

3.用CFF打开该程序，将第一个空白区段改名为.enigma1，第二个空白区段改名为.enigma2！



4.保存程序，丢到脱壳机里面！




5.OK，文件已经被完美DUMP下来了！保存注册码的文件也被DUMP出来了！用记事本打开我们的PS文件，真正的注册码一目了然！



编辑此贴花了太多时间，好不容易写好了还没提交，莫名其妙就跳转到主页了！上传图片一共上传了三次，请各位大大们嘴下留情。。。。

mcevilrock

  我本来还想发呢,让你抢先了..
不光EDX大法可用.EBP大法和EAX大法都可以的..

ghostfish

凉游浅笔深画眉 发表于 2015-5-22 16:49
那是最开始他们发帖，我每个都去点评一次“我去找5个会武功的人来打你”，结果现在就成这样了。。。。

原来如此，那我们离的近，我找两个会武功的漂亮妹妹打你。。。。。。

2314902431

脱壳+反编译 =.= OD调试有点蛋疼

wowopiao

学习中 谢谢大师

朱朱你堕落了

貌似现在搞NET程序OD还是显得力不从心啊。

小六升臣

好腻害的样子啊。。。。

fjs

好厉害！！

苏紫方璇

看见楼主发的net教程，我就进来了，膜拜net大神

Syer

话说我也载入过od，虽然暂停了，，但是还是找不到关键，求学习

basaiyv

学习中 谢谢大师

h012031

进来学习下。

bigharvest

这个还真是不错哈