zoukankan      html  css  js  c++  java
  • 逆向project实战--Afkayas.1

    0x00 序言

    去年玩了几个月的渗透測试,当初认为非常高端的样子。如今看来只是都是些小把戏,于是開始折腾逆向project。

    学习过程中參考的是《逆向project核心原理》这本书。讲的非常具体。依照上面的步骤破解了几个crackme。然后自己在网上找了一些程序来玩,第一次独立成功破解Afkayas.1,有点兴奋,于是将破解过程记录下来,算是一个开启逆向project大门的里程碑吧。

    0x01 准备

    玩逆向project须要至少一个调试工具。这里我推荐OllyDbg。还须要一些小程序,能够利用已有的 CrackMe 小程序。

    0x02 初次执行

    拿到程序后,首先执行,看看有什么特征:
    这里写图片描写叙述

    这个是典型的字符串序列破解程序,依据name的值推出serial。
    我们尝试输入:
    这里写图片描写叙述

    一个非常明显的特征就是点击 OK button后。程序会弹框,并且会显示特征字符串。

    0x03 開始调试

    我们打开 OllyDbg,载入程序后大致是这样:
    这里写图片描写叙述

    1、查询特征字符串
    依据上面的弹框能够猜測,假设serial输入正确。则会提示成功的信息;上面我们获得了失败时的字符串。按例如以下步骤在代码段中查找:

    首先右键代码区,”Search for” => “All referenced text strings”
    这里写图片描写叙述

    在新的对话框中找到失败的提示字符串:
    这里写图片描写叙述

    双击当中一个。回到代码区,能够看到凝视中出现了失败和成功时的字符串:
    这里写图片描写叙述

    2、条件推断
    我们发现成功和失败时的字符串相隔不远。能够初步断定程序会在这之前进行推断,假设输入的serial正确则成功,否则失败;接着我们向上看,发现调用字符串比較函数的入口点:
    这里写图片描写叙述

    3、參数传递
    我们知道调用一个函数时须要给它传递适当的參数。汇编调用函数之前会先把參数入栈,然后用 call 指令调用函数。我们发如今字符串比較函数之前有一句 PUSH EAX 指令,能够猜測这里的 EAX 就是字符串的首地址。

    4、找出真正的 serial
    我们在字符串比較函数这条指令前设置断点(按 F2)。然后执行(按 F9)。注意中间会弹出程序主界面,我们须要输入然后点击 OK button:
    这里写图片描写叙述

    这时程序停在了我们设置断点的地方,查看栈区(右下角)。能够发现栈顶处就是真正的 serial 的地址。凝视已经标明了 serial:
    这里写图片描写叙述

    接着我们打开原程序,输入 name 和 serial:
    这里写图片描写叙述

    发现已经成功破解。

    以下我们进一步查找真正的原因。

    0x04 破解加密方式

    以上我们已经成功破解了 serial,可是并不知道怎样从 name 得到 serial。以下我们将具体讲述。

    1、函数的起点
    每一个函数都有起始点,在 IA32 架构下,函数都有自己的栈帧,所以首先会创建自己的帧:

    PUSH EBP        ;保存调用者的帧指针
    MOV EBP, ESP    ;创建自己的帧
    SUB ESP, 0C     ;分配局部存储空间

    我们单击 OK button时会调用函数来读取 name,加密 name 得到 serial,比較 serial等操作,所以我们首先要找到该函数的起点:
    从刚才的字符串比較函数处往上找能够看到:
    这里写图片描写叙述

    2、获取 name
    我们应该明确的一点是。单击button后。程序首先会获得 name 字符串,从而生成 serial,所以我们以下须要找到 name 字符串的位置:
    单步执行(按 F8),到程序调用 strlen 之前。我们在栈顶发现了输入的 name:
    这里写图片描写叙述

    3、发现可疑目标
    得到name后,紧接着就是得到 serial,往下看。我们发现了一些可疑的函数,都加上断点(按 F2):
    这里写图片描写叙述

    4、锁定目标
    我们直接执行(按 F9)。发现三个可疑函数并没有什么特别的。当执行到之前的字符串比較函数处时突然冒出正确的 serial,往上看发现了 serial 中的 “AKA-“:
    这里写图片描写叙述

    这部分就是直接拼接上去的,所以能够断定 serial 的其余部分就在那几个可疑函数产生的,于是我们继续执行。又一次输入 name。执行到最后一个可疑函数处。按 F7 进入函数:
    这里写图片描写叙述

    按 F8 单步执行指令,到以下会跳转:
    这里写图片描写叙述

    跳转之后:
    这里写图片描写叙述

    这里把跳转点加上断点。然后继续 F8 单步执行:
    执行到第二个 call 指令时寄存器中出现了 serial:
    这里写图片描写叙述

    这条指令的前一条指令是:

    LEA ECX,[EBP-1C]

    能够猜測是跳转后的第一个 call 指令调用的函数计算出的 serial,于是我们 F7 进去看看:
    重复的 F7 我们发现有一个循环:
    这里写图片描写叙述

    这段指令非常有趣,它把 ECX 中的值存入 EAX。然后不断的用 EAX 除 10(十六进制 0xA)。得到的商放在 EAX 中,余数移到 EDI 指向的内存缓冲区中;实际上就是把 ECX 转化成十进制字符串。

    我们发现 serial 来源于 ECX。记录下其值(000D6504)。我们往前找 ECX。

    5、逆向分析
    F9 执行究竟,又一次输入 name,继续执行到断点处(第三个可疑函数),发现 EDI 已经改动为 000D6504。于是我们跟踪 EDI:
    这里写图片描写叙述

    细致观察附近的指令,发现有非常多针对 EDI 的。于是我们又一次回到三个可疑函数的第一个以下開始单步执行:
    这里写图片描写叙述

    结果是非常令人兴奋的: EDI = strlen(name) * 0x17CFB;
    算出来是 000D64D3,和 000D6504 差了 0x31,继续 F8 单步:
    这里写图片描写叙述

    看见了吗。第二个可疑函数返回了 0x31。于是我们仅仅须要搞清楚这个 0x31 究竟是怎么回事即可了。继续跟踪第二个可疑函数:
    F7 进入后。F8 单步。命中目标:
    这里写图片描写叙述

    调用系统函数之后,出现了MOVZX AX,BYTE PTR [EBP-2]。此时 AX 变成 0x31,右键寄存器区查看 name 在内存中的区域:
    这里写图片描写叙述
    这里写图片描写叙述

    发现 0x31 就是 name 第一个字符 ‘1’ 的ASCII码。

    6、最后的判定
    经过以上分析,我们能够猜測出由 name 到 serial 的算法:

    serial = 'AKA-' + 逆序itoa(strlen(name) * 0x17CFB + name[0]);

    0x05 程序验证

    依据上述步骤。我们破解了其加密方式,以下我们用 C语言程序验证:

    #include <stdio.h>
    #include <string.h>
    #define BUFSIZ 1024
    
    int main()
    {
        char name[BUFSIZ];
        char serial[BUFSIZ];
        int num, i = 0;
    
        printf("Input your name: ");
        scanf("%s", name);
        printf("Serial: AKA-");
    
        num = strlen(name) * 0x17cfb + name[0];
        while (num > 0) {
            serial[i++] = num % 10 + '0';
            num /= 10;
        }
    
        while (i--)
            putchar(serial[i]);
        putchar('
    ');
    
        return 0;
    }

    程序非常easy。首先获取 name。 然后依据上面的分析得到中间数 num,接着把 num 转化成字符串,最后逆序输出该字符串。

    1、C语言程序执行结果
    这里写图片描写叙述

    2、Afkayas.1执行结果
    这里写图片描写叙述

    我们能够发现,事实上该程序的中间数仅仅与字符串的长度和第一个字符有关.

    0x06 总结

    第一次写这么长的博文,第一次做逆向分析,第一次破解一个小程序。

  • 相关阅读:
    NHibernate4使用Oracle.ManagedDataAccess.dll连接oracle及配置多个数据库连接
    Myeclipse闪退故障
    Log4j快速使用精简版
    Eclipse快捷键 10个最有用的快捷键
    Java compiler level does not match解决方法
    ArcMap常用VBA
    firefox浏览器中silverlight无法输入问题
    C#导入Excel遇到数字字母混合列数据丢失解决
    ArcMap计算PolyLine中点VBA
    Apple Watch 开发详解
  • 原文地址:https://www.cnblogs.com/wzjhoutai/p/7212131.html
Copyright © 2011-2022 走看看