【原创】新手破解加密信息框

ttxian

分享一个 CrackMe破解流程


首先查壳，国际惯例
  

无壳，拖入OD，没有正确和错误的信息

   

我们打开软件输入假码看下错误信息。

  

那我们改从哪里下手呢，爆破需要找到判断真码和假码的地方
我们之前找这个判断是寻找信息框结果，因为判断就在上面，

但是仔细看有没有和结果弹框关联的地方，从而可以找到结果弹框

  

我们可以看到这个字符串 ， 是和结果弹框相关联的 ， 看过易语言程序的都知道，弹框上面的标题和弹框内容声明的地方很近
  

  我们可以看下 易语言弹框的代码

   

  所以我们直接双击这个提示进去， 但是前面说过，这个软件的结果弹框内容加密了，所以也看不到内容
而且易语言的弹框代码也看不到，我推测这时加密模块

但是在这前后是真码和假码的判断，我们要找到这个地方，所以我们在这里下个断点

可以看到判断下面函数的信息，判断结果已经出来了，所以判断是在这个断点之前

   

  我们往上翻，找到代码头，没有跳转到这里的标记，所以可能是call，我们搜索call 0040d6f0
  
     

但是没有，所以我们在代码头下断，找到执行哪个retn，就知道调用的地址，因为retn返回的地址就是call下面的地址。

  F8单步，最后到了这个retn。

   

看到数据窗口，也就是右下的这个窗口

0018F65C   00424C41  返回到 cm.00424C41

我们 Ctrl+G输入 00424C41,可以看到上面就是call

   


难怪搜索不到call 的地方，原来 调用的地址是一个公共方法

现在我们又需要找到什么地址调用的这里,然后又call 到 0040d6f0

我们在
00424C3F   .  FFD3          call ebx                                 ;  cm.0040D6F0
上面右键断点=》条件

输入 ebx == 0040d6f0,F9重新输入假码进入断点，如果遇到之前下的断点直接F9继续下走

  

一直等到程序断下，

  

我们在下面的retn断点，F9直到运行到这个retn

我们可以看到返回地址

   

返回到 00406319 (cm.00406319)


Ctrl+G输入 00406319

然后我们可以看到 熟悉的易语言窗口创建 和 上面的判断，所以可以猜测这里是比较真码和假码的地方


  

然后到断首下断

  


F9重新输入假码

  

  看到这个字符串，就是真码，至于怎么判断是真码，因为这里只有这一个字符串，而且在前面的call里面可以看到和假码进行了比较，可以自己去看看

  

  

  我们可以直接把前面的这个判断跳过了 窗口创建 进入加密弹框的跳转nop掉，

  
   

  我们打开原程序输入 真码 试试

  

但是在进入窗口之前弹出注册码错误，是作者是这么写的，可以从源代码看出

然后 我是一个新手，希望一起学习 ，然后希望来点CB，哈哈

附件我拿给大家，可以练练手

cm3.zip (380.6 KB, 下载次数: 138)

2018-8-8 14:55 上传

点击文件名下载附件

By：make Bug

又红又专

有VMP处理痕迹：
0040121D  |. /EB 10         jmp short cm.0040122F
0040121F  |. |56 4D 50 72 6>ascii "VMProtect begin",0


00401724  |.  EB 0E         jmp short cm.00401734
00401726  |.  56 4D 50 72 6>ascii "VMProtect end",0
00401734  |>  8B5D FC       mov ebx, dword ptr ss:[ebp-0x4]

隐身三娃

支持   学习了     

Ccp丶

你是 新手？

Darren-Wu

支持一波，感谢分享

ttxian

Ccp丶 发表于 2018-8-8 15:19
你是 新手？

对啊   只不过17年12月注册的账号，然后一直没登，最近才开始学习破解

梦入神机

楼主看着不像新手

ghost_kl

支持一波

ttxian

梦入神机 发表于 2018-8-8 15:30
楼主看着不像新手

大佬，膜拜，  希望大佬带我一起学习

不苦小和尚

新手就破解这么复杂的？？真的假的

ttxian

不苦小和尚 发表于 2018-8-8 15:45
新手就破解这么复杂的？？真的假的

大佬 ， 膜拜  
真的     之前看过很多帖子，所以自己有些思路