吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1991|回复: 8
收起左侧

[CrackMe] cm一个

[复制链接]
huzpsb 发表于 2018-11-15 12:37
CM是什么?Crackme是什么?这是什么东西?楼主发的什么?
他们都是一些公开给别人尝试破解的小程序,制作 Crackme 的人可能是程序员,想测试一下自己的软件保护技术,也可能是一位 Cracker,想挑战一下其它 Cracker 的破解实力,也可能是一些正在学习破解的人,自己编一些小程序给自己破解,KeyGenMe是要求别人做出它的 keygen (序号产生器), ReverseMe 要求别人把它的算法做出逆向分析, UnpackMe 是要求别人把它成功脱壳,本版块禁止回复非技术无关水贴。

不知谁说的来个动态密码的
好!

来一个?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册[Register]

x

免费评分

参与人数 1吾爱币 +5 收起 理由
CrazyNut + 5 感谢发布原创CM

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

初吻给奶嘴耶 发表于 2018-11-15 13:23
运行后释放在 %TEMP%\huzpsb\huzpsb.exe (设置显示系统隐藏文件夹)
msvbvm60.__vbaVarTstEq   返回值改为1

免费评分

参与人数 3吾爱币 +6 热心值 +2 收起 理由
酷力萌 + 1 + 1 用心讨论,共获提升!
CrazyNut + 5 用心讨论,共获提升!
huzpsb + 1 666

查看全部评分

聪明的小K 发表于 2018-11-15 15:42
本帖最后由 聪明的小K 于 2018-11-15 15:44 编辑
初吻给奶嘴耶 发表于 2018-11-15 13:23
运行后释放在 %TEMP%\huzpsb\huzpsb.exe (设置显示系统隐藏文件夹)
msvbvm60.__vbaVarTstEq   返回值改为1

也就是创建了一个新的映像运行?
这就是即使关闭了od程序还在运行的原因吧
还有就是这功能是vmp 的保护功能还是楼主自己写的?@huzpsb
 楼主| huzpsb 发表于 2018-11-15 16:07
聪明的小K 发表于 2018-11-15 15:42
也就是创建了一个新的映像运行?
这就是即使关闭了od程序还在运行的原因吧
还有就是这功能 ...

vmp?你中招了!
壳基本同https://www.52pojie.cn/thread-822099-1-1.html
聪明的小K 发表于 2018-11-15 16:15
huzpsb 发表于 2018-11-15 16:07
vmp?你中招了!
壳基本同https://www.52pojie.cn/thread-822099-1-1.html

自己写的壳?那为何要把区段改为vmp...
 楼主| huzpsb 发表于 2018-11-15 17:13
聪明的小K 发表于 2018-11-15 16:15
自己写的壳?那为何要把区段改为vmp...

坑你这种人啊。
yuhan694 发表于 2018-11-15 18:41

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册[Register]

x
yuhan694 发表于 2018-11-15 18:52
说一下我破解的思路
17:59:23[2]:(允许)读取注册表键值:HKEY_CURRENT_USER\Control Panel\Mouse\SwapMouseButtons     数据:

17:59:23[3]:(允许)读取文件:C:\Users\Administrators\Desktop\File_safe\crackme3.exe

17:59:23[4]:(允许)读取文件:C:\

17:59:23[5]:(允许)读取文件:C:\Users\desktop.ini

17:59:23[6]:(允许)读取文件:C:\Users

17:59:23[7]:(允许)读取文件:C:\Users\Administrators

17:59:23[8]:(允许)读取文件:C:\Users\Administrators\Desktop\desktop.ini

17:59:23[9]:(允许)读取文件:C:\Users\Administrators\Desktop

17:59:23[10]:(允许)读取文件:C:\Users\Administrators\Desktop\File_safe

17:59:23[11]:(允许)读取文件:C:\Users\Administrators\Desktop\File_safe\crackme3.exe

17:59:23[12]:(允许)获取文件属性:C:\Users\Administrators\AppData\Local\Temp\huzpsb

17:59:23[13]:(允许)创建文件目录:C:\Users\Administrators\AppData\Local\Temp\huzpsb

17:59:23[14]:(允许)获取文件属性:huzpsb

17:59:23[16]:(允许)获取文件属性:C:\Users\Administrators\AppData\Roaming

17:59:23[17]:(安全环境)设置文件属性:\huzpsb

17:59:23[18]:(允许)读取文件:C:\Users\Administrators\Desktop\File_safe\crackme3.exe

17:59:23[19]:(允许)获取文件属性:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe

17:59:23[20]:(允许)查找文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe

17:59:23[21]:(允许)写入文件:C:\Users\Administrators\AppData\Local\Temp\aut840.tmp

17:59:23[23]:(允许)写入文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe

17:59:23[24]:(允许)删除文件:C:\Users\Administrators\AppData\Local\Temp\aut840.tmp

17:59:23[25]:(允许)写入文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe

17:59:23[26]:(安全环境)创建进程:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe

17:59:23[27]:(允许)获取进程快照:系统全部进程

17:59:23[28]:(允许)获取文件属性:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe

17:59:23[29]:(允许)查找文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe

17:59:23[30]:(允许)删除文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe

17:59:23[31]:(允许)获取文件属性:C:\Users\Administrators\AppData\Local\Temp\huzpsb\

17:59:23[32]:(允许)查找文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb\*.*

17:59:23[33]:(允许)获取文件属性:C:\Users\Administrators\AppData\Local\Temp\huzpsb

17:59:23[34]:(允许)读取文件:C:\

17:59:23[35]:(允许)读取文件:C:\Users

17:59:23[36]:(允许)读取文件:C:\Users\Administrators

17:59:23[37]:(允许)读取文件:C:\Users\Administrators\AppData

17:59:23[38]:(允许)读取文件:C:\Users\Administrators\AppData\Local

17:59:23[39]:(允许)读取文件:C:\

17:59:23[41]:(允许)读取文件:C:\Users

17:59:23[42]:(允许)读取文件:C:\Users\Administrators

17:59:23[43]:(允许)读取文件:C:\Users\Administrators\AppData

17:59:23[44]:(允许)读取文件:C:\Users\Administrators\AppData\Local

17:59:23[45]:(允许)读取文件:C:\Users\Administrators\AppData\Local\Temp

17:59:23[46]:(允许)读取文件:C:\Windows\Registration\R000000000006.clb

17:59:23[47]:(允许)读取文件:C:\Users\Administrators\AppData\Local\Temp

17:59:23[48]:(允许)写入文件:C:\Users\Administrators\AppData\Local\Temp\huzpsb

17:59:23[49]:(允许)读取文件:C:\

17:59:23[50]:(允许)打开内核对象:\\.\PIPE\srvsvc(物理设备)

17:59:23[51]:(允许)获取文件属性:C:\Users

17:59:23[52]:(允许)获取文件属性:C:\Users\Administrators

17:59:23[53]:(允许)获取文件属性:C:\Users\Public

17:59:23[54]:(允许)访问进程:explorer.exe     进程PID:1984     进程句柄:0     获取权限:64

17:59:23[61]:(允许)删除文件目录:C:\Users\Administrators\AppData\Local\Temp\huzpsb

17:59:23[62]:(允许)访问进程:explorer.exe     进程PID:1984     进程句柄:0     获取权限:64

17:59:23[78]:(允许)读取文件:C:\Windows\system32\rsaenh.dll


我用od运行软件,下vbaVarTstEq断点,显示未知标识符,我是个小白,我也不知道为什么,有大佬能说一下吗
然后我想起软件启动会写入文件C:\Users\Administrators\AppData\Local\Temp\huzpsb\huzpsb.exe
我就用另外一个od打开那个软件,下断点成功,堆栈窗口反汇编跟随,找到关键跳,nop掉

免费评分

参与人数 1吾爱币 +8 收起 理由
CrazyNut + 8 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

 楼主| huzpsb 发表于 2018-11-15 20:20
yuhan694 发表于 2018-11-15 18:52
说一下我破解的思路
17:59:23[2]:(允许)读取注册表键值:HKEY_CURRENT_USER\Control Panel\Mouse\SwapMou ...

这是一个 dropper 即 木马释放器 (免杀的)
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 16:50

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表