[反彙編練習] 160個CrackMe之024.
本系列文章的目的是從一個沒有任何經驗的新手的角度(其實就是我自己),一步步嘗試將160個CrackMe全部破解,如果可以,通過任何方式寫出一個類似於註冊機的東西。
其中,文章中按照如下邏輯編排(解決如下問題):
1、使用什麼環境和工具
2、程序分析
3、思路分析和破解流程
4、註冊機的探索
----------------------------------
提醒各位看客: 如果文章中的邏輯看不明白,那你一定是沒有親手操刀!OD中的跳轉提示很強大,只要你跟蹤了,不用怎麼看代碼就理解了!
----------------------------------
1、工具和環境:
WinXP SP3 + 52Pojie六週年紀念版OD + PEID + 彙編金手指。
160個CrackMe的打包文件。
下載地址: http://pan.baidu.com/s/1xUWOY 密碼: jbnq
注:
1、Win7系統對於模塊和程序開啓了隨機初始地址的功能,會給分析帶來很大的負擔,所以不建議使用Win7進行分析。
2、以上工具都是在52PoJie論壇下的原版程序,NOD32不報毒,個人承諾絕對不會進行任何和木馬病毒相關內容。
2、程序分析:
想要破解一個程序,必須先了解這個程序。所以,在破解過程中,對最初程序的分析很重要,他可以幫助我們理解作者的目的和意圖,特別是對於註冊碼的處理細節,從而方便我們反向跟蹤和推導。
和上一節一樣,打開CHM,選擇第24個Chafe.2.EXE,保存下來。運行程序,程序界面如下:
注:它是沒有信息框提示錯誤的。
3、思路分析和破解流程
PEID: MASM32 / TASM32
步驟:
1、打開OD,將exe拖到OD窗口中,等程序暫停後,直接點擊運行按鈕(F9),不用理會。
2、在exe中輸入Name: bbdxf Key:123123。
3、在OD中反彙編窗口,右鍵->中文搜索引擎->智能搜索。
我們很容易發現了正確文本提示內容:YES!You found your serial!
右鍵->Follow。大概地瀏覽下代碼:
00401230 . 8B45 14 mov eax,dword ptr ss:[ebp+0x14] ; Case 111 (WM_COMMAND) of switch 004011F5
00401233 . 3B05 60314000 cmp eax,dword ptr ds:[0x403160]
00401239 . 75 1A jnz short 00401255
0040123B . 6A 00 push 0x0 ; /Style = MB_OK|MB_APPLMODAL
0040123D . 68 96304000 push 00403096 ; |About TEXme v2.0
00401242 . 68 A7304000 push 004030A7 ; |Small crack-me program written by Chafe/TEX99\n\rRULES: Find a serial that matches your name or write a keygenerator. NO PATCHES IS ALLOWED!\n\r\n\rReleased 19/7-99
00401247 . FF75 08 push dword ptr ss:[ebp+0x8] ; |hOwner
0040124A . E8 17020000 call <jmp.&USER32.MessageBoxA> ; \MessageBoxA
0040124F . 33C0 xor eax,eax
00401251 . C9 leave
00401252 . C2 1000 retn 0x10
00401255 > 3B05 58314000 cmp eax,dword ptr ds:[0x403158] ; // 判斷是否是編輯框命令
0040125B . 74 0C je short 00401269
0040125D . 3B05 54314000 cmp eax,dword ptr ds:[0x403154]
00401263 . 0F85 AE000000 jnz 00401317
00401269 > C705 D9124000>mov dword ptr ds:[0x4012D9],0x584554 ; // 如果正確
00401273 . 6A 00 push 0x0 ; /IsSigned = FALSE
00401275 . 8D45 FC lea eax,dword ptr ss:[ebp-0x4] ; |
00401278 . 50 push eax ; |pSuccess
00401279 . 6A 64 push 0x64 ; |ControlID = 64 (100.)
0040127B . FF35 50314000 push dword ptr ds:[0x403150] ; |hWnd = 000401E2 ('TEXme v2.0',class='CTEX')
00401281 . E8 BC010000 call <jmp.&USER32.GetDlgItemInt> ; \GetDlgItemInt
00401286 . 837D FC 00 cmp dword ptr ss:[ebp-0x4],0x0 ; // eax=0x1E240=123456
0040128A . 74 5F je short 004012EB
0040128C . 50 push eax
0040128D . 6A 14 push 0x14 ; /Count = 14 (20.)
0040128F . 68 6C314000 push 0040316C ; |Buffer = Chafe_2.0040316C
00401294 . FF35 54314000 push dword ptr ds:[0x403154] ; |hWnd = 000301EA (class='Edit',parent=000401E2)
0040129A . E8 AF010000 call <jmp.&USER32.GetWindowTextA> ; \GetWindowTextA
0040129F . 85C0 test eax,eax
004012A1 . 74 48 je short 004012EB
004012A3 . A1 0B304000 mov eax,dword ptr ds:[0x40300B] ; CTEX=[0040300B]=58455443
004012A8 . BB 6C314000 mov ebx,0040316C
004012AD > 0303 add eax,dword ptr ds:[ebx] ; // 前四個字符組成的整數+eax
004012AF . 43 inc ebx
004012B0 . 81FB 7C314000 cmp ebx,0040317C ; // 去掉第一個字符與0比較
004012B6 .^ 75 F5 jnz short 004012AD ; // 最後相當於把所有的字符都加了一遍,還有更多的
004012B8 . 5B pop ebx ; // ebx=123456
004012B9 . 03C3 add eax,ebx ; // eax=3788FA49
004012BB . 3105 D9124000 xor dword ptr ds:[0x4012D9],eax ; // 修改[0x4012D9]處的彙編代碼
004012C1 . C1E8 10 shr eax,0x10 ; // 右移10位
004012C4 . 66:2905 D9124>sub word ptr ds:[0x4012D9],ax ; // 修改[0x4012D9]處的彙編代碼
004012CB . BE EC114000 mov esi,004011EC
004012D0 . B9 3E000000 mov ecx,0x3E
004012D5 . 33DB xor ebx,ebx
004012D7 . EB 04 jmp short 004012DD
004012D9 54 push esp
004012DA 45 inc ebp
004012DB 58 pop eax
004012DC 00AD 33D84975 add byte ptr ss:[ebp+0x7549D833],ch
004012E2 ? FA cli
004012E3 . 81FB FBCFFCAF cmp ebx,0xAFFCCFFB ; // 與一個常量比較,最終跳到了一個錯誤
004012E9 ^ 74 EE je short 004012D9 ; // 關鍵跳轉
004012EB > 68 59304000 push 00403059 ; /Your serial is not valid.
004012F0 . FF35 5C314000 push dword ptr ds:[0x40315C] ; |hWnd = 000301E8 ('Your serial is not valid.',class='Edit',parent=000401E2)
004012F6 . E8 7D010000 call <jmp.&USER32.SetWindowTextA> ; \SetWindowTextA
004012FB . 33C0 xor eax,eax
004012FD . C9 leave
004012FE . C2 1000 retn 0x10
00401301 . 68 73 30 40 0>ascii "hs0@",0 ; YES! You found your serial!!
00401306 . FF35 5C314000 push dword ptr ds:[0x40315C] ; |hWnd = 000301E8 ('Your serial is not valid.',class='Edit',parent=000401E2)
0040130C . E8 67010000 call <jmp.&USER32.SetWindowTextA> ; \SetWindowTextA
00401311 . 33C0 xor eax,eax
00401313 . C9 leave
00401314 . C2 1000 retn 0x10
00401317 > FF75 14 push dword ptr ss:[ebp+0x14] ; /lParam; Default case of switch 004011F5
0040131A . FF75 10 push dword ptr ss:[ebp+0x10] ; |wParam
0040131D . FF75 0C push dword ptr ss:[ebp+0xC] ; |Message
00401320 . FF75 08 push dword ptr ss:[ebp+0x8] ; |hWnd
00401323 . E8 08010000 call <jmp.&USER32.DefWindowProcA> ; \DefWindowProcA
00401328 . C9 leave
00401329 . C2 1000 retn 0x10
我直接就放出分析後的代碼。和上一個一樣,代碼非常簡單,關鍵跳轉 je short 004012D9 ,爆破只需要將它改爲jmp跳轉就可以了。這裏省略。
4、註冊機的探索
注意這段代碼
004012B8 . 5B pop ebx ; // ebx=123456 004012B9 . 03C3 add eax,ebx ; // eax=3788FA49 004012BB . 3105 D9124000 xor dword ptr ds:[0x4012D9],eax ; // 修改[0x4012D9]處的彙編代碼 004012C1 . C1E8 10 shr eax,0x10 ; // 右移10位 004012C4 . 66:2905 D9124000 sub word ptr ds:[0x4012D9],ax ; // 修改[0x4012D9]處的彙編代碼 004012CB . BE EC114000 mov esi,004011EC 004012D0 . B9 3E000000 mov ecx,0x3E
程序啓動時,它未修改和第一次修改的都是這樣的:
004012D7 . /EB 04 jmp short 004012DD
004012D9 |54 push esp
004012DA |45 inc ebp
004012DB |58 pop eax
004012DC |00AD 33D84975 add byte ptr ss:[ebp+0x7549D833],ch
004012E2 ? FA cli
004012E3 . 81FB FBCFFCAF cmp ebx,0xAFFCCFFB ; // 與一個常量比較,最終跳到了一個錯誤
004012E9 ^ 74 EE je short 004012D9 ; // 關鍵跳轉
004012EB > 68 59304000 push 00403059 ; /Your serial is not valid.
004012F0 . FF35 5C314000 push dword ptr ds:[0x40315C] ; |hWnd = 001101E4 ('Your serial is not valid.',class='Edit',parent=00150228)
004012F6 . E8 7D010000 call <jmp.&USER32.SetWindowTextA> ; \SetWindowTextA
004012FB . 33C0 xor eax,eax
004012FD . C9 leave
004012FE . C2 1000 retn 0x10最後又被修改爲一個錯誤的代碼:
004012D7 . EB 04 jmp short 004012DD 004012D9 53 push ebx 004012DA 62D2 bound edx,edx ; Illegal use of register 004012DC 37 aaa 004012DD > AD lods dword ptr ds:[esi] 004012DE . 33D8 xor ebx,eax 004012E0 . 49 dec ecx 004012E1 .^ 75 FA jnz short 004012DD
這一段代碼弄得我崩潰了,相當於進行了一個Hook,但是我卻找不到hook之後誰在哪裏執行了這段代碼。悲劇啊!
在這段代碼之下,進行了整數的比較:
004012D7 . /EB 04 jmp short 004012DD
004012D9 |54 push esp
004012DA |45 inc ebp
004012DB |58 pop eax
004012DC |00AD 33D84975 add byte ptr ss:[ebp+0x7549D833],ch
004012E2 ? FA cli
004012E3 . 81FB FBCFFCAF cmp ebx,0xAFFCCFFB ; // 與一個常量比較,最終跳到了一個錯誤
004012E9 ^ 74 EE je short 004012D9 ; // 關鍵跳轉
004012EB > 68 59304000 push 00403059 ; /Your serial is not valid.
004012F0 . FF35 5C314000 push dword ptr ds:[0x40315C] ; |hWnd = 001101E4 ('Your serial is not valid.',class='Edit',parent=00150228)
004012F6 . E8 7D010000 call <jmp.&USER32.SetWindowTextA> ; \SetWindowTextA
004012FB . 33C0 xor eax,eax
004012FD . C9 leave
004012FE . C2 1000 retn 0x10整個算法流程大概是這樣的:
比如我的Name: bbdxf
在地址[0x40300B]處存放一個初始值,將它與“bbdxf”的前四個字節組成的整數進行相加,並且每次去除文本第一個字符,一直到ebx=0, 但是,但是調試跟蹤發現,它並不是進行len(bbdxf)-1次,而是循環到了不知幹什麼的地方….(這是最坑人的地方,沒辦法模擬這個加法的過程!)
這個循環結束,將結果保存到eax中,然後hook地址[0x4012D9]處的代碼,最終與 0xAFFCCFFB 進行比較得出結果。
BY 笨笨D幸福