zoukankan      html  css  js  c++  java
  • 穷举法破解 zebrone1.1

    系统 : Windows xp

    程序 : zebrone1.1

    程序下载地址 :http://pan.baidu.com/s/1boqVcU7

    要求 : 编写注册机

    使用工具 :OD

    可在看雪论坛中查找关于此程序的讨论:传送门

    用OD载入程序,查找字串发现成功提示“congratulations, you have cracked the zebra crackme ver 1.1”,双击定位该字串:

    004012AA  |> 6A 0A         push    0A                               ; /Count = A (10.); Case 1 of switch 0040128D
    004012AC  |.  8D45 EC       lea     eax, dword ptr [ebp-14]          ; |
    004012AF  |.  50            push    eax                              ; |Buffer
    004012B0  |.  6A 65         push    65                               ; |ControlID = 65 (101.)
    004012B2  |.  FF75 08       push    dword ptr [ebp+8]                ; |hWnd
    004012B5  |.  E8 F2010000   call    <jmp.&USER32.GetDlgItemTextA>    ; GetDlgItemTextA
    004012BA  |.  6A 0A         push    0A                               ; /Count = A (10.)
    004012BC  |.  8D45 F6       lea     eax, dword ptr [ebp-A]           ; |
    004012BF  |.  50            push    eax                              ; |Buffer
    004012C0  |.  6A 66         push    66                               ; |ControlID = 66 (102.)
    004012C2  |.  FF75 08       push    dword ptr [ebp+8]                ; |hWnd
    004012C5  |.  E8 E2010000   call    <jmp.&USER32.GetDlgItemTextA>    ; GetDlgItemTextA
    004012CA  |.  8D45 F6       lea     eax, dword ptr [ebp-A]           ;  取序列号
    004012CD  |.  50            push    eax                              ;  序列号入栈
    004012CE  |.  8D45 EC       lea     eax, dword ptr [ebp-14]          ;  取用户名
    004012D1  |.  50            push    eax                              ;  用户名入栈
    004012D2  |.  E8 73000000   call    0040134A
    004012D7  |.  83C4 08       add     esp, 8                           ;  平衡堆栈
    004012DA  |.  09C0          or      eax, eax                         ;  eax 为 0?
    004012DC  |.  74 16         je      short 004012F4                   ;  为0 则错误。
    004012DE  |.  6A 00         push    0                                ; /Style = MB_OK|MB_APPLMODAL
    004012E0  |.  68 26324000   push    00403226                         ; |great !!!
    004012E5  |.  68 30324000   push    00403230                         ; |congratulations, you have cracked the zebra crackme ver 1.1
    004012EA  |.  FF75 08       push    dword ptr [ebp+8]                ; |hOwner
    004012ED  |.  E8 C6010000   call    <jmp.&USER32.MessageBoxA>        ; MessageBoxA
    004012F2  |.  EB 14         jmp     short 00401308
    004012F4  |>  6A 00         push    0                                ; /Style = MB_OK|MB_APPLMODAL
    004012F6  |.  68 F8314000   push    004031F8                         ; |hmmmm :p
    004012FB  |.  68 01324000   push    00403201                         ; |Text = "Sorry... The Serial isn't correct :?
    00401300  |.  FF75 08       push    dword ptr [ebp+8]                ; |hOwner
    00401303  |.  E8 B0010000   call    <jmp.&USER32.MessageBoxA>        ; MessageBoxA

    跟入关键call:

    0040134A  /$  55            push    ebp
    0040134B  |.  89E5          mov     ebp, esp
    0040134D  |.  83EC 68       sub     esp, 68                          ;  ↓将用户名字串转化为浮点数
    00401350  |.  FF75 08       push    dword ptr [ebp+8]                ; /s
    00401353  |.  E8 78010000   call    <jmp.&CRTDLL.atof>               ; atof
    00401358  |.  DD55 E8       fst     qword ptr [ebp-18]               ;  保存转化结果
    0040135B  |.  83EC 08       sub     esp, 8                           ;  开辟内存
    0040135E  |.  DD1C24        fstp    qword ptr [esp]                  ;  保存转化结果并弹栈
    00401361  |.  E8 82010000   call    <jmp.&CRTDLL.floor>              ;  向下取整
    00401366  |.  DD5D F8       fstp    qword ptr [ebp-8]                ;  ↓将序列号转化为浮点数
    00401369  |.  FF75 0C       push    dword ptr [ebp+C]                ; /s
    0040136C  |.  E8 5F010000   call    <jmp.&CRTDLL.atof>               ; atof
    00401371  |.  DD55 D8       fst     qword ptr [ebp-28]               ;  保存转化后的序列号
    00401374  |.  83EC 08       sub     esp, 8                           ;  平衡堆栈
    00401377  |.  DD1C24        fstp    qword ptr [esp]                  ;  将结果入栈
    0040137A  |.  E8 69010000   call    <jmp.&CRTDLL.floor>              ;  向下取整
    0040137F  |.  83C4 18       add     esp, 18                          ;  平衡堆栈
    00401382  |.  DD55 F0       fst     qword ptr [ebp-10]               ;  保存取整结果
    00401385  |.  DC4D F8       fmul    qword ptr [ebp-8]                ;  乘以用户名
    00401388  |.  D9EE          fldz                                     ;  载入0
    0040138A  |.  DED9          fcompp                                   ;  比较st(0)st(1),并弹出寄存器堆栈
    0040138C  |.  DFE0          fstsw   ax                               ;  把该状态寄存器的值传送给通用寄存器AX
    0040138E  |.  9E            sahf                                     ;  标志传送指令
    0040138F  |.  75 07         jnz     short 00401398                   ;  st0和st1相等?
    00401391  |.  31C0          xor     eax, eax                         ;  清空eax
    00401393  |.  E9 96000000   jmp     0040142E                         ;  函数结束
    00401398  |>  DD45 F8       fld     qword ptr [ebp-8]                ;  用户名浮点数入栈
    0040139B  |.  DC5D F0       fcomp   qword ptr [ebp-10]               ;  与序列号浮点数比较
    0040139E  |.  DFE0          fstsw   ax
    004013A0  |.  9E            sahf
    004013A1  |.  75 07         jnz     short 004013AA                   ;  用户名浮点数与序列号浮点数相等则函数结束
    004013A3  |.  31C0          xor     eax, eax                         ;  清空eax
    004013A5  |.  E9 84000000   jmp     0040142E                         ;  函数结束
    004013AA  |>  DD45 F8       fld     qword ptr [ebp-8]                ;  用户名浮点数入栈
    004013AD  |.  DD5D C8       fstp    qword ptr [ebp-38]               ;  保存用户名浮点数
    004013B0  |.  D9E8          fld1                                     ;  1入栈
    004013B2  |.  DD55 C0       fst     qword ptr [ebp-40]               ;  保存1
    004013B5  |.  DC5D C8       fcomp   qword ptr [ebp-38]               ;  1 > 用户名浮点数?
    004013B8  |.  DFE0          fstsw   ax
    004013BA  |.  9E            sahf
    004013BB  |.  77 2D         ja      short 004013EA                   ;  是则错误
    004013BD  |.  DF2D 38304000 fild    qword ptr [403038]               ;  载入10的10次方
    004013C3  |.  DD55 B8       fst     qword ptr [ebp-48]               ;  保存
    004013C6  |.  DC5D C8       fcomp   qword ptr [ebp-38]               ;  10的10次方 < 用户名浮点数?
    004013C9  |.  DFE0          fstsw   ax
    004013CB  |.  9E            sahf
    004013CC  |.  72 1C         jb      short 004013EA                   ;  是则错误
    004013CE  |.  DD45 F0       fld     qword ptr [ebp-10]               ;  序列号浮点数入栈
    004013D1  |.  DD5D B0       fstp    qword ptr [ebp-50]               ;  保存
    004013D4  |.  DD45 C0       fld     qword ptr [ebp-40]               ;  用户名浮点数入栈
    004013D7  |.  DC5D B0       fcomp   qword ptr [ebp-50]               ;  用户名浮点数 > 序列号浮点数?
    004013DA  |.  DFE0          fstsw   ax
    004013DC  |.  9E            sahf
    004013DD  |.  77 0B         ja      short 004013EA                   ;  是则错误
    004013DF  |.  DD45 B8       fld     qword ptr [ebp-48]               ;  载入10的10次方
    004013E2  |.  DC5D B0       fcomp   qword ptr [ebp-50]               ;  10的10次方 >= 序列号浮点数?
    004013E5  |.  DFE0          fstsw   ax
    004013E7  |.  9E            sahf
    004013E8  |.  73 04         jnb     short 004013EE                   ;  是则继续流程
    004013EA  |>  31C0          xor     eax, eax                         ;  清空eax
    004013EC  |.  EB 40         jmp     short 0040142E                   ;  函数结束
    004013EE  |>  DD45 F8       fld     qword ptr [ebp-8]                ;  用户名浮点数入栈
    004013F1  |.  D9FE          fsin                                     ;  计算栈顶的正弦函数
    004013F3  |.  DD5D A8       fstp    qword ptr [ebp-58]               ;  保存结果
    004013F6  |.  DD45 F0       fld     qword ptr [ebp-10]               ;  序列号浮点数入栈
    004013F9  |.  D9FE          fsin                                     ;  计算栈顶的正弦函数
    004013FB  |.  DD5D A0       fstp    qword ptr [ebp-60]               ;  保存结果
    004013FE  |.  DD45 A8       fld     qword ptr [ebp-58]               ;  用户名正弦值入栈
    00401401  |.  DC4D A0       fmul    qword ptr [ebp-60]               ;  乘以 序列号正弦值
    00401404  |.  DF2D 30304000 fild    qword ptr [403030]               ;  10的16次方入栈
    0040140A  |.  DEC9          fmulp   st(1), st                        ;  再相乘
    0040140C  |.  83EC 08       sub     esp, 8                           ;  开辟8个字节的空间
    0040140F  |.  DD1C24        fstp    qword ptr [esp]                  ;  保存结果
    00401412  |.  E8 D1000000   call    <jmp.&CRTDLL.floor>              ;  向下取整
    00401417  |.  83C4 08       add     esp, 8
    0040141A  |.  DD5D 98       fstp    qword ptr [ebp-68]               ;  保存
    0040141D  |.  D9EE          fldz                                     ;  载入0
    0040141F  |.  DC5D 98       fcomp   qword ptr [ebp-68]               ;  结果是否为0?
    00401422  |.  DFE0          fstsw   ax
    00401424  |.  9E            sahf                                     ;  (initial cpu selection)
    00401425  |.  75 05         jnz     short 0040142C                   ;  不为0则失败
    00401427  |.  31C0          xor     eax, eax
    00401429  |.  40            inc     eax
    0040142A  |.  EB 02         jmp     short 0040142E
    0040142C  |>  31C0          xor     eax, eax
    0040142E  |>  C9            leave
    0040142F  .  C3            retn

    这里的Sin指令是按弧度制算的,所以想用180的倍数充当乘数是不行的,我们只能遍历[1,10^10],找出其中正弦值为正数且正弦值小于10^-8的实数。这样的两个实数相乘再乘以10的16次方的乘积就满足了条件。{ x | 0 < x < 1 }

    动手编写程序,验证我们的猜想:

    =========================十年后============================》

    好吧。。。肯定是哪儿出问题了,经过Debug之后源程序如下:

    #include <iostream>
    #include <math.h>
    #include <iomanip>                                                // 精度控制头文件 
    
    using namespace std;
    
    inline double Sin( double Var )                                    //内联Sin指令
    {
        __asm{
            fld Var
            fsin
            fstp Var
        }
    
        return Var;
    }
    
    int main( void )
    {
        double i,j,res;
        const double min = 1e-8;
    
        cout << "Valid number:" << endl;
    
        for ( i = 1 ; i <= 1e+10 ; i++ ){
            res = Sin( i );                                                //接受正弦值。
            
            bool Flag = false;
            __asm{
                    push eax
    
                    fld res                                                //载入正弦值
                    fldz                                                //载入0
                    fcompp                                                 //0 < 正弦值?
                    fstsw ax
                    sahf
                    jnb s                                                //不小于则跳转
                    fld res                                                //载入正弦值
                    fcomp min                                            //正弦值 < min?
                    fstsw ax
                    sahf
                    jnb s                                                //不小于则跳转
                    mov Flag,1
    
                s:    pop eax
            }
    
            if ( Flag )    
                cout << setprecision(10) << i <<endl;
        }
            
    
        cout << "Done." << endl;
    
        return 0;
    }

    运行效果:

    但经过测试发现,算出的数中 大于 10的9次方的数的Sin值与zebrone1.1的Sin值有偏差,所以有效的数值有:

    245850922
    411557987
    657408909
    823115974

    随便取出两个按照 升序填入:

    就注册成功了:

  • 相关阅读:
    【CentOS_7】使用tcpdump抓明文包
    【MySQL】MySQL-front等客户端连接MySQL_8.0等失败的解决办法
    【Python3.6】python打包成exe
    【BIGDATA】将普通文本文件导入ElasticSearch
    【python 3.6】类:访问属性及调用方法
    错误:The method replace(int, Fragment) in the type FragmentTransaction is not applicable for the arguments (int, MyFragment)
    Android Your content must have a ListView whose id attribute is 'android.R.id.list'错误的解决办法
    将文件放到Android模拟器的SD卡
    eclipse连接虚拟机
    Android 模拟器genymotion安装,eclipse 插件
  • 原文地址:https://www.cnblogs.com/ZRBYYXDM/p/5222765.html
Copyright © 2011-2022 走看看