本练习CrackMe下载地址如下:https://reverse.put.as/wp-content/uploads/2010/05/DeadSimple.zip。虽然DeadSimple,但是破解分析起来还是蛮耗时的。
运行截图如下。
0x1代码静态分析
在Hopper中打开DeadSimple。可以看到如下代码。
; ================ B E G I N N I N G O F P R O C E D U R E ================
; Variables:
; arg_C: 20
; arg_8: 16
; _cmd: void *12
; self: void *8
; var_4: -4
; var_8: -8
; var_C: -12
; var_20: -32
; var_24: -36
; var_28: -40
-[AppDelegate checkCode:forName:]:
00001daa push ebp ; Objective C Implementation defined at 0x30a8 (instance method)
00001dab mov ebp, esp
00001dad sub esp, 0x28
00001db0 mov eax, dword [objc_msg_componentsSeparatedByString_] ; @selector(componentsSeparatedByString:)
00001db5 mov dword [ebp+var_C], ebx
00001db8 mov dword [ebp+var_4], edi
00001dbb mov edi, dword [ebp+arg_C]
00001dbe mov dword [ebp+var_8], esi
00001dc1 mov dword [esp+0x28+var_24], eax ; argument #2 for method imp___jump_table__objc_msgSend
00001dc5 mov eax, dword [ebp+arg_8]
00001dc8 mov dword [esp+0x28+var_20], 0x2048 ; @"-"
00001dd0 mov dword [esp+0x28+var_28], eax ; argument #1 for method imp___jump_table__objc_msgSend
00001dd3 call imp___jump_table__objc_msgSend
00001dd8 mov ebx, eax
00001dda mov eax, dword [objc_msg_count] ; @selector(count)
00001ddf mov dword [esp+0x28+var_28], ebx ; argument #1 for method imp___jump_table__objc_msgSend
00001de2 mov dword [esp+0x28+var_24], eax ; argument #2 for method imp___jump_table__objc_msgSend
00001de6 call imp___jump_table__objc_msgSend
00001deb cmp eax, 0x2
00001dee jne loc_1e99
00001df4 mov eax, dword [objc_msg_objectAtIndex_] ; @selector(objectAtIndex:)
00001df9 mov dword [esp+0x28+var_28], ebx ; argument #1 for method imp___jump_table__objc_msgSend
00001dfc mov dword [esp+0x28+var_20], 0x0
00001e04 mov dword [esp+0x28+var_24], eax ; argument #2 for method imp___jump_table__objc_msgSend
00001e08 call imp___jump_table__objc_msgSend
00001e0d mov edx, dword [objc_msg_intValue] ; @selector(intValue)
00001e13 mov dword [esp+0x28+var_24], edx ; argument #2 for method imp___jump_table__objc_msgSend
00001e17 mov dword [esp+0x28+var_28], eax ; argument #1 for method imp___jump_table__objc_msgSend
00001e1a call imp___jump_table__objc_msgSend
00001e1f mov dword [esp+0x28+var_28], ebx ; argument #1 for method imp___jump_table__objc_msgSend
00001e22 xor ebx, ebx
00001e24 mov dword [esp+0x28+var_20], 0x1
00001e2c mov esi, eax
00001e2e mov eax, dword [objc_msg_objectAtIndex_] ; @selector(objectAtIndex:)
00001e33 mov dword [esp+0x28+var_24], eax ; argument #2 for method imp___jump_table__objc_msgSend
00001e37 call imp___jump_table__objc_msgSend
00001e3c mov edx, dword [objc_msg_intValue] ; @selector(intValue)
00001e42 mov dword [esp+0x28+var_24], edx ; argument #2 for method imp___jump_table__objc_msgSend
00001e46 mov dword [esp+0x28+var_28], eax ; argument #1 for method imp___jump_table__objc_msgSend
00001e49 call imp___jump_table__objc_msgSend
00001e4e cvtsi2sd xmm0, eax
00001e52 sqrtsd xmm0, xmm0
00001e56 cvttsd2si eax, xmm0
00001e5a cmp esi, eax
00001e5c jne loc_1e99
00001e5e jmp loc_1e7b
loc_1e60:
00001e60 mov eax, dword [objc_msg_characterAtIndex_] ; @selector(characterAtIndex:), CODE XREF=-[AppDelegate checkCode:forName:]+228
00001e65 mov dword [esp+0x28+var_20], ebx
00001e69 inc ebx
00001e6a mov dword [esp+0x28+var_28], edi ; argument #1 for method imp___jump_table__objc_msgSend
00001e6d mov dword [esp+0x28+var_24], eax ; argument #2 for method imp___jump_table__objc_msgSend
00001e71 call imp___jump_table__objc_msgSend
00001e76 movzx eax, ax
00001e79 sub esi, eax
loc_1e7b:
00001e7b mov eax, dword [objc_msg_length] ; @selector(length), CODE XREF=-[AppDelegate checkCode:forName:]+180
00001e80 mov dword [esp+0x28+var_28], edi ; argument #1 for method imp___jump_table__objc_msgSend
00001e83 mov dword [esp+0x28+var_24], eax ; argument #2 for method imp___jump_table__objc_msgSend
00001e87 call imp___jump_table__objc_msgSend
00001e8c cmp ebx, eax
00001e8e jb loc_1e60
00001e90 test esi, esi
00001e92 mov eax, 0x1
00001e97 je loc_1e9b
loc_1e99:
00001e99 xor eax, eax ; CODE XREF=-[AppDelegate checkCode:forName:]+68, -[AppDelegate checkCode:forName:]+178
loc_1e9b:
00001e9b mov ebx, dword [ebp+var_C] ; CODE XREF=-[AppDelegate checkCode:forName:]+237
00001e9e mov esi, dword [ebp+var_8]
00001ea1 mov edi, dword [ebp+var_4]
00001ea4 leave
00001ea5 ret
; endp
这个程序流程不长,[AppDelegate checkCode:forName:]一个函数就校验完成。
首先将输入的Code通过componentsSeparatedByString函数,和分隔符“-”,分割成数组。如果数组元素等于2,则继续判断。也就是说Code的格式为 XXXX-XXXX(Code 规则1)。
然后取出数组第一个元素,和第二个元素;分别取元素的整型值,判断第二个元素值的平方根是否等于第一个元素(Code规则2)。
判断的关键代码如下。sqrtsd即为取平方根运算。
00001e4e cvtsi2sd xmm0, eax
00001e52 sqrtsd xmm0, xmm0
00001e56 cvttsd2si eax, xmm0
00001e5a cmp esi, eax
00001e5c jne loc_1e99
接下来,loc_1e7b是一个循环,循环执行的次数为Name的长度。循环中,数组第一个元素依次减去Name的每位字符的ASCII码值。如果循环结束,esi结果为0则成功。也就是说第一个元素的值等于Name的每位字符对应的10进值ASCII码的和(Code规则3)。
关键跳转代码如下。
00001e90 test esi, esi
00001e92 mov eax, 0x1
00001e97 je loc_1e9b
0x2 Keygen算法
由以上分析,得到Keygen算法描述如下。
1. A = Sum(Name.characters);
2. B = A*A
3. Code = A+"-"+B
设输入的Name = me。已知m对应的ASCII码值为109,e对应的ASCII码值为101;则A = 109+101 = 210,B = 210*210 = 44100;
根据Keygen算法,Code = 210-44100;
输入Name 和Code,程序验证,It worked! :)!