[CrackMe]160个CrackMe之001

吾爱破解专题汇总：【反汇编练习】160个CrackME索引目录1~160建议收藏备用

 

一、Serial/Name 之 暴力破解

1. 熟悉界面：很常规的一个界面，输入完账号密码之后会进行验证。

 

 2. ollbdg调试 - 如何下第一个断点

　　1)问题1：因为这不像编程，编程时这里会存在一个main函数入口，但这个根本没有，所以如何下第一个程序断点来分析就非常重要。

　　　　答案：利用函数调用栈来找到调用MessageBoxA的地址.这时肯定存在栈顺序，xxa->xxb->MessageBox->kernel32.dll!xx->xx，我们通过MessageBox作为一个浮标来确定好其他位置。

　　2)问题2：但这里又存在另外一个问题，我们如何确定代码执行的位置（exe)，是xxa、xxb还是xxc呢？

　　　　答案:通过模块调用查看exe的起始地址，若在xxa、xxb、xxc中存在一个与之相近的值，则说明该call就是调用的。

　　3)分析流程：

　　　　1>在显示"sorry,The serial is incorect"窗口暂停，在olldbg中点击 "K" 按钮，查看函数call的顺序。

　　　　

　　　　　　很遗憾，并没有找到我们所期待的MessagBox函数，但别灰心，我们利用栈再继续分析。

　　　　2>如图，栈拓展顺序由高向低，我们找栈内部的应该向下找。找到最下边的显示调用。

 　　　　

　　　　3>在该点处下断点，然后继续执行，再弹出一次错误提示框，再这里断下。(这里为了分析栈更省力气，当然可以直接从4>开始找)

　　　　

 　　　　4>olldbg中右下角栈，其中返回地址都以红色部分标记出来，找到与exe模块相似的地址，按回车(follow in dump)看其代码段。

　　　　

　　　　5>可以看到上面出现了我们熟悉的字符串(注意：虽然调用的还是exe函数，但是结果已经出了，所以运算绝对不可能出现在函数中！)

　　　　

　　　　至此，我们算是正确的下第一个断点了！

 

3.分析代码逻辑

　　所谓分析逻辑，其实这里判断 if else 语句，反应在汇编中就是各种jmp，我们只需要找到算法关键的jmp即可。

　　而这类关键jmp其实紧跟在结果输出语句中。

　　

　　仔细观察上述汇编结构，显然存在两点：

　　1> jmp 语句跳过判断错误的，则上面那句明显是判断正确的。

　　2> 两个都调用 bur.0042A170，这个函数明显是显示结果的。

　　因此，基于上面分析，我们可以推断出其编写的是下列代码：

　　　　if(正确)show(正确xxx);

　　　　else show(错误xxx)

 

4. 找到算法call

　　　

 　　　如上图，经过分析，我们发现其 0x42FB03c处，调用一个call之后紧接着jmp输出错误，很明显if(func()){show(错误)}，则可以是算法验证函数 Acid_bur.004039FC。

　　　 这样，我们很容易使用"爆破法"来破解这个软件了。

 

5.分析体会：

　　1）该题难度一般，主要通过栈帧来定位到用户代码。

　　2）爆破法关键是跳转，因此我们分析过程中注意各种跳转语句。

---

二、Serial/Name 之 算法分析

　　显然，单纯的找到调用，使用爆破法，有点太低级了，我们深入上次找到的这个 算法验证函数 Acid_bur.004039FC 来分析其算法，写出注册机。

 　　在分析该函数之前，我们应该明确，该函数到底是 结果验证函数 还是 算法生成函数。因为这个函数可能只是验证结果是否正确，因此我们需要预先验证。

1.检验 Acid_bur.004039FC 函数作用：

　　　

　　1> 分析函数首先需要明确其传入参数，寄存器传入与栈传入都应该注意到。

　　　　栈传参：明显是一些异常处理程序，这里可以说没什么用

　　　　　

　　　　寄存器传参：函数调用前使用过eax与edx寄存器，可以看到明显有有用信息。　　　

　　　　　　

　　2> 验证EAX的是否是密码：很明显，该函数就是验证函数，EAX存放值。

　　　　

2.密码生成的推测：CW-4018-CRACKED，可以看到由三个部分组成 CW、4018、CRACKED，

　　1>我们之后再需要分析，其哪个是变量，哪个是常量，再构造一组用户输入。

　　　　构造密码原则：与前面密码完全不重复(因为有可能仅用到几个数)

　　　　

 　　　　可以看到其中间四个数改变了，所以这个才是关键。

　　2>"数字-字符串"转换过程分析：这里的密码验证的是4018这个字符串，但密码在生成过程中需要的是4018这个数字。

　　　　这就意味着：中间很可能存在一步，将字符串转换为数字。

　　　　又因为在计算机中是十六进制存储，若4018为十进制结果，我们很可能在内存中看到的数字为其十六进制：FB2；若为十六进制，则看到4018.

 　　　　

3.寻找serial生成函数

　　1>先扫描一遍上面区域(眼光放长远一点，不要紧盯着上边函数看，因为生成的是字符串，肯定还存在字符串拼接函数)

 　　　　

　　　　看到有两个 "-" ，则可以判断中间那个肯定是 密码的字符串形式 (注意：不是数字形式，可能该函数将数字生成一个字符串)

　　2> 验证 00406718 函数

　　　　该函数特征：其传入一个local.6指针且没用到返回值eax,则该变量很可能储存再local.6内存中，我们在内存窗口关注该地址

 　　　　

　　　　很明显符合我们的假设。local.6存储生成结果

　　3> 查看数字是如何生成的：

　　　　函数调用另外一个是使用eax寄存器，传入一个数。

　　　　　　0042FAC8  |.  A1 50174300   mov eax,dword ptr ds:[0x431750]
　　　　经过寄存器查看为 1056

　　　　其正好是 4182d的十六进制形式(0x1056)

　　　　

 　　4>继续寻找 serial生成算法

　　　　我们现在已经确定其存储在 0x431750 内存中，我们只需要查看是谁调用这个内存，往上看，就很容易找到该地点了。

 　　　　

 

4. serial生成算法分析：

　　1> local.4 是用户名，因此 movzx eaax,byte ptr ds:[eax] 是将用户输入的第一个字符(ASCII)放入到eax中。(注意其是ASCII码，并不是数字)

　　2> [0x431750] 原来存放的是十六进制0x29，所以该 ASCII * 0x29

　　3> add 将结果乘以两倍, 故最终算法是 0xResult = INPUT[0]*0x29*2

　　4> 将0xResult转换为十进制字符形式，然后两边拼接在一起组成最终的 serial。

 

5. 解题体会:

　　1）在逆向分析中，看到数字第一反应是十六进制(而非十进制),这思想非常重要(否则可能白白浪费你大量精力）

　　2）明确字符串与数字之间的转换，明确分析目标，分析的是字符串还是数字。如果最终验证是字符串，而算法往往针对数字，因此你需要注意中间一个转换条件。(别被绕蒙了)。

　　3）函数传入时如果使用 lea 传入指针，而该指针属于变量指针，则往往这里存储某些重要的值，查看内存来进行判断。

　　4）字符串赋值，实质上是指针赋值(C\C++中字符串被编译为常量，因此属于全局变量）。

　　5)  byte ptr 这类声明应该敏感。 如 "movzx byte ptr eax, ds:[eax]"，将字符串中第一个字符取出。

 

---

 

三、第2个serial破解

　　该题破解难度较小，通过"栈分析定位代码"与"serial验证查找跳转"很容易就找到答案了。

　　　　

　　因为本身 serial为静态的 "Hello Dule!"，因此也谈不上算法分析了。

　　　　

　　算是前两题的一个小总结吧。