[反汇编练习] 160个CrackMe之018.
本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己),一步步尝试将160个CrackMe全部破解,如果可以,通过任何方式写出一个类似于注册机的东西。
其中,文章中按照如下逻辑编排(解决如下问题):
1、使用什么环境和工具
2、程序分析
3、思路分析和破解流程
4、注册机的探索
----------------------------------
提醒各位看客: 如果文章中的逻辑看不明白,那你一定是没有亲手操刀!OD中的跳转提示很强大,只要你跟踪了,不用怎么看代码就理解了!
----------------------------------
1、工具和环境:
WinXP SP3 + 52Pojie六周年纪念版OD + PEID + 汇编金手指。
160个CrackMe的打包文件。
下载地址: http://pan.baidu.com/s/1xUWOY 密码: jbnq
注:
1、Win7系统对于模块和程序开启了随机初始地址的功能,会给分析带来很大的负担,所以不建议使用Win7进行分析。
2、以上工具都是在52PoJie论坛下的原版程序,NOD32不报毒,个人承诺绝对不会进行任何和木马病毒相关内容。
2、程序分析:
想要破解一个程序,必须先了解这个程序。所以,在破解过程中,对最初程序的分析很重要,他可以帮助我们理解作者的目的和意图,特别是对于注册码的处理细节,从而方便我们反向跟踪和推导。
和上一节一样,打开CHM,选择第18个Brad Soblesky.1.exe,保存下来。运行程序,程序界面如下:
3、思路分析和破解流程
又见信息框,哈哈哈!
PEID查看: Microsoft Visual C++ 6.0
和以前的一样,直接上步骤:
1、打开OD,将exe拖到OD窗口中,等程序暂停后,直接点击运行按钮(F9),不用理会。
2、在exe中输入伪码:123123。点击OK按钮,弹出错误信息框,不要关闭。
3、在OD中点击暂停按钮(Ctrl+F12),再点击堆栈K按钮(Ctrl+K),可以看到当前堆栈情况。堆栈区很长,我们从底部开始看:
由于大量地使用了mfc42模块,基本100%可断定使用的是C++的MFC框架写的。下面的那部分属于消息派遣,在最后的一个调用的地方,我们右键跟进去看看:
00401C73 |. 50 push eax ; /pStartupinfo 00401C74 |. FF15 0C204000 call dword ptr ds:[<&KERNEL32.GetStartup>; GetStartupInfoA 00401C7A |. F645 D0 01 test byte ptr ss:[ebp-0x30],0x1 00401C7E |. 74 11 je short 00401C91 00401C80 |. 0FB745 D4 movzx eax,word ptr ss:[ebp-0x2C] 00401C84 |. EB 0E jmp short 00401C94 00401C86 |> 803E 20 /cmp byte ptr ds:[esi],0x20 00401C89 |.^ 76 D8 |jbe short 00401C63 00401C8B |. 46 |inc esi 00401C8C |. 8975 8C |mov [local.29],esi 00401C8F |.^ EB F5 jmp short 00401C86 00401C91 |> 6A 0A push 0xA 00401C93 |. 58 pop eax 00401C94 |> 50 push eax 00401C95 |. 56 push esi 00401C96 |. 53 push ebx 00401C97 |. 53 push ebx ; /pModule 00401C98 |. FF15 08204000 call dword ptr ds:[<&KERNEL32.GetModuleH>; GetModuleHandleA 00401C9E |. 50 push eax 00401C9F |. E8 5E000000 call 00401D02 00401CA4 |. 8945 98 mov [local.26],eax 00401CA7 |. 50 push eax ; /status 00401CA8 |. FF15 AC214000 call dword ptr ds:[<&MSVCRT.exit>] ; exit 00401CAE |. 8B45 EC mov eax,[local.5] 00401CB1 |. 8B08 mov ecx,dword ptr ds:[eax] 00401CB3 |. 8B09 mov ecx,dword ptr ds:[ecx] 00401CB5 |. 894D 88 mov [local.30],ecx 00401CB8 |. 50 push eax 00401CB9 |. 51 push ecx 00401CBA |. E8 15000000 call <jmp.&MSVCRT._XcptFilter> 00401CBF |. 59 pop ecx 00401CC0 |. 59 pop ecx 00401CC1 . C3 retn
根据GetStartUp,GetModuleHandleA很容易判断出不是进行注册码处理的,所以,我们还要继续向上看信息框部分:
这里就很容易地发现了信息框部分!并且注意到在信息框被调用之前有一个exe模块调用的函数,<jmp.&MFC42.#4224>被调用的函数为Brad_sob.004015BC,我们选中这一句,右键->Show call。
4、在反汇编窗口向上浏览相关代码,发现两处很明显的提示内容:
0040155F |. 50 push eax ; /String 00401560 |. FF15 04204000 call dword ptr ds:[<&KERNEL32.lstrlenA>] ; lstrlenA 00401566 |. 8945 F0 mov [local.4],eax 00401569 |. 837D F0 01 cmp [local.4],0x1 0040156D |. 73 16 jnb short 00401585 0040156F |. 6A 40 push 0x40 00401571 |. 68 2C304000 push 0040302C ; ASCII "CrackMe" 00401576 |. 68 34304000 push 00403034 ; ASCII "Enter Registration Number" 0040157B |. 8B4D E0 mov ecx,[local.8] 0040157E |. E8 7B050000 call <jmp.&MFC42.#4224> 00401583 |. EB 3C jmp short 004015C1 00401585 |> 8D4D E4 lea ecx,[local.7] 00401588 |. 51 push ecx ; /String2 = "<BrD-SoB>" 00401589 |. 8D55 F4 lea edx,[local.3] ; | 0040158C |. 52 push edx ; |String1 = "123123" 0040158D |. FF15 00204000 call dword ptr ds:[<&KERNEL32.lstrcmpA>] ; lstrcmpA 00401593 |. 85C0 test eax,eax 00401595 |. 75 16 jnz short 004015AD 00401597 |. 6A 40 push 0x40 00401599 |. 68 50304000 push 00403050 ; ASCII "CrackMe" 0040159E |. 68 58304000 push 00403058 ; ASCII "Correct way to go!!" 004015A3 |. 8B4D E0 mov ecx,[local.8] 004015A6 |. E8 53050000 call <jmp.&MFC42.#4224> 004015AB |. EB 14 jmp short 004015C1 004015AD |> 6A 40 push 0x40 004015AF |. 68 6C304000 push 0040306C ; ASCII "CrackMe" 004015B4 |. 68 74304000 push 00403074 ; ASCII "Incorrect try again!!" 004015B9 |. 8B4D E0 mov ecx,[local.8] 004015BC |. E8 3D050000 call <jmp.&MFC42.#4224>
C++代码就是好啊,汇编代码及其干净!lstrcmp这个函数进行了文本比较,然后就根据比较结果判断成功还是失败!jnz 004015AD就是关键跳转啦!我们选中这一行,右键->Binary->Fill with NOPs。试试看,哈哈,是不是成功啦!
4、注册机的探索
我们已经知道了注册码比较的位置,先直接看看注册码是什么样的?在 lstrcmp 这个函数上下断F2,然后就如同上面那个汇编注释的内容一样,他竟然是固定的!!
<BrD-SoB>
或许我们猜错了,试一试,OK!确实是固定的!
BY 笨笨D幸福