菜鸟逆袭 Crackme第三弹 附带注册机

最新推荐文章于 2020-08-28 11:54:34 发布
最新推荐文章于 2020-08-28 11:54:34 发布
阅读量1.9k 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/emaste_r/article/details/8478038

有个哲人说:凡人总是迷失在call的海洋中。

=============================================

用PEid查壳:Borland Delphi 6.0 - 7.0 用Delphi写的,无壳。
用w32asm 查看竟然“Could not get file handle”
看雪大神说:先用peid查查是不是有壳,如果没壳还这错误,试试其他反汇编工具,如IDA等 
不纠结了。OD架起。
Ctrl+N捉不到关键API。
用超级字符串,发现奇怪字样。
0048C718  |.  E8 D77EFAFF   CALL 壹只老虎.004345F4              ; 下断 
0048C71D  |.  8D45 F4       LEA EAX,DWORD PTR SS:[EBP-C]   
0048C720  |.  BA 80C84800   MOV EDX,壹只老虎.0048C880           ;  i am Bin Laden
0048C725  |.  E8 CA77F7FF   CALL 壹只老虎.00403EF4
0048C72A  |.  8D45 F0       LEA EAX,DWORD PTR SS:[EBP-10]
0048C72D  |.  BA 98C84800   MOV EDX,壹只老虎.0048C898           ;  i am yi zhi lao hu
0048C732  |.  E8 BD77F7FF   CALL 壹只老虎.00403EF4
0048C737  |.  8B45 FC       MOV EAX,DWORD PTR SS:[EBP-4]        ; [EBP-4]为用户名xihuan
0048C73A  |.  E8 DD79F7FF   CALL 壹只老虎.0040411C              ; 检查字符串长度为 6
0048C73F  |.  83F8 0A       CMP EAX,0A                          ; 如果长度比 0xA 小,则挂
0048C742  |.  0F8C FC000000 JL 壹只老虎.0048C844
0048C748  |.  8B45 FC       MOV EAX,DWORD PTR SS:[EBP-4]
0048C74B  |.  E8 CC79F7FF   CALL 壹只老虎.0040411C
0048C750  |.  83F8 10       CMP EAX,10                          ;这里namelen <= 0x10   
0048C753  |.  0F8F EB000000 JG 壹只老虎.0048C844
0048C759  |.  8B45 F8       MOV EAX,DWORD PTR SS:[EBP-8]
0048C75C  |.  E8 BB79F7FF   CALL 壹只老虎.0040411C              ; 返回serialLen  
0048C761  |.  83F8 11       CMP EAX,11                          ; serialLen >= 0x11
0048C764  |.  0F8C DA000000 JL 壹只老虎.0048C844
0048C76A  |.  8B45 F8       MOV EAX,DWORD PTR SS:[EBP-8]
0048C76D  |.  E8 AA79F7FF   CALL 壹只老虎.0040411C
0048C772  |.  83F8 16       CMP EAX,16                          ; serialLen <= 0x16
0048C775  |.  0F8F C9000000 JG 壹只老虎.0048C844
0048C77B  |.  8D45 FC       LEA EAX,DWORD PTR SS:[EBP-4]
0048C77E  |.  8B55 F4       MOV EDX,DWORD PTR SS:[EBP-C]        ;  壹只老虎.0048C880
0048C781  |.  E8 9E79F7FF   CALL 壹只老虎.00404124
0048C786  |.  BB 64000000   MOV EBX,64
0048C78B  |.  8D45 88       LEA EAX,DWORD PTR SS:[EBP-78]

调整namelen[0xA,0x10],serialLen[0x11,0x16],
我们重新开始后,F9,我们输入xihuanshagua (12) woaininiaiwomaoyjg(18)
发现关键代码:
0048C781   |.  E8 9E79F7FF   CALL 壹只老虎.00404124             ;  strcpt -> string1
0048C786   |.  BB 64000000   MOV EBX,64                         ;  100
0048C78B   |.  8D45 88       LEA EAX,DWORD PTR SS:[EBP-78]
0048C78E   |>  C600 2E       /MOV BYTE PTR DS:[EAX],2E          ;  初始化,100次2E
0048C791   |.  40            |INC EAX
0048C792   |.  4B            |DEC EBX
0048C793   |.^ 75 F9         \JNZ SHORT 壹只老虎.0048C78E
0048C795   |.  8B45 FC       MOV EAX,DWORD PTR SS:[EBP-4]
0048C798   |.  E8 7F79F7FF   CALL 壹只老虎.0040411C             ;  strlen
0048C79D   |.  8BF8          MOV EDI,EAX
0048C79F   |.  85FF          TEST EDI,EDI
0048C7A1   |. /7E 47         JLE SHORT 壹只老虎.0048C7EA
0048C7A3   |. |BB 01000000   MOV EBX,1                          ;  这里开始一波循环运算
0048C7A8   |> |8B45 F0       /MOV EAX,DWORD PTR SS:[EBP-10]     ;  壹只老虎.0048C898
0048C7AB   |. |E8 6C79F7FF   |CALL 壹只老虎.0040411C            ;  strlen
0048C7B0   |. |8BF0          |MOV ESI,EAX
0048C7B2   |. |85F6          |TEST ESI,ESI
0048C7B4   |. |7E 30         |JLE SHORT 壹只老虎.0048C7E6
0048C7B6   |. |B9 01000000   |MOV ECX,1                         ;  EBX = i  ECX =j
0048C7BB   |> |8B45 FC       |/MOV EAX,DWORD PTR SS:[EBP-4]     ;  string1
0048C7BE   |. |0FB64418 FF   ||MOVZX EAX,BYTE PTR DS:[EAX+EBX-1];  string1[i]
0048C7C3   |. |8B55 F8       ||MOV EDX,DWORD PTR SS:[EBP-8]     ;  SN
0048C7C6   |. |0FB6540A FF   ||MOVZX EDX,BYTE PTR DS:[EDX+ECX-1];  SN[j]
0048C7CB   |. |F7EA          ||IMUL EDX                         ;  string1[i] * SN[j]
0048C7CD   |. |51            ||PUSH ECX
0048C7CE   |. |B9 1A000000   ||MOV ECX,1A                       ;  ECX = 1A
0048C7D3   |. |33D2          ||XOR EDX,EDX
0048C7D5   |. |F7F1          ||DIV ECX                          ;  string1[i]*SN[j] / 1A
0048C7D7   |. |59            ||POP ECX                          ;  0012FDDC
0048C7D8   |. |83C2 41       ||ADD EDX,41                       ;  string1[i]*SN[j] mod 1A +41
0048C7DB   |. |8D0419        ||LEA EAX,DWORD PTR DS:[ECX+EBX]   ;  EAX = i + j
0048C7DE   |. |885405 87     ||MOV BYTE PTR SS:[EBP+EAX-79],DL  ;  结果DL存放起来
0048C7E2   |. |41            ||INC ECX
0048C7E3   |. |4E            ||DEC ESI
0048C7E4   |.^|75 D5         |\JNZ SHORT 壹只老虎.0048C7BB
0048C7E6   |> |43            |INC EBX
0048C7E7   |. |4F            |DEC EDI
0048C7E8   |.^|75 BE         \JNZ SHORT 壹只老虎.0048C7A8
0048C7EA   |> \8D45 EC       LEA EAX,DWORD PTR SS:[EBP-14]
0048C7ED   |.  E8 6A76F7FF   CALL 壹只老虎.00403E5C              ;  ?
0048C7F2   |.  8B45 F8       MOV EAX,DWORD PTR SS:[EBP-8]
0048C7F5   |.  E8 2279F7FF   CALL 壹只老虎.0040411C              ;  strlen
0048C7FA   |.  8BF8          MOV EDI,EAX
0048C7FC   |.  85FF          TEST EDI,EDI
0048C7FE   |.  7E 1F         JLE SHORT 壹只老虎.0048C81F         ;  第二波运算
0048C800   |.  8D5D 8E       LEA EBX,DWORD PTR SS:[EBP-72]       ;  string2的第六位开始算
0048C803   |>  8D45 84       /LEA EAX,DWORD PTR SS:[EBP-7C]
0048C806   |.  8A13          |MOV DL,BYTE PTR DS:[EBX]           ;  string2[i]
0048C808   |.  E8 3778F7FF   |CALL 壹只老虎.00404044
0048C80D   |.  8B55 84       |MOV EDX,DWORD PTR SS:[EBP-7C]
0048C810   |.  8D45 EC       |LEA EAX,DWORD PTR SS:[EBP-14]
0048C813   |.  8B4D EC       |MOV ECX,DWORD PTR SS:[EBP-14]
0048C816   |.  E8 4D79F7FF   |CALL 壹只老虎.00404168
0048C81B   |.  43            |INC EBX
0048C81C   |.  4F            |DEC EDI
0048C81D   |.^ 75 E4         \JNZ SHORT 壹只老虎.0048C803        ;  长度为 SNlen
0048C81F   |>  8B45 EC       MOV EAX,DWORD PTR SS:[EBP-14]       ;  以上的运算讲的是倒序存储
0048C822   |.  8B55 F8       MOV EDX,DWORD PTR SS:[EBP-8]        ;  尽量别跟进call,会晕,看结果容易些
0048C825   |.  E8 3E7AF7FF   CALL 壹只老虎.00404268              ;  strcmp
0048C82A   |.  75 18         JNZ SHORT 壹只老虎.0048C844
0048C82C   |.  6A 40         PUSH 40
0048C82E   |.  B9 ACC84800   MOV ECX,壹只老虎.0048C8AC           ;  恭喜你
0048C833   |.  BA B4C84800   MOV EDX,壹只老虎.0048C8B4           ;  注册成功!请联系我!QQ:609841314
0048C838   |.  A1 D0EB4800   MOV EAX,DWORD PTR DS:[48EBD0]
0048C83D   |.  8B00          MOV EAX,DWORD PTR DS:[EAX]
0048C83F   |.  E8 F478FCFF   CALL 壹只老虎.00454138


看到第一波运算的时候,就发现注册机不好写,因为序列号也参加运算了。
条件:SN.运算后 == SN.运算前
这个不仅仅注册机不好写,连正确的SN都不好获得。

注册机思路:

我猜到原作者的思想:
1. strcat(name,Laden);
2. 两层循环,i外j内,name[i] * SN[j] % 0x1A +0x41 的值赋值给 Result1[i+j]
3. 从Result1的第六位开始,截取len(SN)位,赋值为Result2 
4. 逆序,使Result2为真正的SN

关键在第2点上:
Result1[i+j],这将导致:
赋值顺序:i=0  0,1,2,3,4,5...
          i=1  1,2,3,4,5,6...
          i=2  2,3,4,5,6,7...
前面的除了每一轮的首位不会被覆盖掉,其它都会被覆盖掉,而每一轮的首位就是我们Result1[i]
所以:name[i]  -> Result1[i] 通过(name[i] * SN[0] % 0x1A +0x41 )
明显:我们只要先求出SN[0]即可。

Ps:在求的过程中,发现18的SN的首位得不到,转为求17位的SN,成功。

// getSerial.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include "string.h"
#include "stdlib.h"

int main(int argc, char* argv[])
{
	int i,j;
	char name[100];
	char laden[] = "i am Bin Laden";
	char *SN =(char*)malloc(sizeof(char) * 100); 

	while(true)
	{
		printf("Please enter name[10,16],finished with '#':");
		scanf("%s",name);
		if(0 == strcmp(name,"#") ) break;
		
		strcat(name,laden);
		//这里我假设SN的长度为17..注意SN不唯一
	    //实验证明,如果取18则找不到SN[0]
		int cnt = 0 ;
		int lastCharIndex = 21;
		int startCharIndex = 5;
		for(j = 'A'; j <= 'Z' ;j++)
		{
			if(j == (((name[lastCharIndex] * j) % 0x1A) + 0x41) )
			{
				SN[cnt++] = j;
			}
		}
		for(i = lastCharIndex-1; i >= startCharIndex ; i--)
		{
			SN[cnt++] = name[i] * SN[0] % 0x1A +0x41;
		}
		SN[cnt]='\0';
		printf("Serial number is %s\n",SN);

	}
	return 0;
}


ouyangbro
关注
Crackme 3
4ct10n
02-17 1607
Crackme 3
crackme,4.exe注册机
06-26
crackme注册机,可以使用od等工具经行逆向分析,适合有汇编语言基础的
crackmes.cjb.net 镜像打包中的 CFF Crackme #3
06-22
今天的目标程序是看雪兄《加密与解密》第一版附带光盘中的 crackmes.cjb.net 镜像打包中的 CFF Crackme #3,采用用户名/序列号保护方式。原版加了个 UPX 的壳。刚开始学破解先不涉及壳的问题,我们主要是熟悉用 OllyDBG 来破解的一般方法。
CrackMe-CFF Crackme #3
weixin_34337265的博客
03-06 404
转载自:OllyDbg入门教程 我们先来运行一下这个 crackme(用 PEiD 检测显示是 Delphi 编的),界面如图: 这个 crackme 已经把用户名和注册码都输好了,省得我们动手^_^。我们在那个“Register now !”按钮上点击一下,将会跳出一个对话框: 好了,今天我们就从这个错误对话框中显示的“Wrong Serial, try again!”来入手。启动...
一个有趣的crack注册机
ddzw5533的博客
03-29 1664
多个checkbox,选中一部分当作密码。直接上注册机原码然后简单说下道理。 1 // ChechkBoxReverse.cpp : Defines the entry point for the console application. 2 // 3 4 #include "stdafx.h" 5 #include "windows.h" 6 ...
逆向分析CrackMe系列——CrackMe003
草草君
08-28 973
逆向分析CrackMe系列——CrackMe004 本次进行CrackMe003的逆向分析,前面分析的crackme难度都是一颗星,这次来试试两颗星的 ( ̄▽ ̄)* (本系列的CrackMe资源均来自我爱破解网). 1.运行程序,发现先出现一个小的nag提示面,然后出主程序框: 2. 先拿PEID检查一下,用VB编写,无壳: 3. 先绕过nag窗口,第一次除nag,该过程参考大佬分析 至于为什么要除nag窗口,个人认为在用OD打开未去nag的程序时,很难找到相关的字符串或者其他的有效信息;当然也
解密Crackme0061:分析与注册机实现
"160个Crackme0061是关于软件逆向工程的挑战,主要涉及ida工具的使用、程序分析以及注册机的编写。这是一个 Delphi 编写的程序,没有加壳,可以通过IDA进行反汇编和符号分析。目标是使程序中的OK和Cancella按钮变得...
注册机crackme程序
06-26
1个注册机程序,可以使用Ollydbg等工具尝试进行逆向分析、破解,并写出注册程序。(适合学习过汇编语言的)
CrackMe注册机 入门级别
04-17
入门级别CrackMe,仅仅去除一些常用API和字符串 破文见博文http://blog.youkuaiyun.com/betabin/article/details/7470116
CrackMe注册机,简单级别
03-06
一个CrackMe及其注册机CrackMe难易程度属于简单级别。
看雪crackme3.exe例子源程序和破解后的程序带破解说明
03-07
看雪crackme3.exe例子的源程序 和 破解以后 crackme3.exe的程序,破解之前点击注册,会显示Wrong Serial,try again,破解后的程序,直接点击注册就注册成功,请用ollydbg查看exe文件,txt文档中写了破解的思路修改2处跳转je的地址位置和代码,对正在学习的新手cracker有帮助
crack.exe的注册机
12-19
课程学习中,利用crack.exe的ollydbg结果写的注册机
Starwind3.53破解版补丁
07-20
Starwind3.53破解版完美破解补丁好用
看雪论坛2004-2006年12月crackme合集
04-07
看雪论坛2004-2006年12月crackme合集,400多个破解方法介绍和crackme
2012西电攻防CrackMe3
w4y2'blog
04-26 973
2012西电攻防CrackMe3 题目要求: 按钮不能用,用eXeScope将Reg按钮的禁用属性关闭 用IDA打开找到GetWindowTextA的地址,然后在OD中设断点,随便输入123456,在断点处停下 然后经过几个跳转返回 到了对输入字符处理的关键部分,如下图   经过三次调用同一个函数,对字符进行了三次变换,观察变化过程是将三个字符变成四个字符,很可能是b
Duelist's Crackme #3
潜心学习
06-02 882
这是在《Crack2007》,分类“矩阵方式”下的一个CM,帖子地址如下 http://bbs.pediy.com/showthread.php?threadid=30368 因为一开始就想错了方向(其实也不算想错了,是往难的方法想了,竟然想到了遍历二叉树之类的方法,结果难的方法也没写得出算法来只好作罢了),已经拖了很多天了,只好在国外发CM的网站搜了搜 果然找到了solution,然后就搞明
Crackme3笔记
I have a dream
04-03 549
**链接:https://www.52pojie.cn/thread-264605-1-1.html http://www.52pojie.cn/thread-612982-1-1.html http://www.cnblogs.com/bbdxf/p/3780187.html** 1、去除neg窗口后,用堆栈平衡法,到达程序的关键跳转处,直接nop即可爆破。然后找出算法,在该段程序的开始处...
破解的一个crackme,附注册机
cau_eric的专栏
07-23 1185
CrackMe的原文: http://bbs.fishc.com/thread-31185-1-1.html 文中说很简单,但是偶却费了大工夫,到底还很菜啊 用字符串搜索 Try again 很容易找到了验证的地方 或者可以下断 GetWindowTextA 函数 0040114D   .  83F8 00             cmp     eax, 0
170526 逆向-CrackMe(3)
whklhhhh的博客
05-27 611
1625-5 王子昂 总结《2017年5月26日》 【连续第237天总结】 A. 逆向-CrackMe(3) B. 打开程序,先是一个持续7s的LOGO,作为NAG 然后是NAME/SERIAL 先处理序列号。跟昨天的2是同一个作者,直接搜索字符串或者查找msgbox的API都可以定位到判断跳转相关的位置 将跳转NOP掉即可爆破成功 与昨天相同的办法,向上一直翻到上一个retn,然
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值