吾愛破解 - LCG - LSG |安卓破解|病毒分析|破解軟件|www.vuyuem.live

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 1066|回復: 2
上一主題 下一主題

[原創] 160CrackMe之002(Afkayas.1)

[復制鏈接]
跳轉到指定樓層
樓主
一米丶陽光 發表于 2019-10-22 18:08 回帖獎勵
本帖最后由 一米丶陽光 于 2019-10-23 11:28 編輯

0x1 環境與工具

0x2 查殼

  • 將PE文件拖入PEID

    0x3 定位注冊算法

  • 將PE文件拖入OD,F9運行
  • 隨意填入Name和Serial,點擊OK按鈕,不出意外肯定會彈出錯誤提示(如果彈出成功可以去買彩票了)
  • F12暫停運行,alt+F9回到用戶領空,點擊錯誤提示框的確定按鈕,OD回到用戶領空斷下
  • 從斷點處往上翻,遇到第一個jmp指令,我們看到這個jmp指令跳過了錯誤提示框的代碼,以此推斷這條jmp指令沒有執行,所以在jmp指令的下面肯定有從上面跳過來的地方,這條指令很近,緊挨著jmp指令,順藤摸瓜,找到跳過來的地址
  • 我們發現了關鍵的字符串,以此判斷,此je指令為根據輸入結果判斷打開哪個提示框
  • 從此指令上翻找到一條cmp指令,在此指令下斷
  • 重新點擊確定,斷點在cmp指令斷下,此時觀察堆棧,找到cmp的兩個參數,一個是我們輸入的serial,一個是算法生成的serial,準備定位“585308”生成的地方,有兩個思路。

    思路一

  • 來到圖中的地方,首先在位置1處找到edi的內容,然后在位置2處找到ecx的內容,我們發現ecx中存儲的即為“585308”,ecx又來源于位置2
  • 在[ebp-0x1C]下硬件寫入斷點,點擊ok按鈕來到下圖位置
  • [esp+0x4]存的內容為0x0091BE40,在0x0091BE40下硬件寫入斷點,來到下圖位置
  • 因為算法不可能在vb虛擬機的dll中,也不可能在系統的dll中,所以一路alt+F9回到用戶領空,來到0x402458位置,下斷點,重新點擊ok按鈕,斷點在0x402458位置斷下,我們看到eax存儲的為“585308”,再往上翻就是算法代碼
  • 這種思路有可能不能一次就接近算法位置,重復這個過程,最終會進入算法領空

    思路二

  • 來到這個函數的頭部下斷點,點擊ok按鈕,然后F8單步執行,觀察棧幀和寄存器,直到看到關鍵數據,如果關鍵數據來源于子函數,下斷點進入
  • 重復這個過程,直到定位到算法位置

0x4 算法解析

  • 本例的算法較簡單,來到地址0x402412地址處下斷,單步分析
  • 最終得出算法 result = len(Name) * 0x17CFB + ASCII(Name首字符)

免費評分

參與人數 3威望 +1 吾愛幣 +9 熱心值 +3 收起 理由
Hmily + 1 + 7 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
201 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
陳世界 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!

查看全部評分

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

沙發
liphily 發表于 2019-10-23 07:15

像這種右邊注釋的說明,怎么在左邊的代碼中看出來
我只會簡單的je,jmp,mov,add,inc等基本運算。
如何看這種函數或者算法類的,主要是左邊代碼沒有明確函數名提示的功能。。。。
比如你說的取首位的ascii——
取首位略微明白,mov ecx dword pre——取一個字節
3#
 樓主| 一米丶陽光 發表于 2019-10-23 09:23 <
liphily 發表于 2019-10-23 07:15
像這種右邊注釋的說明,怎么在左邊的代碼中看出來
我只會簡單的je,jmp,mov,add,inc等基本 ...

判斷匯編的意思一般通過兩種手段:
1.匯編代碼中或者右邊的注釋區域一般會自帶一些od分析出來的字符串和導入函數
2.根據調試器執行后,通過觀察寄存器區域和堆棧區域進行判斷
舉例:
1.call dword ptr ds:[<MSVBWM50.#rtcAnsiValueBstr_516>]像這樣的指令,我一般會用兩種方法分析,第一,去查閱VB的API手冊,去判斷這個函數的功能,第二,根據這個函數執行后EAX的返回值判斷
2.對于普通的je,jmp,mov,add,inc指令對應的匯編,意思都是很直觀的,你需要關注的是你想要的數據所在的寄存器或者內存中發生了什么事情

其次就無其他捷徑,多加練習,看得多了就熟練了
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:禁止回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

GMT+8, 2019-12-9 11:08

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
新快赢481走势图200