CrackMe-003
逆向学习
工具
OllyDbg(OD):https://www.52pojie.cn/thread-350397-1-1.html
PEID:https://www.52pojie.cn/thread-170387-1-1.html
Exeinfo PE:https://www.52pojie.cn/thread-437586-1-1.html
樱花补丁制作工具:https://www.52pojie.cn/thread-62307-1-1.html
内存补丁生成器:https://www.52pojie.cn/thread-162411-1-1.html
注册机生成器:https://www.52pojie.cn/thread-159470-1-1.html
IDA Pro v7:https://www.52pojie.cn/thread-675251-1-1.html
闯关题目
160个CrackMe的打包文件下载地址:
下载地址1:https://pan.baidu.com/s/1cySNkj9uENG_ppK80BmjUQ 密码:8d77
下载链接2:https://pan.baidu.com/s/150wDRlmXTQjwm2-ey-3I6Q 密码:qr21
第三关
首先用工具查看一些基本的信息,可以看到编译程序是VB,没有壳
原程序启动有一个NAG窗口,若干秒后会自动关闭,打开主窗口,这里看大佬们都是要去除NAG窗口然后开始操作,我也跟着来吧哈哈
NAG窗口关闭后,进入主程序,长这个憨憨样子
这里就自己随便测试,输入数字和字符的结果不太一样
NAG部分
接着就用OD打开分析,首先就要把那个头痛的NAG窗口去掉
VB程序有个特点-入口点处都是一个PUSH指令,然后一个CALL指令,看JMP 后面跟的MSVBVM50,应该是VB5.0编写的。(如果不是这种情况的话,那么该程序可能被加过壳), PUSH将要压入堆栈的是004067D4,现在我们在数据窗口中定位到这个地址
右键--follow in Dump--Immediate constant数据窗口中跟随–立即数
第一行PUSH后的立即数加4c得到406820作为跳转地址,00406820就在
68684000,右键跟随
跳转之后,将标记的
01与
00修改成
00和
01,在右键复制可执行文件,选择保存,即可
爆破部分
用OD打开已经修改NAG的程序,还是经典操作哈哈
往上查找什么
jmp或者
jn的语句,直接选中JE语句,
右键->Binary->Fill with NOPs. 试一试,OK,爆破成功。
算法部分
感觉每次最难的地方就是算法,就引用大佬的思路吧(头大)
这个程序和002基本一样的,在跳转附近无任何和Name/Serial相关的内容,所以,向上找到这段代码的开头,下断,一路F8记录重要信息。
PS:由于这个代码太长,只将重要片段拿出来。查找开头时不要急,代码真的很长。需要特别注意和Name/Serial相关的部分。
出现Serial
004085C8 . FF15 18B14000 call dword ptr ds:[<&MSVBVM50.__vbaHresu>; msvbvm50.__vbaHresultCheckObj 004085CE > 8B45 E8 mov eax,dword ptr ss:[ebp-0x18] 004085D1 . 50 push eax ; // 获取Serial 004085D2 . FF15 74B14000 call dword ptr ds:[<&MSVBVM50.__vbaR8Str>; msvbvm50.__vbaR8Str 004085D8 . 8B4D E4 mov ecx,dword ptr ss:[ebp-0x1C] ; // 1066828 004085DB . DD9D 1CFFFFFF fstp qword ptr ss:[ebp-0xE4] 004085E1 . 51 push ecx 004085E2 . FF15 74B14000 call dword ptr ds:[<&MSVBVM50.__vbaR8Str>; msvbvm50.__vbaR8Str 004085E8 . 833D 00904000>cmp dword ptr ds:[0x409000],0x0 004085EF . 75 08 jnz short 004085F9 004085F1 . DCBD 1CFFFFFF fdivr qword ptr ss:[ebp-0xE4] ; // 做除法 004085F7 . EB 11 jmp short 0040860A 004085F9 > \FFB5 20FFFFFF push dword ptr ss:[ebp-0xE0] 004085FF . FFB5 1CFFFFFF push dword ptr ss:[ebp-0xE4] 00408605 . E8 888AFFFF call <jmp.&MSVBVM50._adj_fdivr_m64> 0040860A > DFE0 fstsw ax ; // 把结果送入ax 0040860C . A8 0D test al,0xD 0040860E . 0F85 AB010000 jnz 004087BF 00408614 . FF15 34B14000 call dword ptr ds:[<&MSVBVM50.__vbaFpR8>>; msvbvm50.__vbaFpR8 0040861A . DC1D 28104000 fcomp qword ptr ds:[0x401028] 00408620 . DFE0 fstsw ax ; //ax=20 00408622 . F6C4 40 test ah,0x40 ; // ah=40 00408625 . 74 07 je short 0040862E
后面做的除法运算和取反,为了处理esi的值,然后做为JE的条件。我们到这里其实就可以试试算出来的字符串“1066828”是否是正确的?哈哈,他肯定是的啦!
至此,序列号的生成过程已经分析完毕。过程中设计到的常量都是使用[0040100A]等固定地址得到的固定值,不用理会,我们可以直接使用。
小结一下:先计算出Name的长度nLen,然后edi=edi*0x15B38+cName, cName是Name第一个字符的ANSI码。然后,计算浮点数10.0/5.0=2.0, edi转换为浮点数,加上2.0,然后结果再乘以3.0,然后减去2,然后再减去-15,得到的值转换为文本,即为正确的序列号。
- 点赞
- 收藏
- 分享
- 文章举报
- 160个crackme 003 AfKayAs.2
- 吾爱破解160个crackme之003
- 160个crackme之003
- 逆向破解之160个CrackMe —— 002-003
- 160个练手CrackMe-003
- [反汇编练习] 160个CrackMe之003
- [反汇编练习] 160个CrackMe之016
- [反汇编练习] 160个CrackMe之027
- [反汇编练习] 160个CrackMe之037
- 【003】Objective-C中@property()
- EF CodeFirst学习笔记003--如何创建表
- crackme.chm之Cruehead_1
- 我的Linux成长路---003 Linux发行版本
- LINUX_003:linux shell命令——特殊字符
- 【起航计划 003】2015 起航计划 Android APIDemo的魔鬼步伐 02 SimpleAdapter,ListActivity,PackageManager参考
- 003、Hot问题
- 【连载】Java学习系列(003)——程序逻辑-1(分支和循环)
- DJ's WebGL Tutorial 003--渲染一个三角形
- 003-Tuple、Array、Map与文件操作入门实战
- lucene003_lucene的索引文件格式