[CrackMe]damn.exe的逆向及注册机编写
1. 脱壳过程
这个crackme有2个文件
![[CrackMe]damn.exe的逆向及注册机编写_第1张图片](http://img.e-com-net.com/image/info8/bc0d212e15c64b5083ff4e2614ceec68.jpg)
发现加了壳
![[CrackMe]damn.exe的逆向及注册机编写_第2张图片](http://img.e-com-net.com/image/info8/23d5dcbc9fb8425a8897e0a393c869eb.jpg)
先来脱壳, 使用ESP守恒, pushad后立马下硬件访问断点
![[CrackMe]damn.exe的逆向及注册机编写_第3张图片](http://img.e-com-net.com/image/info8/050a776500d94428b89e6460a6671f26.jpg)
F9直接运行, 立马到popad处
![[CrackMe]damn.exe的逆向及注册机编写_第4张图片](http://img.e-com-net.com/image/info8/458e338dc67b490fb887d53a443de0d7.jpg)
接着走几步就到了OEP
![[CrackMe]damn.exe的逆向及注册机编写_第5张图片](http://img.e-com-net.com/image/info8/adac4b89d9c74cf0b787e8f813d44bbf.jpg)
下面使用LordPE来转储映像, 为了防止别人修改PE中的ImageSize, 先尝试修正下ImageSize, 然后dump full即可
![[CrackMe]damn.exe的逆向及注册机编写_第6张图片](http://img.e-com-net.com/image/info8/44144e467e3847e99469d5685b0f6309.png)
![[CrackMe]damn.exe的逆向及注册机编写_第7张图片](http://img.e-com-net.com/image/info8/f89d1970ddf64d16a00456bfb87581d1.png)
接着用x64dbg调试器重新打开dump后的文件, 准备修复入口点和IAT表, 在这之前往内存里瞄了一眼, 发现主模块的PE头部被设置了只读属性, 首先先将其改成可读写
![[CrackMe]damn.exe的逆向及注册机编写_第8张图片](http://img.e-com-net.com/image/info8/d7a3da3573c2452e9b9b36d03f771db0.jpg)
![[CrackMe]damn.exe的逆向及注册机编写_第9张图片](http://img.e-com-net.com/image/info8/4200d51d6788450fb0744103942f13d8.jpg)
这样就舒服多了
![[CrackMe]damn.exe的逆向及注册机编写_第10张图片](http://img.e-com-net.com/image/info8/f107622b5718410484556ddf19f70027.jpg)
使用ImportREC打开当前被调试的进程, 并且修改OEP为之前脱壳后第一句代码的RVA地址,注意, 这个地址要减去ImageBase才是RVA地址, 接着选择IAT自动搜索, 如果没什么问题会弹出如下弹框
![[CrackMe]damn.exe的逆向及注册机编写_第11张图片](http://img.e-com-net.com/image/info8/bce3ba418f7547438d6f28396679a58e.png)
然后选择获取导入表, 即可发现该exe所导入的模块, 并且其后面都是有效
![[CrackMe]damn.exe的逆向及注册机编写_第12张图片](http://img.e-com-net.com/image/info8/67ec1daedacd42779f6c4bf96a4d62ad.png)
最后选择修正转储选择要修正的转储文件即可
![[CrackMe]damn.exe的逆向及注册机编写_第13张图片](http://img.e-com-net.com/image/info8/14c129b56f4648f9bf6fc165d0c752af.jpg)
2. 逆向分析过程
这个程序比较简单, 作者的目的估计主要是为了让我们练习脱壳。脱完壳后, 再次调试就发现图片变成了CRACKED
![[CrackMe]damn.exe的逆向及注册机编写_第14张图片](http://img.e-com-net.com/image/info8/56be1f00c93d4af7b0341bdaba5fc739.jpg)
但是不进行调试的状态, 就会显示是LOCKED状态
![[CrackMe]damn.exe的逆向及注册机编写_第15张图片](http://img.e-com-net.com/image/info8/ab30180c2c124b60ab1618174520f5ab.jpg)
这里先解决这个问题, 让它永远变成cracked状态, 可以确定的是, 他做这些事肯定是在WM_INITDIALOG中的,因为在程序运行的过程中是没有任何变化, 定位WndProc然后找到WM_INITDIALOG后重新跑
![[CrackMe]damn.exe的逆向及注册机编写_第16张图片](http://img.e-com-net.com/image/info8/26e1efa02ccb4abd99494b20e92ce046.jpg)
可以看到了关键API LoadBitmapA
![[CrackMe]damn.exe的逆向及注册机编写_第17张图片](http://img.e-com-net.com/image/info8/ac4745425a9b4e189b0437f9e0c66c78.jpg)
使用Resource hacker查看一下程序有什么bitmap资源, Ooops, 找到了这张图片的资源ID是101, 十六进制是0x65
![[CrackMe]damn.exe的逆向及注册机编写_第18张图片](http://img.e-com-net.com/image/info8/a2a327290a2b420282de850c7b2653c0.jpg)
这里圈出来的call决定了最终你将选择哪张图片
![[CrackMe]damn.exe的逆向及注册机编写_第19张图片](http://img.e-com-net.com/image/info8/c8a4d78e0ff34ebf97320ecfa20cc2a9.jpg)
里面是把0x401000和0x402000处的代码计算哈希然后运算决定的, 很明显脱壳会对这个造成影响
![[CrackMe]damn.exe的逆向及注册机编写_第20张图片](http://img.e-com-net.com/image/info8/1d330e67d9fb4d44a5e67d614538aecf.jpg)
这里直接选择进行爆破, 直接把0x65传入LoadBitmapA中
![[CrackMe]damn.exe的逆向及注册机编写_第21张图片](http://img.e-com-net.com/image/info8/7468b436078e4c5097a2da600ae085b2.jpg)
好了, 这样永远就是cracked的状态了。
![[CrackMe]damn.exe的逆向及注册机编写_第22张图片](http://img.e-com-net.com/image/info8/98c2614cb1154c18b3b1213b9ad68c5a.jpg)
下面继续进行破解, 运行以下后发现Register按钮是被禁用的, 尝试搜索以下EnableWindow这个API, 定位到该位置后发现上方还有2个GetDlgItemText, 很明显是为了获取name和输入的key的。在EnableWindow上面还有一个call应该就是key的生成算法
![[CrackMe]damn.exe的逆向及注册机编写_第23张图片](http://img.e-com-net.com/image/info8/35b1b6e900ea44279368931517bb207f.jpg)
随便进行了一次测试, 由于这里要求密码必须是8位, 所以首先我把密码设置成8位, 这样方便调试Key运算的部分
![[CrackMe]damn.exe的逆向及注册机编写_第24张图片](http://img.e-com-net.com/image/info8/1c56d38538664991ab607c01c5a21a4a.jpg)
这个函数最终会返回eax, 也就是说如果eax为1, 那么EnableWindow就会激活Register按钮, 那也就能顺利注册, 否则就不行
![[CrackMe]damn.exe的逆向及注册机编写_第25张图片](http://img.e-com-net.com/image/info8/0917101ffaa1419e8a338b5fee2dcf25.jpg)
再看以下Key运算部分, 这里是一个jne循环, 如果ecx不为4就会循环满足某个条件会让ecx增加1, 只有ecx为4才是正确的serial
![[CrackMe]damn.exe的逆向及注册机编写_第26张图片](http://img.e-com-net.com/image/info8/15d7911bcae2490eb6ac502e68b032c4.jpg)
这里经过红色框部分的运算后, 满足2个橘色框的条件则ecx有机会增加1,经过4次判断都满足条件key即为正确
![[CrackMe]damn.exe的逆向及注册机编写_第27张图片](http://img.e-com-net.com/image/info8/09253e2a1a5b404f932e8b0d87f03aa9.jpg)
3. 编写注册机
这个注册机编写很容易, 为了躲避使用ror之类的带进位指令, 我直接使用了内联汇编来编写
![[CrackMe]damn.exe的逆向及注册机编写_第28张图片](http://img.e-com-net.com/image/info8/f0f879730cb64a08b3c110a5b629e8e4.jpg)
下面放出核心代码:
BOOL GetSerialKey(LPCSTR pszName, LPSTR pszKeyBuf, DWORD nKeyBufSize)
{
int iNameLen = 0;
DWORD dwFix = 0x44414D4E;
DWORD dwTmp = 0;
CHAR cch = 0;
int iKeyLen = 0;
int iPtr1 = 1;
int iPtr0 = 0;
if (!pszName || !pszKeyBuf || nKeyBufSize < 9)
{
return(FALSE);
}
iNameLen = strlen(pszName);
if (!iNameLen)
{
return(FALSE);
}
for (size_t nIdx = 0; nIdx < iNameLen; ++nIdx)
{
cch = pszName[nIdx];
dwTmp += cch;
__asm
{
push eax
push ecx
xor ecx, ecx
mov cl, byte ptr [nIdx]
ror dword ptr[dwFix], 1
ror dword ptr[dwFix], cl
pop ecx
pop eax
}
dwFix ^= dwTmp;
}
dwFix |= 0x10101010;
for (size_t nIdx = 0; nIdx < 4; ++nIdx)
{
__asm
{
push eax
xor eax, eax
rol dword ptr[dwFix], 8
mov al, byte ptr[dwFix]
mov cch, al
mov byte ptr[dwTmp], al
and cch, 0xF
shr byte ptr[dwTmp], 4
and byte ptr[dwTmp], 0xF
cmp cch, 0xA
sbb cch, 0x69
mov al, cch
das
mov cch, al
}
pszKeyBuf[nIdx * 2 + 1] = cch;
__asm
{
mov al, byte ptr[dwTmp]
mov cch, al
cmp cch, 0xA
sbb cch, 0x69
mov al, cch
das
mov cch, al
pop eax
}
pszKeyBuf[nIdx * 2] = cch;
}
return(TRUE);
}
(完)