crackme -001

点击运行

随便进行输入：

F12暂停，按k进入堆栈

右键最后一行，显示调用。

 

我们从这里往上找，看看是如何call出来的。

可以看到这里有一个jnz判断，如果跳转，就会执行到 push 0x0，接下来会把注册失败的提示信息的ascll码写入寄存器。然后再call Acid_bur.0042A170 弹框。

而如果不跳转，就会

0042FB07  |.  B9 CCFB4200   mov ecx,Acid_bur.0042FBCC
0042FB0C  |.  BA D8FB4200   mov edx,Acid_bur.0042FBD8

将这两个地方数据写入寄存器。

然后再call Acid_bur.0042A170弹框显示注册成功。

因此，破解的方法是可以将jnz 这行nop掉。也可以修改这一行的逻辑。

在jnz上边的call处F2下断点，执行。

发现EDX中储存的是第二个输入框的内容。

进行修改尝试，成功注册。

研究验证原理：

这里有一个cmp eax，0x4，通过比较eax中的值与4的大小，如果jge（大于等于）就跳转到0042FA79，否则就call Acid_bur.0042A170 弹框报错提示serial错误。

经过0042FA87  |.  8B45 F0       mov eax,[local.4]这一步，发现将输入的3456789存入了eax。

0042FA8A  |.  0FB600        movzx eax,byte ptr ds:[eax] 将第一个字节（即“3”）保存到eax。

经过了0042FA8D  |.  F72D 50174300 imul dword ptr ds:[0x431750]以后，eax与一个数相乘，结果如下：

由此可以计算出[0x431750]中的数为0x29。

0042FA93  |.  A3 50174300   mov dword ptr ds:[0x431750],eax 将计算结果放到[0x431750]中。

0042FA98  |.  A1 50174300   mov eax,dword ptr ds:[0x431750] 再放回来？？？？

0042FA9D  |.  0105 50174300 add dword ptr ds:[0x431750],eax 相加，也就相当于乘2

0042FAA6  |.  BA ACFB4200   mov edx,Acid_bur.0042FBAC 将"CW"放进来

0042FAB3  |.  BA B8FB4200   mov edx,Acid_bur.0042FBB8 将“CRACKED”放进来

0042FAC5  |.  8D55 E8       lea edx,[local.6]结果：

执行完0042FACD  |.  E8 466CFDFF   call Acid_bur.00406718  之后,0019F680中的值发生了变化，变成了4182

至此我们看到这5个push，push进去的数据为 “CW-4182-CRACKED”

其中 0042FACD  |.  E8 466CFDFF   call Acid_bur.00406718 这条命令是将82b + 82b 即1056 转化成十进制的数字，为4182

最后得到注册码：