首页 > 代码库 > [反汇编练习] 160个CrackMe之018

[反汇编练习] 160个CrackMe之018

[反汇编练习] 160个CrackMe之018.

本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160个CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。

其中,文章中按照如下逻辑编排(解决如下问题):

1、使用什么环境和工具

2、程序分析

3、思路分析和破解流程

4、注册机的探索

----------------------------------

提醒各位看客: 如果文章中的逻辑看不明白,那你一定是没有亲手操刀!OD中的跳转提示很强大,只要你跟踪了,不用怎么看代码就理解了!

----------------------------------

1、工具和环境:

WinXP SP3 + 52Pojie六周年纪念版OD + PEID + 汇编金手指。

160个CrackMe的打包文件。

下载地址: http://pan.baidu.com/s/1xUWOY  密码: jbnq

注:

1、Win7系统对于模块和程序开启了随机初始地址的功能,会给分析带来很大的负担,所以不建议使用Win7进行分析。

2、以上工具都是在52PoJie论坛下的原版程序,NOD32不报毒,个人承诺绝对不会进行任何和木马病毒相关内容。

wps_clip_image-142827

 

2、程序分析:

想要破解一个程序,必须先了解这个程序。所以,在破解过程中,对最初程序的分析很重要,他可以帮助我们理解作者的目的和意图,特别是对于注册码的处理细节,从而方便我们反向跟踪和推导。

和上一节一样,打开CHM,选择第18个Brad Soblesky.1.exe,保存下来。运行程序,程序界面如下:

4

3、思路分析和破解流程

又见信息框,哈哈哈!

PEID查看: Microsoft Visual C++ 6.0

和以前的一样,直接上步骤:

1、打开OD,将exe拖到OD窗口中,等程序暂停后,直接点击运行按钮(F9),不用理会。

2、在exe中输入伪码:123123。点击OK按钮,弹出错误信息框,不要关闭。

3、在OD中点击暂停按钮(Ctrl+F12),再点击堆栈K按钮(Ctrl+K),可以看到当前堆栈情况。堆栈区很长,我们从底部开始看:

2

由于大量地使用了mfc42模块,基本100%可断定使用的是C++的MFC框架写的。下面的那部分属于消息派遣,在最后的一个调用的地方,我们右键跟进去看看:

00401C73  |.  50            push eax                                 ; /pStartupinfo00401C74  |.  FF15 0C204000 call dword ptr ds:[<&KERNEL32.GetStartup>; \GetStartupInfoA00401C7A  |.  F645 D0 01    test byte ptr ss:[ebp-0x30],0x100401C7E  |.  74 11         je short 00401C9100401C80  |.  0FB745 D4     movzx eax,word ptr ss:[ebp-0x2C]00401C84  |.  EB 0E         jmp short 00401C9400401C86  |>  803E 20       /cmp byte ptr ds:[esi],0x2000401C89  |.^ 76 D8         |jbe short 00401C6300401C8B  |.  46            |inc esi00401C8C  |.  8975 8C       |mov [local.29],esi00401C8F  |.^ EB F5         \jmp short 00401C8600401C91  |>  6A 0A         push 0xA00401C93  |.  58            pop eax00401C94  |>  50            push eax00401C95  |.  56            push esi00401C96  |.  53            push ebx00401C97  |.  53            push ebx                                 ; /pModule00401C98  |.  FF15 08204000 call dword ptr ds:[<&KERNEL32.GetModuleH>; \GetModuleHandleA00401C9E  |.  50            push eax00401C9F  |.  E8 5E000000   call 00401D0200401CA4  |.  8945 98       mov [local.26],eax00401CA7  |.  50            push eax                                 ; /status00401CA8  |.  FF15 AC214000 call dword ptr ds:[<&MSVCRT.exit>]       ; \exit00401CAE  |.  8B45 EC       mov eax,[local.5]00401CB1  |.  8B08          mov ecx,dword ptr ds:[eax]00401CB3  |.  8B09          mov ecx,dword ptr ds:[ecx]00401CB5  |.  894D 88       mov [local.30],ecx00401CB8  |.  50            push eax00401CB9  |.  51            push ecx00401CBA  |.  E8 15000000   call <jmp.&MSVCRT._XcptFilter>00401CBF  |.  59            pop ecx00401CC0  |.  59            pop ecx00401CC1  \.  C3            retn

根据GetStartUp,GetModuleHandleA很容易判断出不是进行注册码处理的,所以,我们还要继续向上看信息框部分:

1

这里就很容易地发现了信息框部分!并且注意到在信息框被调用之前有一个exe模块调用的函数,<jmp.&MFC42.#4224>被调用的函数为Brad_sob.004015BC,我们选中这一句,右键->Show call。

4、在反汇编窗口向上浏览相关代码,发现两处很明显的提示内容:

0040155F  |.  50            push eax                                 ; /String00401560  |.  FF15 04204000 call dword ptr ds:[<&KERNEL32.lstrlenA>] ; \lstrlenA00401566  |.  8945 F0       mov [local.4],eax00401569  |.  837D F0 01    cmp [local.4],0x10040156D  |.  73 16         jnb short 004015850040156F  |.  6A 40         push 0x4000401571  |.  68 2C304000   push 0040302C                            ;  ASCII "CrackMe"00401576  |.  68 34304000   push 00403034                            ;  ASCII "Enter Registration Number"0040157B  |.  8B4D E0       mov ecx,[local.8]0040157E  |.  E8 7B050000   call <jmp.&MFC42.#4224>00401583  |.  EB 3C         jmp short 004015C100401585  |>  8D4D E4       lea ecx,[local.7]00401588  |.  51            push ecx                                 ; /String2 = "<BrD-SoB>"00401589  |.  8D55 F4       lea edx,[local.3]                        ; |0040158C  |.  52            push edx                                 ; |String1 = "123123"0040158D  |.  FF15 00204000 call dword ptr ds:[<&KERNEL32.lstrcmpA>] ; \lstrcmpA00401593  |.  85C0          test eax,eax00401595  |.  75 16         jnz short 004015AD00401597  |.  6A 40         push 0x4000401599  |.  68 50304000   push 00403050                            ;  ASCII "CrackMe"0040159E  |.  68 58304000   push 00403058                            ;  ASCII "Correct way to go!!"004015A3  |.  8B4D E0       mov ecx,[local.8]004015A6  |.  E8 53050000   call <jmp.&MFC42.#4224>004015AB  |.  EB 14         jmp short 004015C1004015AD  |>  6A 40         push 0x40004015AF  |.  68 6C304000   push 0040306C                            ;  ASCII "CrackMe"004015B4  |.  68 74304000   push 00403074                            ;  ASCII "Incorrect try again!!"004015B9  |.  8B4D E0       mov ecx,[local.8]004015BC  |.  E8 3D050000   call <jmp.&MFC42.#4224>

C++代码就是好啊,汇编代码及其干净!lstrcmp这个函数进行了文本比较,然后就根据比较结果判断成功还是失败!jnz 004015AD就是关键跳转啦!我们选中这一行,右键->Binary->Fill with NOPs。试试看,哈哈,是不是成功啦!

 

4、注册机的探索

我们已经知道了注册码比较的位置,先直接看看注册码是什么样的?在 lstrcmp 这个函数上下断F2,然后就如同上面那个汇编注释的内容一样,他竟然是固定的!!

<BrD-SoB>

或许我们猜错了,试一试,OK!确实是固定的!

image

 

BY  笨笨D幸福