分析trackme与reverseme

最新推荐文章于 2025-06-29 22:27:01 发布
原创 最新推荐文章于 2025-06-29 22:27:01 发布 · 876 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#逆向入门 #基础操作

本文主要进行逆向分析,先对TrackMe.exe通过设置断点、调试等操作,处理死循环,修改指令完成测试;接着分析reverseme.exe,通过修改跳转指令得到成功结果并添加补丁。最后进行算法逆向,明确密钥文件字节数和字符条件,编写Keyfile.dat完成逆向。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • 分析trackme

打开TrackMe.exe
在这里插入图片描述
先通过F8调试,设置断点再重新调试,一步步的方式进行
设置第一个断点 00401469
在这里插入图片描述
再次设置新断点 00401015并重新调试
在这里插入图片描述
在此位置右侧注释出现window api函数:DialogBoxParamA

注:按下ALT+b 键可打开全部断点设置界面
在这里插入图片描述
快捷键:空格将所选断点激活或禁止
快捷键:delete 删除所选中的断点
点击上方字母C的按钮回到主界面

继续调试
在这里插入图片描述
继续设置断点
在这里插入图片描述
进入75BDCF后
出现连续不停的死循环无法找到新的断点

在调试界面使用CTRL ¬+G 查找GetDlgItemTextA
在这里插入图片描述
设置断点然后调试,跳出了对话框然后输入字符
在这里插入图片描述
继续进行调试,出现用户名

在这里插入图片描述在这里插入图片描述
在方框内的两个地址出现用户名和序列号

在这里插入图片描述
出现test和je的连用含义为如果eax==0的话就跳转到 0040122E
(test eax,eax为如果eax都为0则令Z=1,然后je判断条件为若Z=1则跳转)
此时有两种更改方式:修改Z的值和将test和je更改为nop
之前调试使用更改Z的值
本次使用修改指令
在这里插入图片描述
保存文件进行测试
在这里插入图片描述
成功

  • 分析reverseme

打开reverseme.exe
在这里插入图片描述
点击确定,exe结束
将exe拉入od
单步调试发现jnz跳转指令,同时jnz未跳转后为结束语句
在这里插入图片描述
查看jnz跳转条件
为 ZF=0
修改Z=0让命令跳转
在这里插入图片描述
继续调试
发现下一个jnz跳转,跳转未成功将进入jmp到失败的messagebox中

在这里插入图片描述在这里插入图片描述
则修改jnz,跳转实现
在这里插入图片描述
继续发现jl跳转
在这里插入图片描述
默认jl为跳转,查表得知jl跳转的条件为:S!=O
修改使得不能跳转至结束
继续调试
在这里插入图片描述
Jl跳转至失败结束,同理修改
继续调试得到成功结果
在这里插入图片描述
在这里插入图片描述
了解大致运行规律开始添加补丁
修改第一处跳转为jmp
在这里插入图片描述
修改第二处为jmp
在这里插入图片描述
修改第三处使其不跳转
在这里插入图片描述
修改最后一处使其不跳转
在这里插入图片描述
保存修改的部分
打开修改后的文件
在这里插入图片描述
运行成功
接下来进行算法逆向
前两个进行跳转,第三个进行不跳转
找到算法
在这里插入图片描述
Cmp比较402173处的值是否等于0x10=16
查看402173
在这里插入图片描述
为第四个参数
LPDWORD lpNumberOfBytesRead,指向一个DWORD类型变量的指针,用来接收读取的字节数。如果下一个参数为NULL,那么一定要传入这个参数。
当运行在cmp时,C=S=0
在这里插入图片描述
运行在下一步jl比较时
在这里插入图片描述
即cmp 判断密匙文件中的字节数与16相减(cmp命令实质是将操作数1减操作数2,通过比较计算后的OF(溢出位),SF(最高位二进制字符,正数为0,负数为1)
可以得知若密匙文件字节数小于16时候,相减后值为负数,没有溢出故OF=0.SF=1。不让jl跳转至失败语句,则应密钥字节数大于等于16
接下来进行下一步判断,可以将其看作一个循环体。
循环体的目的是检测密钥文件的字符ACSII码序号和字符个数
在这里插入图片描述
0) EBX与ESI寄存器之前已经置0
1) 将文件字符用mov指令移动到al
2) 比较al的ACSII序号和0的,若为0则ZF=1进行je跳转至
在这里插入图片描述
3) 使用cmp指令判断文件字符是否等于0x47=‘G’(ACSII),若不于则令jnz指令不跳转
在这里插入图片描述
4) 自增ESI与EBX
5) Jmp跳转为1)
在这里插入图片描述
……
直到所有字符都被判断剩下最后一个字符‘0‘
跳转至cmp比较ESI是否大于8,也就是循环是否进行8次以上
6) 完成以上条件,ESI大于等于8,jl跳转不成立,jmp跳转至成功处
在这里插入图片描述

编写Keyfile.dat 内容为16个字符G
在这里插入图片描述
完成

简单逆向分析使用案例(2)--CrackMe_01.exe 找出密码
oBuYiSeng的博客
12-13 7585
环境: win7 旗舰版 x64 OD2.01,1.1(吾爱破解版) PEiD0.95 使用资源http://download.youkuaiyun.com/detail/obuyiseng/9351217 中的 CrackMe_01.exe 技巧:借助OD中的栈回溯,使用分析--》分析代码让数据代码还原后,供我们使用。 第一步:简单测试。 随便输入点击确
逆向分析Tut.ReverseMe1
Mi1k7ea
06-03 1890
这里调试一个https://tuts4you.com/上的crackme文件Tut.ReverseMe1.exe。运行程序查看:提示需要去除所有的Nags(唠叨)并找到正确的注册码。点击确定之后:提示使用SmartCheck进行注册。这里我们使用调试器进行调试破解。至此,明确一下目标,第一是去掉消息框,第二是查找注册码。使用Ollydbg打开该文件:开始即是VB引擎代码。直接跳过该部分,使用字符串...
OD工具使用-逆向TraceMe.exe
eli的博客
11-28 1823
阅览目录 名词注释 OD快捷键熟悉 逆向之猜 算法逆向 暴力破解 样本引用 回到顶部 名词注释 System breakpoint:系统断点,OllyDbg用CreateProcessA加载DEBUG_ONLY_THIS_PROCESS参数执行,程序运行之后会触发一个INT13,在系统空间里。 Entry point of main module:主模块的入口点,即文件的入口点。 WinMain:程序的WinMain()函数入口点 OD的设置中-选项-事件中设置 回到顶部
逆向入门(23、24)程序逆向篇-reverseMe,crc32crackme
最新发布
baynk的博客
06-29 849
这里就是跳转处,接着往上追,函数并不少,直接从函数头开始看。发现有一个判断文件是否存在的函数,这样就先创建一个名为。再次打开时,提示换了,继续搜索字符串,找到关键代码处。发现逻辑很简单,并不需要写算法,只需要满足至少有。发现有跳转,再往上追,发现还有一个读文件的函数。这里打断点看下内存数据,分析一下流程。,通过搜索字符串,找到关键代码处。通过搜索字符串,找到关键代码处。的空文件,里面随便填些内容。打开就是一个弹窗,提示要买。感觉是之前没做过的题。
逆向破解学习二之<TraceMe>
weixin_30339969的博客
10-11 184
这次在破解TraceMe的时候,我有看过别人的视频。但是我并没有按照别人思路走,而是完全安全自己的思路试了一次。结果破解成功。新手学破解,如果有不对的地方,还请指出来。 004013A0 crackmes.<ModuleEntryPoint> /$ 55 push ebp ; E...
序列号型CrackMe逆向之IDA技巧篇
11-07 3208
前面我们探讨了用OD来定位
逆向:《加密解密》TraceMe的暴力破解
无名J0kзr的博客
03-01 2318
文章目录资源参考准备工作OD打开查看导入表跟随输入返回至调用处找返回值修改返回值去掉跳转指令保存 资源 百度云 提取码: bdq1 参考 博客园 准备工作 首先先打开原版的TraceMe.exe 可以看到是一个窗口,输入一些内容,有提示序列号错误 破解要做的工作就是实现:输入满足长度要求的任意字符串,都可以成功注册 OD打开 设置首次中断点为模块入口点,用OD打开exe 查看导入表 快捷键Ctrl+N查看此exe的导入表 对Windows开发比较熟的话就可以看出来了,用的应该是GetDlgItemT
reverseMe.exe
11-20
学习OllyDbg的应该能用上,这个是很基础的软件,可以用来入门最好不过了,解压压缩包即可
小甲鱼 解密系列ReverseMe.exe
09-19
小甲鱼 解密系列教程所用工具,ReverseMe.exe,需要的朋友可以下载。
ReverseMe
08-17
首先,`ReverseMe.exe` 是我们需要逆向分析的主要目标。这可能是一个简单的可执行文件,包含了一些隐藏的功能或逻辑,需要通过逆向工具(如IDA Pro、OllyDbg、Ghidra等)来揭示其内部工作方式。逆向工程师需要查看...
ReverseMe供OD(Ollydbg)学习用-小甲鱼教程
09-11
在"ReverseMe"这个练习中,用户通常会被要求分析一个名为"ReverseMe"的可执行文件。这个文件可能是一个小程序,其目标是使用户通过逆向工程找出它的隐藏功能或者解决特定问题。这样的练习有助于提升对汇编语言的理解...
ReverseMe.exe供OD(Ollydbg)学习用(原版)
08-11
供OD(Ollydbg)学习用的ReverseMe原版exe
ReverseMe分析过程
lnn1123的专栏
09-13 1973
====================================================================                          简单ReverseMe过程====================================================================前言:首先说明的是,这个是以前的有人分析过,但是好
【攻防世界-misc】reverseMe
weixin_73625393的博客
11-28 687
反转后的图片,将值提取并上传。1.下载后,得到这样一张图片。2.利用在线翻转网站获取值,
逆向工程】reverseMe实例2
m0_46344990的博客
10-24 347
这个简单的程序主要是判断当前目录下是否有它要求的证书,还是非常简单的。上面一堆 push就是向函数传入的参数,参数是从右向左推入栈中的,看见第一个 参数是keyfile.dat。然后上面有个RreadFile函数我没框起来,意思是读取文件内容放入数据区中。在同目录下建立这个文件名为keyfile.dat的文件随便输入一些东西。通过字符串搜索,定位到它提示错误的地方。右键查找=>所有参考文本字符串=>右键查找文本。重写keyfile.dat文件,然后成功。具体流程我在右侧都加了注释,🚀。
ReverseMe进行逆向的时候一点思考问题*
qq_45992231的博客
08-18 173
首先函数调用的过程,都是先把函数要用的参数压入栈中,然后进行call操作,然后函数执行完后,刚才压入栈中的数据全部出栈,栈顶指针回到调用函数前的状态。可见API函数是根据栈中的数据进行调用的 然后是GetModuleHandle函数, 见https://blog.youkuaiyun.com/zhaodaozhang/article/details/32714969 这里的参数正好是0,返回值是00400000,存放在EAX里面, 首先返回值都存放在EAX里面这是可以理解的,但是为什么是00400000,ctrl+G跟
buuctf_RE(第三页)
2302_79135465的博客
07-13 1048
这个表达式实际上是永远为假的,它因为dword_603058这个全局变量是在bss段上的,bss段上为未初始化的全局变量,所以它就是0。而且查一下它的交叉引用表也会发现它相关的指令都是作为源操作数而非目的操作数,而且也没有取它地址做某些操作,在此基础之上我们基本可以认为它就是不变的。找到关键函数,但是很长,也只能分析出一些零碎的东西,看 wp 是通过动调来缕清程序的逻辑的。很像 flag 啊,但是提交显示错误,运行,有一会sleep感觉,但是没有回显。还有idapython提取指令的,额,算了。
BUUCTF——[SWPU2019]ReverseMe
fzucaicai的博客
05-10 509
不得不说,如果仅是靠IDA去纯肉眼看,那必然是非常消耗时间的,这个函数的作用是,将input作为参数输入,然后输出v30。参数从右到左push进去,因此v30变量的地址就是 [ebp - 0x88],于是乎我们在这个地址下硬件写入断点。然后发现断在这个地方,这是一个循环,调试后很容易发现,是将input一个固定值进行异或加密。这时候我们不一定要用IDA,可以用x32dbg下硬件写入断点帮我们看看具体是咋整的。就是让人眼乱,里面还参杂着一些函数,鬼知道会不会给你来一个对v30的值的改变。
破解自我修改代码程序的ReverseMe OD教程
4. 逆向工程中的动态分析静态分析: 在逆向工程领域,分析手段通常分为静态分析和动态分析。静态分析是指不运行程序,而直接分析代码来推断程序的行为。动态分析则是指在程序运行时观察其行为。由于本教程提到的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值