如何生成CrackMe注册机之DeadSimple

本练习CrackMe下载地址如下：https://reverse.put.as/wp-content/uploads/2010/05/DeadSimple.zip。虽然DeadSimple，但是破解分析起来还是蛮耗时的。
运行截图如下。

Snip20171015_8.png

0x1代码静态分析

在Hopper中打开DeadSimple。可以看到如下代码。

        ; ================ B E G I N N I N G   O F   P R O C E D U R E ================

        ; Variables:
        ;    arg_C: 20
        ;    arg_8: 16
        ;    _cmd: void *12
        ;    self: void *8
        ;    var_4: -4
        ;    var_8: -8
        ;    var_C: -12
        ;    var_20: -32
        ;    var_24: -36
        ;    var_28: -40


             -[AppDelegate checkCode:forName:]:
00001daa         push       ebp                                                 ; Objective C Implementation defined at 0x30a8 (instance method)
00001dab         mov        ebp, esp
00001dad         sub        esp, 0x28
00001db0         mov        eax, dword [objc_msg_componentsSeparatedByString_]  ; @selector(componentsSeparatedByString:)
00001db5         mov        dword [ebp+var_C], ebx
00001db8         mov        dword [ebp+var_4], edi
00001dbb         mov        edi, dword [ebp+arg_C]
00001dbe         mov        dword [ebp+var_8], esi
00001dc1         mov        dword [esp+0x28+var_24], eax                        ; argument #2 for method imp___jump_table__objc_msgSend
00001dc5         mov        eax, dword [ebp+arg_8]
00001dc8         mov        dword [esp+0x28+var_20], 0x2048                     ; @"-"
00001dd0         mov        dword [esp+0x28+var_28], eax                        ; argument #1 for method imp___jump_table__objc_msgSend
00001dd3         call       imp___jump_table__objc_msgSend
00001dd8         mov        ebx, eax
00001dda         mov        eax, dword [objc_msg_count]                         ; @selector(count)
00001ddf         mov        dword [esp+0x28+var_28], ebx                        ; argument #1 for method imp___jump_table__objc_msgSend
00001de2         mov        dword [esp+0x28+var_24], eax                        ; argument #2 for method imp___jump_table__objc_msgSend
00001de6         call       imp___jump_table__objc_msgSend
00001deb         cmp        eax, 0x2
00001dee         jne        loc_1e99

00001df4         mov        eax, dword [objc_msg_objectAtIndex_]                ; @selector(objectAtIndex:)
00001df9         mov        dword [esp+0x28+var_28], ebx                        ; argument #1 for method imp___jump_table__objc_msgSend
00001dfc         mov        dword [esp+0x28+var_20], 0x0
00001e04         mov        dword [esp+0x28+var_24], eax                        ; argument #2 for method imp___jump_table__objc_msgSend
00001e08         call       imp___jump_table__objc_msgSend
00001e0d         mov        edx, dword [objc_msg_intValue]                      ; @selector(intValue)
00001e13         mov        dword [esp+0x28+var_24], edx                        ; argument #2 for method imp___jump_table__objc_msgSend
00001e17         mov        dword [esp+0x28+var_28], eax                        ; argument #1 for method imp___jump_table__objc_msgSend
00001e1a         call       imp___jump_table__objc_msgSend
00001e1f         mov        dword [esp+0x28+var_28], ebx                        ; argument #1 for method imp___jump_table__objc_msgSend
00001e22         xor        ebx, ebx
00001e24         mov        dword [esp+0x28+var_20], 0x1
00001e2c         mov        esi, eax
00001e2e         mov        eax, dword [objc_msg_objectAtIndex_]                ; @selector(objectAtIndex:)
00001e33         mov        dword [esp+0x28+var_24], eax                        ; argument #2 for method imp___jump_table__objc_msgSend
00001e37         call       imp___jump_table__objc_msgSend
00001e3c         mov        edx, dword [objc_msg_intValue]                      ; @selector(intValue)
00001e42         mov        dword [esp+0x28+var_24], edx                        ; argument #2 for method imp___jump_table__objc_msgSend
00001e46         mov        dword [esp+0x28+var_28], eax                        ; argument #1 for method imp___jump_table__objc_msgSend
00001e49         call       imp___jump_table__objc_msgSend
00001e4e         cvtsi2sd   xmm0, eax
00001e52         sqrtsd     xmm0, xmm0
00001e56         cvttsd2si  eax, xmm0
00001e5a         cmp        esi, eax
00001e5c         jne        loc_1e99

00001e5e         jmp        loc_1e7b

             loc_1e60:
00001e60         mov        eax, dword [objc_msg_characterAtIndex_]             ; @selector(characterAtIndex:), CODE XREF=-[AppDelegate checkCode:forName:]+228
00001e65         mov        dword [esp+0x28+var_20], ebx
00001e69         inc        ebx
00001e6a         mov        dword [esp+0x28+var_28], edi                        ; argument #1 for method imp___jump_table__objc_msgSend
00001e6d         mov        dword [esp+0x28+var_24], eax                        ; argument #2 for method imp___jump_table__objc_msgSend
00001e71         call       imp___jump_table__objc_msgSend
00001e76         movzx      eax, ax
00001e79         sub        esi, eax

             loc_1e7b:
00001e7b         mov        eax, dword [objc_msg_length]                        ; @selector(length), CODE XREF=-[AppDelegate checkCode:forName:]+180
00001e80         mov        dword [esp+0x28+var_28], edi                        ; argument #1 for method imp___jump_table__objc_msgSend
00001e83         mov        dword [esp+0x28+var_24], eax                        ; argument #2 for method imp___jump_table__objc_msgSend
00001e87         call       imp___jump_table__objc_msgSend
00001e8c         cmp        ebx, eax
00001e8e         jb         loc_1e60

00001e90         test       esi, esi
00001e92         mov        eax, 0x1
00001e97         je         loc_1e9b

             loc_1e99:
00001e99         xor        eax, eax                                            ; CODE XREF=-[AppDelegate checkCode:forName:]+68, -[AppDelegate checkCode:forName:]+178

             loc_1e9b:
00001e9b         mov        ebx, dword [ebp+var_C]                              ; CODE XREF=-[AppDelegate checkCode:forName:]+237
00001e9e         mov        esi, dword [ebp+var_8]
00001ea1         mov        edi, dword [ebp+var_4]
00001ea4         leave
00001ea5         ret
                        ; endp

这个程序流程不长，[AppDelegate checkCode:forName:]一个函数就校验完成。
首先将输入的Code通过componentsSeparatedByString函数，和分隔符“-”，分割成数组。如果数组元素等于2，则继续判断。也就是说Code的格式为 XXXX-XXXX（Code 规则1）。
然后取出数组第一个元素，和第二个元素；分别取元素的整型值，判断第二个元素值的平方根是否等于第一个元素（Code规则2）。
判断的关键代码如下。sqrtsd即为取平方根运算。

00001e4e         cvtsi2sd   xmm0, eax
00001e52         sqrtsd     xmm0, xmm0
00001e56         cvttsd2si  eax, xmm0
00001e5a         cmp        esi, eax
00001e5c         jne        loc_1e99

接下来，loc_1e7b是一个循环，循环执行的次数为Name的长度。循环中，数组第一个元素依次减去Name的每位字符的ASCII码值。如果循环结束，esi结果为0则成功。也就是说第一个元素的值等于Name的每位字符对应的10进值ASCII码的和（Code规则3）。
关键跳转代码如下。

00001e90         test       esi, esi
00001e92         mov        eax, 0x1
00001e97         je         loc_1e9b

0x2 Keygen算法

由以上分析，得到Keygen算法描述如下。

1. A = Sum(Name.characters);
2. B = A*A
3. Code = A+"-"+B

设输入的Name = me。已知m对应的ASCII码值为109，e对应的ASCII码值为101；则A = 109+101 = 210，B = 210*210 = 44100；
根据Keygen算法，Code = 210-44100；
输入Name 和Code，程序验证，It worked！ ：）！

Snip20171015_9.png

Snip20171015_10.png