VC驿站

 找回密码
 加入驿站

QQ登录

只需一步,快速开始

搜索
查看: 4011|回复: 12

[技术文章] 【OD反汇编】【逗比向】->Crackme24 【Chafe.2】

[复制链接]
Miss丿小沫 发表于 2016-7-14 20:04:24 | 显示全部楼层 |阅读模式
本帖最后由 Miss丿小沫 于 2016-7-14 20:04 编辑

今天来讲讲OD反汇编,Crackme24 【Chafe.2】(二星★★难度)。
(如有疏漏甚至错误之处,请大神指正)
Crackme是一个系列,就是某些人专门编写的小软件提供给别人破解,有等级难度之分,有160个,
链接给下(chm里面选择下载就行)
论坛上传大小限制,百度云:
http://pan.baidu.com/s/1c2Bgy20

OK,开始攻克小B恐龙。
先来大致上看看这个Crackme,摸摸情况。

额。。。图标是个恐龙,恩。。。貌似很厉害的样子,
然后就是经典的Name/Serial模式,注册码,
最下面是个Status,应该就是提示注册成功/失败吧。还有一个ABOUT,关系不大。
没有按钮。

一般这种模式的破解,有两种结果:
①:暴力破解 就是修改代码里面的跳转语句,无论输入什么总是Success!
②:分析加密算法,自己写注册机
其实写注册机才是最有趣的,体验到了侦探的感觉!

好,开启OD调戏这个小恐龙!

代码和我上次在驿站发的文章里面的软件汇编代码一样很简洁,应该就是汇编写的吧
F9让小恐龙跑起来!
然后
Name输 FuckYOU
Serial输 23333333
(大家随意就好)

然后回到OD,老思路:搜搜字符串
代码区右键->Search for->All referenced text strings
啊哦,啥也没有!

好吧,小恐龙,接受我更强力的string搜索吧
OD自带的字符串搜索看来什么也都不到,
但有一款OD插件【中文搜索引擎】比较棒,大家百度搜索即可
好,代码区右键->中文搜索引擎->智能搜索

啊哈,小恐龙被我们看的一览无余,
找到了关键字【YES! You found your serial!!】,双击,进入!

向上滚动到401239处,开始分(tiao)析(xi)小恐龙。

第一个Call就是About按钮的了。
在40125B F2下个断,点击一下Serial编辑框,就断下了,F7单步
cmp处je判断是否是编辑框,是的话,就跳转到401269
GetDlgItemInt()和GetWindowText()就是分别获取数据了,其中有数据为空的判断,会跳转输出“Your serial is not valid”.
一直单步到4012A8处

ebx里面就是Name字串
之后是一个小循环,F7单步就可以看出
把Name字符串去掉第一位之后与0比较,
计算之后的结果存在了eax里面。
在对eax进行一系列运算,F7单步即可看到。
断点到4012E3处

ebx和一个常量AFFCCFFB比较
然后抛出错误“Your serial is not valid”
嗯哈,摸清小恐龙底细之后,就明白了
爆破关键跳转
004012E9    74 EE         je short Chafe_2.004012D9
此处 nop填充无效,因为nop后同样跳转不到401301(Success)处
修改标志位Z的话,会跳转到错误,终止进程
所以只能
jmp 401301

小恐龙就这么被拿下了!
-------------------------------------------------------------------------------
关于这个加密算法,我很纠结。
因为程序里面三次修改0x4012D9处的代码,能力有限,我搞不懂,先道声歉。
-------------------------------------------------------------------------------
最后总结一下流程:
在地址eax,[0x40300B]处存放一个初值,将它与“FUCKYOU”组成的整数相加,并且每次删除字符串第一个字符,直到ebx=0(相信大家也发现了,就算ebx里面没有字符串了他还在循环,不知道循环到了哪里)
循环结束,将结果保存到eax中,然后修改地址[0x4012D9]处的代码,最终与 常量AFFCCFFB比较得出结果。
-------------------------------------------------------------------------------
自己能力有限,我会尽自己最大的努力,翻看一下别人的资料,努力攻克这个难关!望各位看官谅解!
-------------------------------------------------------------------------------
我是【Miss丿小沫】,下次再见!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?加入驿站

x

评分

参与人数 1威望 +2 驿站币 +2 贡献 +2 热心值 +2 收起 理由
Syc + 2 + 2 + 2 + 2 很给力!

查看全部评分

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请编辑帖子并把分类改成【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【驿站币】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

jingjinghack 发表于 2016-7-14 21:15:22 | 显示全部楼层
学习了,感谢楼主分享

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请编辑帖子并把分类改成【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【驿站币】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

Syc 发表于 2016-7-15 17:52:10 | 显示全部楼层
分析的有条有理,赞!!!

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请编辑帖子并把分类改成【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【驿站币】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

 楼主| Miss丿小沫 发表于 2016-7-15 18:20:53 | 显示全部楼层
Syc 发表于 2016-7-15 17:52
分析的有条有理,赞!!!

多谢大哥,感觉自己还有不足的地方,我会继续努力的!

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请编辑帖子并把分类改成【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【驿站币】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

xunonxyz 发表于 2016-7-15 20:19:47 | 显示全部楼层
哥,链接失效了

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请编辑帖子并把分类改成【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【驿站币】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

 楼主| Miss丿小沫 发表于 2016-7-16 08:30:17 | 显示全部楼层

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请编辑帖子并把分类改成【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【驿站币】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

softcheng 发表于 2016-7-18 09:40:57 | 显示全部楼层
这是一种简单的找注册码方法,难的是逆向分析注册机的算法,很多嵌套循环,和逻辑,要反着推算,软件中能直接搜到注册码相关的,基本上没多大意义,大多数都是加密的

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请编辑帖子并把分类改成【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【驿站币】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

 楼主| Miss丿小沫 发表于 2016-7-18 11:14:57 | 显示全部楼层
softcheng 发表于 2016-7-18 09:40
这是一种简单的找注册码方法,难的是逆向分析注册机的算法,很多嵌套循环,和逻辑,要反着推算,软件中能直 ...

所以说是爆破吗

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请编辑帖子并把分类改成【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【驿站币】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

softcheng 发表于 2016-7-19 10:48:06 | 显示全部楼层
爆破也是最简单的,实际不会给你这么简单,一个跳就能过去的,基本上没多大意义,而且更多的情况是你跳了,之后还要跳,而这种跳是不对的

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请编辑帖子并把分类改成【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【驿站币】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

hackysh 发表于 2016-7-19 16:21:11 | 显示全部楼层
这只是练习,  由浅入深, 明白了道理, 慢慢深挖

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请编辑帖子并把分类改成【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【驿站币】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

2191265529 发表于 2016-8-19 21:25:06 | 显示全部楼层
哥,链接失效了,求分享下

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请编辑帖子并把分类改成【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【驿站币】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

 楼主| Miss丿小沫 发表于 2016-8-20 07:50:20 | 显示全部楼层
2191265529 发表于 2016-8-19 21:25
哥,链接失效了,求分享下

http://pan.baidu.com/s/1bo0eWGn
mp8n

不知道为啥就失效了。。。

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请编辑帖子并把分类改成【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【驿站币】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

justsoso 发表于 3 天前 | 显示全部楼层
支持支持

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请编辑帖子并把分类改成【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】【驿站币】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 加入驿站

本版积分规则

展开

QQ|小黑屋|手机版|VC驿站 ( 辽ICP备09019393号 )

返回顶部
x

VC驿站微信公众号cctry2009

GMT+8, 2017-10-18 04:45

Powered by Discuz!

© 2009-2017 cctry.com

快速回复 返回顶部 返回列表