首页 > 代码库 > [反汇编练习] 160个CrackMe之018
[反汇编练习] 160个CrackMe之018
[反汇编练习] 160个CrackMe之018.
本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160个CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。
其中,文章中按照如下逻辑编排(解决如下问题):
1、使用什么环境和工具
2、程序分析
3、思路分析和破解流程
4、注册机的探索
----------------------------------
提醒各位看客: 如果文章中的逻辑看不明白,那你一定是没有亲手操刀!OD中的跳转提示很强大,只要你跟踪了,不用怎么看代码就理解了!
----------------------------------
1、工具和环境:
WinXP SP3 + 52Pojie六周年纪念版OD + PEID + 汇编金手指。
160个CrackMe的打包文件。
下载地址: http://pan.baidu.com/s/1xUWOY 密码: jbnq
注:
1、Win7系统对于模块和程序开启了随机初始地址的功能,会给分析带来很大的负担,所以不建议使用Win7进行分析。
2、以上工具都是在52PoJie论坛下的原版程序,NOD32不报毒,个人承诺绝对不会进行任何和木马病毒相关内容。
2、程序分析:
想要破解一个程序,必须先了解这个程序。所以,在破解过程中,对最初程序的分析很重要,他可以帮助我们理解作者的目的和意图,特别是对于注册码的处理细节,从而方便我们反向跟踪和推导。
和上一节一样,打开CHM,选择第18个Brad Soblesky.1.exe,保存下来。运行程序,程序界面如下:
3、思路分析和破解流程
又见信息框,哈哈哈!
PEID查看: Microsoft Visual C++ 6.0
和以前的一样,直接上步骤:
1、打开OD,将exe拖到OD窗口中,等程序暂停后,直接点击运行按钮(F9),不用理会。
2、在exe中输入伪码:123123。点击OK按钮,弹出错误信息框,不要关闭。
3、在OD中点击暂停按钮(Ctrl+F12),再点击堆栈K按钮(Ctrl+K),可以看到当前堆栈情况。堆栈区很长,我们从底部开始看:
由于大量地使用了mfc42模块,基本100%可断定使用的是C++的MFC框架写的。下面的那部分属于消息派遣,在最后的一个调用的地方,我们右键跟进去看看:
00401C73 |. 50 push eax ; /pStartupinfo00401C74 |. FF15 0C204000 call dword ptr ds:[<&KERNEL32.GetStartup>; \GetStartupInfoA00401C7A |. F645 D0 01 test byte ptr ss:[ebp-0x30],0x100401C7E |. 74 11 je short 00401C9100401C80 |. 0FB745 D4 movzx eax,word ptr ss:[ebp-0x2C]00401C84 |. EB 0E jmp short 00401C9400401C86 |> 803E 20 /cmp byte ptr ds:[esi],0x2000401C89 |.^ 76 D8 |jbe short 00401C6300401C8B |. 46 |inc esi00401C8C |. 8975 8C |mov [local.29],esi00401C8F |.^ EB F5 \jmp short 00401C8600401C91 |> 6A 0A push 0xA00401C93 |. 58 pop eax00401C94 |> 50 push eax00401C95 |. 56 push esi00401C96 |. 53 push ebx00401C97 |. 53 push ebx ; /pModule00401C98 |. FF15 08204000 call dword ptr ds:[<&KERNEL32.GetModuleH>; \GetModuleHandleA00401C9E |. 50 push eax00401C9F |. E8 5E000000 call 00401D0200401CA4 |. 8945 98 mov [local.26],eax00401CA7 |. 50 push eax ; /status00401CA8 |. FF15 AC214000 call dword ptr ds:[<&MSVCRT.exit>] ; \exit00401CAE |. 8B45 EC mov eax,[local.5]00401CB1 |. 8B08 mov ecx,dword ptr ds:[eax]00401CB3 |. 8B09 mov ecx,dword ptr ds:[ecx]00401CB5 |. 894D 88 mov [local.30],ecx00401CB8 |. 50 push eax00401CB9 |. 51 push ecx00401CBA |. E8 15000000 call <jmp.&MSVCRT._XcptFilter>00401CBF |. 59 pop ecx00401CC0 |. 59 pop ecx00401CC1 \. C3 retn
根据GetStartUp,GetModuleHandleA很容易判断出不是进行注册码处理的,所以,我们还要继续向上看信息框部分:
这里就很容易地发现了信息框部分!并且注意到在信息框被调用之前有一个exe模块调用的函数,<jmp.&MFC42.#4224>被调用的函数为Brad_sob.004015BC,我们选中这一句,右键->Show call。
4、在反汇编窗口向上浏览相关代码,发现两处很明显的提示内容:
0040155F |. 50 push eax ; /String00401560 |. FF15 04204000 call dword ptr ds:[<&KERNEL32.lstrlenA>] ; \lstrlenA00401566 |. 8945 F0 mov [local.4],eax00401569 |. 837D F0 01 cmp [local.4],0x10040156D |. 73 16 jnb short 004015850040156F |. 6A 40 push 0x4000401571 |. 68 2C304000 push 0040302C ; ASCII "CrackMe"00401576 |. 68 34304000 push 00403034 ; ASCII "Enter Registration Number"0040157B |. 8B4D E0 mov ecx,[local.8]0040157E |. E8 7B050000 call <jmp.&MFC42.#4224>00401583 |. EB 3C jmp short 004015C100401585 |> 8D4D E4 lea ecx,[local.7]00401588 |. 51 push ecx ; /String2 = "<BrD-SoB>"00401589 |. 8D55 F4 lea edx,[local.3] ; |0040158C |. 52 push edx ; |String1 = "123123"0040158D |. FF15 00204000 call dword ptr ds:[<&KERNEL32.lstrcmpA>] ; \lstrcmpA00401593 |. 85C0 test eax,eax00401595 |. 75 16 jnz short 004015AD00401597 |. 6A 40 push 0x4000401599 |. 68 50304000 push 00403050 ; ASCII "CrackMe"0040159E |. 68 58304000 push 00403058 ; ASCII "Correct way to go!!"004015A3 |. 8B4D E0 mov ecx,[local.8]004015A6 |. E8 53050000 call <jmp.&MFC42.#4224>004015AB |. EB 14 jmp short 004015C1004015AD |> 6A 40 push 0x40004015AF |. 68 6C304000 push 0040306C ; ASCII "CrackMe"004015B4 |. 68 74304000 push 00403074 ; ASCII "Incorrect try again!!"004015B9 |. 8B4D E0 mov ecx,[local.8]004015BC |. E8 3D050000 call <jmp.&MFC42.#4224>
C++代码就是好啊,汇编代码及其干净!lstrcmp这个函数进行了文本比较,然后就根据比较结果判断成功还是失败!jnz 004015AD就是关键跳转啦!我们选中这一行,右键->Binary->Fill with NOPs。试试看,哈哈,是不是成功啦!
4、注册机的探索
我们已经知道了注册码比较的位置,先直接看看注册码是什么样的?在 lstrcmp 这个函数上下断F2,然后就如同上面那个汇编注释的内容一样,他竟然是固定的!!
<BrD-SoB>
或许我们猜错了,试一试,OK!确实是固定的!
BY 笨笨D幸福