对一个CM的分析过程(图文详解教程)

onmiuncai

这个CM 在CM板块那边被人求解,然后自己也捣鼓一下，楼主一直也在那边求解，那今天有空就把这个过程跟大家分享一下。新手可以看一看分析过程，大牛就飘过吧。尽量写的详细点，满足新手口味。如有不适，请前面右拐点击红叉。


首先是个易语言程序，无壳(PEID查壳)



ok,打开界面看一看什么样子,随便输入运行看看..




验证失败，程序直接退出了...OK。 既然是易语言，那么先到按钮事件(特征: FF 55 FC 5F 5E)看一看，顺便下个MessageBox 弹窗断点





然后直接F9 让程序跑起来，然后随便输入一下伪注册码。唔，刚输入1个字符就被拦截到了事件特征，哪应该是编辑框改变触发的,先进入看看，直接在下的断点处F7进CALL




F8跟一下，看看干了些什么，这里EAX取到了我们的伪注册码，因为只输入1个字符就被断下了，所以EAX的ASCII写着1，因为输入了1，继续跟...




跟到了断尾发现这里有个地方可疑，局部变量local.3里存放了一个奇怪的数值 83DCEFB7 ,通过跟踪得知这个应该是我们的字符串计算出来的一个结果，然后被他存放到了常量。
那么思路就很清晰了，直接内存下断就可以跟踪到他什么时候取值做判断。



点击到常量这行，右键数据窗口跟随内存地址，然后对那个特殊数值下内存访问断点，然后F9运行。




停下来后，我们F8，就会看到EAX取到了这个奇怪的数值，然后一路F8出CALL应该就会赢来关键的比对了




这里可以看到这串数值是与0x2B52B49A 进行比对，影响他的关键就在sete al这里，所以我们把sete 改为 setne 试试，直接F9



OK，总结一下，其实CM这些东西都不是很难滴，不要去害怕调试，不要怕万一破解不了就倍受打击，实际上分析过程就是需要你有很好的耐心，只要你有足够的耐心，成功就离你不远了。我刚开始接触的时候就特别害怕破解不成功，因为感觉倍受打击，有时就甚至想放弃逆向学习，这样想真的是错的，因为即使你这次失败了，你也会总结到很多经验，而且即使失败了，你在调试的过程中也会不断的累积一些经验，只要你有一颗喜欢逆向分析的心，再有一个有耐心沉得住气，慢慢就能走向成功，大牛们也都是这么走过来的，没有一个人是一开始就会跑的，都是一步一个脚印走着走着，慢慢到一个地步就知道跑了。好了废话说得有点多，希望能给新手们一些启发与帮助，这样我就很开心了。

原贴在这里，如果需要研究练习，请左拐: http://www.52pojie.cn/thread-513878-1-1.html

写这个图文讲解真的好费劲！希望看完文章的能给我加点热心与CB呀~

byh3025

非常详细的教程，O(∩_∩)O谢谢楼主，小白学习了

qw805488143

学习一下

Hmily

最好把cm的地址也贴一下，方便大家参考学习。

onmiuncai

Hmily 发表于 2016-7-13 16:55
最好把cm的地址也贴一下，方便大家参考学习。

H大提醒的是，已经给出CM之前那个楼主求助的连接~~

Feixiangze

谢谢楼主分享，正符合我这种小白的学习需要

D1peng

感谢大牛 真心