crackMe的逆向分析
//源文件下载:http://pan.baidu.com/s/1geK6oQB 密码:nup1
下面是程序的DialogFunc的回调函数:
红色的为下断点的位置,为Register按钮的处理过程,调用了checkAll(我自己改的)函数来验证用户名和密码,还有那些nop指令本来是程序检查是否在GetDlgItemTextA函数下断点,下了的化就程序自己退出,我把它nop掉了
上面就是checkAll函数的代码(IDA按F5就可以得到C的伪代码;先去用户名文本框的内容保存到name(我自己改的名字)字符数组里,再取输入的密码到pwd字符数组里;
接着调用checkPwd()函数来检查pwd变量;
这一个循环检查pwd字符数组是否全部为大写字母,如果不是就把flag(我自己重命名的)变量设置为40h
接下来一个循环是把name字符数组的字符的Ascii码全部相加,保存在变量sum(我自己重命名的,ida里N为重命名标识符)里面;
然后就是 name24 = sum % 24;再检查flag变量,如果为40h,就代表不是全部的大写,程序弹出失败窗口;
调用check_0函数检查pwd变量的第二个字母是否为'E';到这里checkPwd函数就结束了;
接下来是调用crypt函数:
这个是主要的检查name和pwd;
先用strlen计算输入的pwd的长度,必须为10,不是则退出;
再用一个while循环把pwd的所有的Ascii码全部相加,保存在v2里面,再把v2/9保存在变量keyResult(我自己重命名的),pwd的最后一个字母就是keyResult的值。
key的值为:a:00403053 aZwatrqlcghpsxy db 'ZWATRQLCGHPSXYENVBJDFKMU',0在data段里面有;
name24是在上一个函数chedPwd里面引入的name24 = sum%24,sum位name的Ascii码的和;与24取模是因为key的长度为24,为了防止访问越界;
//--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
JUMPOUT(*(_BYTE *)((unsigned __int8)v4 + key), pwd, &failed);//检查 pwd的第一个字符是否与key[v4]的值相等;
因为第二位在checkPwd函数里面已经知道是'E'了;
v7 = *(&pwd + 2);
JUMPOUT(*(_BYTE *)(v5 + key), v7, &failed);//检查 pwd的第三个字符(也就是v7)是否与key[v5]相同,v5 = name24+v4;
下面是检查后面的6个字符是否满足一定的条件;
最后还剩下最后一个字符没有检查;
在最后一个show()(我自己改名的)函数里有检查;
在这里检查pwd的最后一位是否为keyResult的值,keyResult的值等于pwd的全部Ascii码的和除以9;
下面是python写的注册机:
key='ZWATRQLCGHPSXYENVBJDFKMU'
sum = 0
for i in '12345': #用户名为12345,也可以改为其他的
sum+=ord(i) #计算用户名的Ascii码之和
flag=[]
result=sum%24
t = result
print t
if result>24:
t = result-24 #防止访问越界
flag.append(key[t])#第一位
v5 = result + t
if v5>24:
v5 = v5-24
flag.append('E')#第二位
flag.append(key[v5])#第三位
v6=2
v7=flag[2]
while v6 < 8:
v6+=1
v5=ord(v7)-65+v5
if v5>24:
v5=v5-24
flag.append(key[v5])
v7=key[v5]
sum=0
for i in flag:
sum+=ord(i)
flag.append(chr(sum/9)) #求出最后一位
print ''.join(flag) #打印出密码