CrackMe-003

逆向学习

工具

OllyDbg(OD)：https://www.52pojie.cn/thread-350397-1-1.html
PEID：https://www.52pojie.cn/thread-170387-1-1.html
Exeinfo PE：https://www.52pojie.cn/thread-437586-1-1.html
樱花补丁制作工具：https://www.52pojie.cn/thread-62307-1-1.html
内存补丁生成器：https://www.52pojie.cn/thread-162411-1-1.html
注册机生成器：https://www.52pojie.cn/thread-159470-1-1.html
IDA Pro v7：https://www.52pojie.cn/thread-675251-1-1.html

闯关题目

160个CrackMe的打包文件下载地址：
下载地址1：https://pan.baidu.com/s/1cySNkj9uENG_ppK80BmjUQ 密码：8d77
下载链接2：https://pan.baidu.com/s/150wDRlmXTQjwm2-ey-3I6Q 密码：qr21

第三关

首先用工具查看一些基本的信息，可以看到编译程序是VB，没有壳

原程序启动有一个NAG窗口，若干秒后会自动关闭，打开主窗口，这里看大佬们都是要去除NAG窗口然后开始操作，我也跟着来吧哈哈

NAG窗口关闭后，进入主程序，长这个憨憨样子

这里就自己随便测试，输入数字和字符的结果不太一样

NAG部分

接着就用OD打开分析，首先就要把那个头痛的NAG窗口去掉

VB程序有个特点-入口点处都是一个PUSH指令,然后一个CALL指令，看JMP 后面跟的MSVBVM50，应该是VB5.0编写的。(如果不是这种情况的话,那么该程序可能被加过壳)， PUSH将要压入堆栈的是004067D4,现在我们在数据窗口中定位到这个地址右键--follow in Dump--Immediate constant数据窗口中跟随–立即数

第一行PUSH后的立即数加4c得到406820作为跳转地址,00406820就在68684000，右键跟随

跳转之后，将标记的01与00修改成00和01，在右键复制可执行文件，选择保存，即可

爆破部分

用OD打开已经修改NAG的程序，还是经典操作哈哈

往上查找什么jmp或者jn的语句，直接选中JE语句，右键->Binary->Fill with NOPs. 试一试，OK，爆破成功。

算法部分

感觉每次最难的地方就是算法，就引用大佬的思路吧（头大）

这个程序和002基本一样的，在跳转附近无任何和Name/Serial相关的内容，所以，向上找到这段代码的开头，下断，一路F8记录重要信息。

PS：由于这个代码太长，只将重要片段拿出来。查找开头时不要急，代码真的很长。需要特别注意和Name/Serial相关的部分。

出现Serial

004085C8   .  FF15 18B14000 call dword ptr ds:[<&MSVBVM50.__vbaHresu>;  msvbvm50.__vbaHresultCheckObj
004085CE   >  8B45 E8       mov eax,dword ptr ss:[ebp-0x18]
004085D1   .  50            push eax                                 ;  // 获取Serial
004085D2   .  FF15 74B14000 call dword ptr ds:[<&MSVBVM50.__vbaR8Str>;  msvbvm50.__vbaR8Str
004085D8   .  8B4D E4       mov ecx,dword ptr ss:[ebp-0x1C]          ;  // 1066828
004085DB   .  DD9D 1CFFFFFF fstp qword ptr ss:[ebp-0xE4]
004085E1   .  51            push ecx
004085E2   .  FF15 74B14000 call dword ptr ds:[<&MSVBVM50.__vbaR8Str>;  msvbvm50.__vbaR8Str
004085E8   .  833D 00904000>cmp dword ptr ds:[0x409000],0x0
004085EF   .  75 08         jnz short 004085F9
004085F1   .  DCBD 1CFFFFFF fdivr qword ptr ss:[ebp-0xE4]            ;  // 做除法
004085F7   .  EB 11         jmp short 0040860A
004085F9   > \FFB5 20FFFFFF push dword ptr ss:[ebp-0xE0]
004085FF   .  FFB5 1CFFFFFF push dword ptr ss:[ebp-0xE4]
00408605   .  E8 888AFFFF   call 
0040860A   >  DFE0          fstsw ax                                 ;  // 把结果送入ax
0040860C   .  A8 0D         test al,0xD
0040860E   .  0F85 AB010000 jnz 004087BF
00408614   .  FF15 34B14000 call dword ptr ds:[<&MSVBVM50.__vbaFpR8>>;  msvbvm50.__vbaFpR8
0040861A   .  DC1D 28104000 fcomp qword ptr ds:[0x401028]
00408620   .  DFE0          fstsw ax                                 ;  //ax=20
00408622   .  F6C4 40       test ah,0x40                             ;  // ah=40
00408625   .  74 07         je short 0040862E

后面做的除法运算和取反，为了处理esi的值，然后做为JE的条件。我们到这里其实就可以试试算出来的字符串“1066828”是否是正确的？哈哈，他肯定是的啦！

至此，序列号的生成过程已经分析完毕。过程中设计到的常量都是使用[0040100A]等固定地址得到的固定值，不用理会，我们可以直接使用。

小结一下：先计算出Name的长度nLen,然后edi=edi*0x15B38+cName, cName是Name第一个字符的ANSI码。然后，计算浮点数10.0/5.0=2.0, edi转换为浮点数，加上2.0，然后结果再乘以3.0，然后减去2，然后再减去-15，得到的值转换为文本，即为正确的序列号。