[反彙編練習] 160個CrackMe之036.
本系列文章的目的是從一個沒有任何經驗的新手的角度(其實就是我自己),一步步嘗試將160個CrackMe全部破解,如果可以,通過任何方式寫出一個類似於註冊機的東西。
其中,文章中按照如下邏輯編排(解決如下問題):
1、使用什麼環境和工具
2、程序分析
3、思路分析和破解流程
4、註冊機的探索
----------------------------------
提醒各位看客: 如果文章中的邏輯看不明白,那你一定是沒有親手操刀!OD中的跳轉提示很強大,只要你跟蹤了,不用怎麼看代碼就理解了!
----------------------------------
1、工具和環境:
WinXP SP3 + 52Pojie六週年紀念版OD + PEID + 彙編金手指。
160個CrackMe的打包文件。
下載地址: http://pan.baidu.com/s/1xUWOY 密碼: jbnq
注:
1、Win7系統對於模塊和程序開啓了隨機初始地址的功能,會給分析帶來很大的負擔,所以不建議使用Win7進行分析。
2、以上工具都是在52PoJie論壇下的原版程序,NOD32不報毒,個人承諾絕對不會進行任何和木馬病毒相關內容。
2、程序分析:
想要破解一個程序,必須先了解這個程序。所以,在破解過程中,對最初程序的分析很重要,他可以幫助我們理解作者的目的和意圖,特別是對於註冊碼的處理細節,從而方便我們反向跟蹤和推導。
和上一節一樣,打開CHM,選擇第35個cupofcoffe.2.exe,保存下來。運行程序,程序界面如下:
PEID: Microsoft Visual Basic 5.0 / 6.0
3、思路分析和破解流程
上一個直接使用字符串查找,但是又因爲他有信息框彈出,所以暫停,Ctrl+K,查看堆棧也可以的。
具體步驟省略了!這個程序的作者....
美中不足的是不知這個程序怎麼造成的,VB反編譯工具和SmartCheck無法跟蹤,幸虧我們的OD有驅動,一般的反調試完全可以無視!哈哈哈!
(PS: pro 9.2 版本以上的都已經可以了,具體代碼附最後)
0052167E . FF15 D4405200 call dword ptr ds:[<&MSVBVM50.__vbaHresu>; msvbvm50.__vbaHresultCheckObj 00521684 > 8B4D E8 mov ecx,dword ptr ss:[ebp-0x18] 00521687 . 51 push ecx 00521688 . 68 60054500 push 00450560 ; UNICODE ".........." 0052168D . FF15 F8405200 call dword ptr ds:[<&MSVBVM50.__vbaStrCm>; msvbvm50.__vbaStrCmp 00521693 . 8BF0 mov esi,eax 00521695 . 8D4D E8 lea ecx,dword ptr ss:[ebp-0x18] 00521698 . F7DE neg esi 0052169A . 1BF6 sbb esi,esi 0052169C . F7DE neg esi 0052169E . F7DE neg esi 005216A0 . FF15 4C415200 call dword ptr ds:[<&MSVBVM50.__vbaFreeS>; msvbvm50.__vbaFreeStr 005216A6 . 8D4D E4 lea ecx,dword ptr ss:[ebp-0x1C] 005216A9 . FF15 50415200 call dword ptr ds:[<&MSVBVM50.__vbaFreeO>; msvbvm50.__vbaFreeObj 005216AF . 66:3BF7 cmp si,di 005216B2 . 74 6E je short 00521722 005216B4 . B9 04000280 mov ecx,0x80020004 005216B9 . B8 0A000000 mov eax,0xA 005216BE . 894D AC mov dword ptr ss:[ebp-0x54],ecx 005216C1 . 894D BC mov dword ptr ss:[ebp-0x44],ecx 005216C4 . 894D CC mov dword ptr ss:[ebp-0x34],ecx 005216C7 . 8D55 94 lea edx,dword ptr ss:[ebp-0x6C] 005216CA . 8D4D D4 lea ecx,dword ptr ss:[ebp-0x2C] 005216CD . 8945 A4 mov dword ptr ss:[ebp-0x5C],eax 005216D0 . 8945 B4 mov dword ptr ss:[ebp-0x4C],eax 005216D3 . 8945 C4 mov dword ptr ss:[ebp-0x3C],eax 005216D6 . C745 9C 7C054>mov dword ptr ss:[ebp-0x64],0045057C ; UNICODE "Incorrect password" 005216DD . C745 94 08000>mov dword ptr ss:[ebp-0x6C],0x8 005216E4 . FF15 38415200 call dword ptr ds:[<&MSVBVM50.__vbaVarDu>; msvbvm50.__vbaVarDup 005216EA . 8D55 A4 lea edx,dword ptr ss:[ebp-0x5C] 005216ED . 8D45 B4 lea eax,dword ptr ss:[ebp-0x4C] 005216F0 . 52 push edx 005216F1 . 8D4D C4 lea ecx,dword ptr ss:[ebp-0x3C] 005216F4 . 50 push eax 005216F5 . 51 push ecx 005216F6 . 8D55 D4 lea edx,dword ptr ss:[ebp-0x2C] 005216F9 . 6A 10 push 0x10 005216FB . 52 push edx 005216FC . FF15 E0405200 call dword ptr ds:[<&MSVBVM50.#595>] ; msvbvm50.rtcMsgBox
這個除了界面,完全和第一個沒什麼區別,爆破什麼的就算了,直接10個點結束!
4、註冊機的探索
和上一個一樣,10個點。
附 VB 反編譯代碼:
Pro 9.2版本: Private Sub cmdOK_Click() '5215F0 loc_00521622: var_8 = &H401000 loc_00521630: call Me.AddRef 'Ignore this(edi, Me, esi) loc_0052164E: call Form1.txtPassword 'Ignore this(Me) loc_005216B2: If (CheckObj(Form1.txtPassword, 4523340, 160) = "..........") = 0 Then GoTo loc_00521722 loc_005216BE: var_54 = 80020004h loc_005216C1: var_44 = 80020004h loc_005216C4: var_34 = 80020004h loc_005216CD: var_5C = 10 loc_005216D0: var_4C = 10 loc_005216D3: var_3C = 10 loc_005216D6: var_64 = "Incorrect password" loc_005216DD: var_6C = 8 loc_005216FC: MsgBox "Incorrect password", 16 loc_00521714: call undef 'Ignore this '__vbaFreeVarList(var_5C) loc_0052171D: GoTo loc_005217A9 loc_00521759: var_6C = 2 loc_00521771: var_64 = 1 loc_0052178B: Form2.Show %x1, %x2 loc_005217B1: GoTo loc_005217E1 loc_005217D7: call undef 'Ignore this '__vbaFreeVarList(var_5C) loc_005217E0: Exit Sub loc_005217E1: Exit Sub loc_005217E8: call Me.Release 'Ignore this End Sub
BY 笨笨D幸福