借助Process Monitor(ProcMon.exe)逆向一个CrackMe

最新推荐文章于 2025-05-14 11:54:25 发布
原创 最新推荐文章于 2025-05-14 11:54:25 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

    一位名为Arkantos的作者,在Crackmes.cf(Crackme.de的镜像站点)站点上提交了一个Crackme,难度级别为1-very_easy_for_newbies。这种入门级别的Crackme其实不足以写博客,只是它的逆向过程正好可以用Process Monitor来完成,写这篇文章就当做Process Monitor的一个实例吧。

     作者信誓旦旦的说该crackmes没有加壳,然而,拖进IDA后发现带了UPX壳,于是用DIE查壳确认一下,果然带了UPX壳!作者真是明目张胆的...我们来看下脱壳后怎么分析这个Crackme。

    把脱壳后的crackmes拖进IDA,映入眼帘的就是start函数中调用了若干文件操作的API:

这个级别的CM,遇到文件操作,很可能是在tmp目录下生成并运行bat文件,最终序列号的验证也由bat文件完成。既然这样,只要观察CM的行为,应该能获得bat文件,于是,我运行ProcMon并设置如下过滤器,然后开始监视CM的运行过程:

这个级别的CM少有网络/注册表操作所以,在ProcMon窗口中把这两个监测项反选以减少输出:

我猜测这个CM会生成bat文件,所以,在文件操作中更应该关注程序调用CreateFile的行为,因此在Operation中选中一个事件,右键,在弹出的菜单中选择保留CreateFile而过滤其他文件操作:

哼哼,输出窗口顿时清爽了很多!浏览输出,大多数是为了加载必要的系统dll做的文件打开操作,唯独有一项特别刺眼,在%TMP%目录下生成了名为b2e.exe的文件!嗯,在Path列下,选中b2e.exe事件所在行,右键菜单----"jump to"定位到b2e.exe所在的路径,准备分析该文件。

难道这个CM是通过exe来验证序列号?不过,既然我都在监测程序的行为了,那就顺带把这个新生成的程序的行为一起监测了。重新设置过滤器,然后运行b2e.exe,仍然检测程序的CreateFile行为,得到下列输出:

果然,真的在%TMP%目录下创建bat文件,再次右键菜单--"jump to",定位到该bat文件:

查看bat的内容,的确和屏幕上的输出一致

@echo off
echo off
color 4
title Crackme2.exe
cls
:Main3
set a=e@s\/
set b=h@rd
set c=57f8s+-
set d=1a2f5-+
set e=oneld-561-fc
set as=12as5789w
set ad=123fa4v5bw
set aj=51236fs4578951235
set ja=1as23fa4
set na=6n6o8t4h4i6n4g
cls
ECHO 		...............................................
ECHO 			Please enter your username
echo		    To crack This Rubbish Enter Five Serials..
ECHO			 ...............................................
ECHO.
set /p u=Type your username here: 
if u==' goto pass
goto pass
:pass:
echo.
echo.
echo.
set /p P=Type your First password here: 
if %P%==%u%%c%%a% goto second
if %p%==%u%%d%%a% goto second
goto no
:second
echo.
echo.
echo.
set /p Q=Type your Serial here: 
if %Q%==%p%%e%%b% goto last
if %Q%==%p%%as%%b% goto last
goto no2
echo.
echo.
echo.
:last
echo.
echo.
echo.
set /p R=Type your Reg Code here: 
if %R%==%u%%ad%%b% goto four
if %R%==%p%%aj% goto four
if %R%==%p%%ja%%a% goto four
goto NO3
:four
echo.
echo.
echo.
set /p F=Type Fourth Code Here:
if %F%==%b%%a%%na%%p% goto five
if %F%==%u%+-%p%-+%r% goto five
if %F%==%a%%p%%b% goto five
goto no4
:five
echo.
echo.
echo.
set /p T=Type Last password here: 
if %T%==%u%%p%%b%%q% goto yes
if %T%==%p%%F%%a%%b% goto yes
goto no4
echo.
echo.
echo.
:yes
echo Hi %u% Congratulation!!! you've beaten my Second crackme
pause
exit
echo.
echo.
echo.
:no 
echo		 No, wrong Pass Please try again later...
pause
goto main3
:no2
echo        No ,wrong Serial. Try again....
pause
goto main3
:no3
echo 		nope, wrong Reg Code. Try again Later...
pause
goto main3
:no4
echo No man!!! It's Wrong???
pause
goto main3

嗯,接下来的工作不难了,我就略过了~

 

CrackMe034:Process Monitor逆向keyfile一篇就够了
可乐松子的博客
05-30 547
文章目录1.程序基本信息2.KeyFile文件是否存在?3.算法分析4.示例验证5.注册机6.参考 1.程序基本信息 CrackMe033和CrackMe034都是《使用OllyDbg从零开始Cracking》第九章的案例 程序运行就是一个简单的界面,没有注册按钮;如果不是事先知道这个程序是需要KeyFile文件,一定会一脸懵逼 这也提醒自己,下次遇到类似的情况,一定要多一个思路,想一想程序是不是需要KeyFile文件(其实很多商用程序都需要配置文件的) 2.KeyFile文件是否存在? 首先想到用Pro
使用 ProcessMonitor 找到进程所操作的文件的路径
walterlv - 吕毅
07-27 4084
很多系统问题都是可以修的,不需要重装系统,但是最近我还是重装了。发现之前正在玩的一款游戏的存档没有了……因为我原有系统的数据并没有删除,所以我还是能找回原来的游戏存档的。但是,我怎么知道这款游戏将存档放在了那个路径下呢?搜索当然是好方法,不过我喜欢玩的游戏大多是冷门游戏,有些搜不到。于是我就用 Process Monitor 找到了存档所在,恢复了我的游戏进度。 本文介绍如何使用 ProcessM...
procmon.exe
08-28
Process Monitor 程序本体, 用于监视/管理计算机进程
Procmon.exe
07-29
Procmon.exe, 一款很好的工具。
深入探索Process Monitor系统监控工具
最新发布
weixin_42584507的博客
05-14 1885
在IT专业人员的日常工作中,对于系统性能监控和故障排查的需求始终如一。Process Monitor一个功能强大的实时监控工具,它不仅可以帮助我们了解系统底层运行情况,而且能够在问题发生时提供关键的信息。本文将详细介绍Process Monitor的各方面知识,包括它的核心功能、安装配置、过滤使用、日志记录、性能影响考量、以及在游戏性能优化和安全监控中的应用。通过掌握Process Monitor,您可以提升系统管理和问题解决的效率,成为更加出色的IT专家。让我们开始深入了解这个强大的工具吧!
windows 进程监控 Procmon.exe
weixin_34161083的博客
11-04 768
windows 进程监控 Procmon.exe window下一个程序打开太慢,可以用此程序监控。在哪一步慢了,读取文件还是注册表。 ProcessMonitor3.2   Process Monitor   官方Down https://technet.microsoft.com/en-us/sysinternals/bb896645   监视了进程,发现读取文件很慢,2分钟...
Procmon64.exe
11-05
Widows工具
Procmon.exe —— 强大的系统监视工具
热门推荐
逆枫 -- C++/Qt工程师、创业者
07-13 2万+
1,简介 Process Monitor 是一款能够实时显示文件系统、注册表与进程活动的高级工具,是微软推荐的一个系统监视工具。它整合了旧的 Sysinternals 工具,Filemon 与 Regmon,并增加了进程ID、用户、进程可靠度、等等监视项,可以记录到文件中。它的强大功能足以使 Process Monitor 成为你系统中的核心组件以及病毒探测工具。 2,使用场...
Procmon.exe伴侣
weixin_33831673的博客
12-30 212
xxcopy.exe 该程序是windows自带的xcopy.exe 和 copy.exe 的自定义版本,严格按照指定的绝对路径进行同结构复制 1.不多 copy目录时,仅创建目录。如果目标目录存在,不加以处理。不会copy目录下的文件或目录。功能来源于于“xcopy.exe /e /t /s” 2.不少 不会删除目标目录下已有的东西,可选处理模式,可以决定是否覆盖   下载:    ...
Process Monitor源代码
06-14
c++语言编译的进程监控 含有技术有 钩子技术 内核函数
Procmon.exe在cuckoo中的使用
梦想专栏
09-17 541
最近研究了下procmon.exe,该工具用途可大了,Procmon是微软出品用于监视Windows系统里程序的运行情况,监视内容包括该程序对注册表的读写、cuckoo中使用该工具在agent客户机上进行辅助监测功能,用以获取注册表、文件读写、网络连接等信息。对文件的读写、网络的连接、进程和线程的调用情况,procmon 是一款超强的系统监视软件。
ETW绕过PoC测试1--关闭你的ProcMon.exe
jentle8的博客
08-24 670
ETW 绕过系列1
[系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看
神棍之路
12-07 3648
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~前文尝试了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。本文将分享Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。基础性文章,希望对您有所帮助~作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在
轻松看懂的加解密系列(1)番外篇I:用Procmon监视一次AES加解密全过程
weixin_41077112的博客
09-10 2269
Procmon监视一次 wincrypt API AES加解密全过程
使用ProcMon及windows symbols进行文件操作类API定位
ytfrdfiw的专栏
12-24 3092
      一直想使用ProcMon进行文件操作类API跟踪,但一直未能成功,今天终于实现,现与大家分享。    我使用的是ProcMon2.8,大家到微软网站下载适合自己操作系统版本的Symbols文件。安装Symbols文件后,打开ProcMon,选择Options->Configure Symbols,弹出如下对话框   请在SymbolPat
深入探索系统进程监视工具procmon
weixin_33582089的博客
10-03 3833
本文还有配套的精品资源,点击获取 简介:ProcMon一个由Sysinternals团队开发的系统级监控工具,实时记录文件系统、注册表和网络活动,帮助管理员和开发者诊断和调试系统问题。它监视进程活动,记录进程创建与终止,父子关系,以及系统资源使用情况,优化性能。ProcMon还提供文件操作和注册表监视,过滤功能以及数据导出选项,使得分析和问题解决变得高效。常用于故障排除、...
两款监控工具Procmon,procexplorer
zhuhuibeishadiao
03-31 1938
Procmon 进程 注册表 文件 等等的操作 并能看到这个操作是否成功 有助于我们解释奇怪的想象 procexplorer 进程管理 可以看到很多的属性
深入解析Procmon.exe:系统监控的强大工具
Procmon.exe是Windows环境下一款由Sysinternals(现为微软的一部分)开发的高级监视工具。此软件的功能包括实时监视和记录系统中进程的活动情况,比如文件系统、注册表、网络和进程创建/结束等操作。这个工具是免费...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值