還是下定決心好好做一波crackme
逆向的新手,寫個博客記錄一下自己的學習經歷和crack思路
---------------------------------------------------華麗麗的分割線-------------------------------------------------
0X00 首先查殼,觀察到沒有殼並且是delphi語言編寫的
還是打開軟件,可是發現並沒有確認按鈕。。
鼠標移動到文本框當中發現提示:註冊成功時會在下面出現一張照片。
先簡單猜測一下程序的執行流程,既然沒有確認按鈕,那麼可能對於某一個name
當輸入serial的時候會進行判斷是否符合正確的結果,符合的話輸出照片,不符合的話進入死循環。
好的那麼接下來就要開始搞了。
0X01 接着考慮爆破程序。
第一點考慮的就是既然沒有加殼那麼很有可能能搜索到字符串,於是OD中搜索
嗯,發現了關鍵的語句,跟進以後找到了關鍵代碼。
接着下斷點,根據剛纔的猜測,輸入name後在輸入serial、點擊下面圖片時觸發了斷點
接着改變標誌位繞過判斷,最終出現了照片
這樣爆破就完成了。
0X02 那麼我們怎麼樣知道正確的serial呢?
由於對Delphi不熟悉,因此網上查了一下大佬們在逆Delphi時的各種姿勢。
發現了一個很好用的工具Dede,於是下載下來然後拖入程序進行分析。
發現過程窗口裏面有chkcode事件,這就很有可能是我們要找的計算序列號的函數了,查看RVA是00457C40
那麼在OD當中 ctrl+G 找到這個位置
嗯,看了一下邏輯沒有什麼問題
00457C40 /. 55 push ebp
00457C41 |. 8BEC mov ebp,esp
00457C43 |. 51 push ecx
00457C44 |. B9 05000000 mov ecx,0x5
00457C49 |> 6A 00 /push 0x0
00457C4B |. 6A 00 |push 0x0
00457C4D |. 49 |dec ecx
00457C4E |.^ 75 F9 \jnz short CKme.00457C49 ; 循環了5次,並沒有看出來意義是什麼。。
00457C50 |. 51 push ecx
00457C51 |. 874D FC xchg [local.1],ecx
00457C54 |. 53 push ebx
00457C55 |. 56 push esi
00457C56 |. 8BD8 mov ebx,eax
00457C58 |. 33C0 xor eax,eax
00457C5A |. 55 push ebp
00457C5B |. 68 3D7E4500 push CKme.00457E3D
00457C60 |. 64:FF30 push dword ptr fs:[eax]
00457C63 |. 64:8920 mov dword ptr fs:[eax],esp
00457C66 |. 8BB3 F8020000 mov esi,dword ptr ds:[ebx+0x2F8] ; 經過分析,esi裏存了name的長度
00457C6C |. 83C6 05 add esi,0x5 ; esi+5
00457C6F |. FFB3 10030000 push dword ptr ds:[ebx+0x310]
00457C75 |. 8D55 F8 lea edx,[local.2]
00457C78 |. 8BC6 mov eax,esi
00457C7A |. E8 85FEFAFF call CKme.00407B04
00457C7F |. FF75 F8 push [local.2]
00457C82 |. FFB3 14030000 push dword ptr ds:[ebx+0x314] ; ascii dseloffc-012-OK
00457C88 |. 8D55 F4 lea edx,[local.3]
00457C8B |. 8B83 D4020000 mov eax,dword ptr ds:[ebx+0x2D4]
00457C91 |. E8 B2B6FCFF call CKme.00423348
00457C96 |. FF75 F4 push [local.3] ; ascii 111
00457C99 |. 8D83 18030000 lea eax,dword ptr ds:[ebx+0x318]
00457C9F |. BA 04000000 mov edx,0x4
00457CA4 |. E8 93BFFAFF call CKme.00403C3C
00457CA9 |. 33D2 xor edx,edx
00457CAB |. 8B83 F4020000 mov eax,dword ptr ds:[ebx+0x2F4]
00457CB1 |. E8 AAB5FCFF call CKme.00423260
00457CB6 |. 8B93 18030000 mov edx,dword ptr ds:[ebx+0x318] ; ascii 黑頭Sun Bird8dseloffc-012-OK111
00457CBC |. 8B83 F4020000 mov eax,dword ptr ds:[ebx+0x2F4]
00457CC2 |. E8 B1B6FCFF call CKme.00423378
這裏就是分析之後的結果,先計算name的長度,然後加5,之後與指定字符串進行拼接,最後結尾接上name。
這樣keygen編寫就很簡單了
#coding:gb18030
def keygen(name):
serial=len(name)+5
serial='黑頭Sun Bird'+str(serial)+'dseloffc-012-OK'+name
print serial
name=raw_input('please input the name: ')
keygen(name)
隨便生成一個正確的name/serial組合
name:111
serial:黑頭Sun Bird8dseloffc-012-OK111
最終破解完成