系统 : Windows xp

程序 : crackme

程序下载地址 :http://pan.baidu.com/s/1i41oh9r

要求 : 注册机编写

使用工具 : IDA Pro & OD

可在“PEDIY CrackMe 2007”中查找关于此程序的讨论,标题为“简单分析crackme算法之一”。

运行程序,在Help-》Register菜单项中注册,输入测试用户名密码。程序提示错误,错误字串为:“No luck there, mate!”。打开IDA载入程序,通过字串表定位错误字串,并通过交叉参考在关键算法处下断:

   > \6A          push                                    ; /lParam = NULL

0040120B   .      push                             ; |DlgProc = CRACKME.00401253

   .  FF75        push    dword ptr [ebp+]                ; |hOwner

   .      push                             ; |pTemplate = "DLG_REGIS"

   .  FF35 CA204000 push    dword ptr [4020CA]               ; |hInst = 00400000

0040121E   .  E8 7D020000   call    <jmp.&USER32.DialogBoxParamA>    ; \DialogBoxParamA

   .  83F8        cmp     eax,

   .^  BE         je      short 004011E6

   .   8E214000   push    0040218E                         ;  用户名入栈

0040122D   .  E8 4C010000   call    0040137E                         ;  根据用户名进行一些操作得出一个值

   .              push    eax

   .   7E214000   push    0040217E                         ;  序列号入栈

   .  E8 9B010000   call    004013D8                         ;  根据序列号进行一些操作得出一个值

0040123D   .  83C4        add     esp,                            ;  平衡堆栈

   .              pop     eax

   .  3BC3          cmp     eax, ebx                         ;  F(用户名) == F(序列号)?

   .            je      short 0040124C

40137E处汇编代码:

0040137E  /$  8B7424      mov     esi, dword ptr [esp+]           ;  取用户名

  |.              push    esi

  |>  8A06          /mov     al, byte ptr [esi]

  |.  84C0          |test    al, al                          ;  如果迭代结束

  |.            |je      short 0040139C                  ;  跳出循环

  |.  3C          |cmp     al,                           ;  字符小于0x41,则提示错误

0040138B  |.   1F         |jb      short 004013AC

0040138D  |.  3C 5A         |cmp     al, 5A                          ;  如果字符大于等于5A,

0040138F  |.            |jnb     short                   ;  则转化字符为大写

  |.              |inc     esi                             ;  循环变量自增

  |.^ EB EF         |jmp     short

  |>  E8    |call    004013D2

  |.              |inc     esi                             ;  循环变量自增

0040139A  |.^ EB E7         \jmp     short

0040139C  |>  5E            pop     esi                              ;  取用户名

0040139D  |.  E8    call    004013C2

004013A2  |.  81F7  xor     edi,

004013A8  |.  8BC7          mov     eax, edi                         ;  异或结果保存在eax里

004013AA  |.  EB          jmp     short 004013C1

004013AC  |>  5E            pop     esi

004013AD  |.  6A          push                                   ; /Style = MB_OK|MB_ICONEXCLAMATION|MB_APPLMODAL

004013AF  |.      push                             ; |Title = "No luck!"

004013B4  |.      push                             ; |Text = "No luck there, mate!"

004013B9  |.  FF75        push    dword ptr [ebp+]                ; |hOwner

004013BC  |.  E8    call    <jmp.&USER32.MessageBoxA>        ; \MessageBoxA

004013C1  \>  C3            retn

004013C2  /$  33FF          xor     edi, edi

004013C4  |.  33DB          xor     ebx, ebx

004013C6  |>  8A1E          /mov     bl, byte ptr [esi]

004013C8  |.  84DB          |test    bl, bl                          ;  如果迭代结束

004013CA  |.            |je      short 004013D1                  ;  跳出循环

004013CC  |.  03FB          |add     edi, ebx                        ;  累加字符值

004013CE  |.              |inc     esi                             ;  循环变量自增

004013CF  |.^ EB F5         \jmp     short 004013C6

004013D1  \>  C3            retn                                     ;  结果保存在edi

004013D2  /$  2C          sub     al,

004013D4  |.            mov     byte ptr [esi], al

004013D6  \.  C3            retn

4013D8处汇编代码:

004013D8  /$  33C0          xor     eax, eax

004013DA  |.  33FF          xor     edi, edi

004013DC  |.  33DB          xor     ebx, ebx

004013DE  |.  8B7424      mov     esi, dword ptr [esp+]           ;  取序列号

004013E2  |>  B0 0A         /mov     al, 0A

004013E4  |.  8A1E          |mov     bl, byte ptr [esi]

004013E6  |.  84DB          |test    bl, bl                          ;  如果迭代结束

004013E8  |.   0B         |je      short 004013F5                  ;  则跳出循环

004013EA  |.  80EB        |sub     bl,                           ;  将字符转化为它对应的数字

004013ED  |.  0FAFF8        |imul    edi, eax

004013F0  |.  03FB          |add     edi, ebx

004013F2  |.              |inc     esi                             ;  循环变量自增

004013F3  |.^ EB ED         \jmp     short 004013E2

004013F5  |>  81F7  xor     edi,                         ;  结果与0x1234异或

004013FB  |.  8BDF          mov     ebx, edi                         ;  存入ebx

004013FD  \.  C3            retn

以上就是关键处代码,通过观察不难发现,该程序采用的是非明码比较(F(用户名)=F(序列号))。这样的程序我们用高级语言写出F(用户名),再算出F(序列号)的逆算法即可。

打开http://www.cnblogs.com/ZRBYYXDM/p/5115596.html中搭建的框架,修改OnBtnDecrypt函数如下:

void CKengen_TemplateDlg::OnBtnDecrypt()

{

    // TODO: Add your control notification handler code here

    CString str;

    GetDlgItemText( IDC_EDIT_NAME,str );                    //获取用户名字串基本信息。

    int len = str.GetLength();

    bool StrIsOk = true;

    for ( int i =  ; i != len ; i++ ){

        if ( str[i] < 0x41 ){

            StrIsOk = false;

            break;

        }

    }

    if ( StrIsOk ){                                            //格式控制。

        str.MakeUpper();                                    //转化为大写。

        unsigned int sum = ;

        int i;

        for ( i =  ; i != len ; i++ )

            sum += str[i];

        sum ^= 0x5678;

        /*

        //模拟F(序列号)

        CString Serial = "1234";

        unsigned int res = 0,num = 0;

        int al = 0xA;

        for ( i = 0 ; i != len ; i++ ){

            num = Serial[i] - 0x30;

            res *= al;

            res += num;

        }

        res ^= 0x1234;

        */

        //写出F(序列号)的逆算法

        /*

            一开始想的是进行异或操作后,逆向整个for循环,类似于从最后一个元素Serial[len]反推,

            res-=num;res/=al;这样,但发现要求的就是num的值,感觉该函数根本不可逆。

            想来想去只好翻书看看有没有求解方法,发现程序与《解密与解密》P107处的Serial程序算法居然一样。

            原来F(序列号)中的for循环只是将字串转化为了它对应的十进制数!最后做了一个异或而已。

            也就是说,将F(用户名)的结果与0x1234进行异或,得出的就是本来的序列号!

            通过这次破解,我知道了逆向不一定要微观上一步步反推,还可以从宏观上判断函数到底做了什么。

        */

        str.Format( "%d",( sum ^ 0x1234 ) );

        SetDlgItemText( IDC_EDIT_PASSWORD,str );

    }

    else

        MessageBox( "用户名格式错误!" );

}

再在OnInitDialog中添加此代码修改标题:SetWindowText(_T("CRACKME_Keygen"));

运行效果:

-------------------------------------------------------------------------------------------------------------------

后记:

  在测试注册机时发现了一个问题,当输入的字串长度过长,注册机算出的序列号是错误的。反复确认算法无误之后,怀疑是CRACKME中的字串有“猫腻”。这里,对GetDlgItemText下断点:

004012B5  |.  6A 0B         |push    0B                              ; /Count = B (11.)

004012B7  |.   8E214000   |push    0040218E                        ; |Buffer = CRACKME.0040218E

004012BC  |.   E8030000   |push    3E8                             ; |ControlID = 3E8 (1000.)

004012C1  |.  FF75        |push    dword ptr [ebp+]               ; |hWnd

004012C4  |.  E8    |call    <jmp.&USER32.GetDlgItemTextA>   ; \GetDlgItemTextA

对比GetDlgItemText的定义:

int GetDlgItemText( HWND hDlg , int nID, LPTSTR lpStr, int nMaxCount) const;

nID 指定了要获取其标题的控件的整数标识符。 lpStr 指向要接收控件的标题或文本的缓冲区。 nMaxCount 指定了要拷贝到lpStr的字符串的最大长度(以字节为单位)。如果字符串比nMaxCount要长,它将被截断。 rString 对一个CString对象的引用。

nMaxCount 在程序中被设为11,实际保存的字符也就是10个。怪不得过长的用户名算出的序列号是错误的。这里,我们将OnBtnDecrypt函数的if ( StrIsOk )判断语句做个改动,在开始处增加一行代码:str = str.Left( 10 );就可以解决问题。

破解 crackme(“不可逆“函数)的更多相关文章

  1. 破解 CrackMe#1 [UBC] by bRaINbuSY

    系统 : Windows xp 程序 : CrackMe#1 程序下载地址 :http://pan.baidu.com/s/1nuagj6h 要求 : 编写注册机 使用工具 :IDA & OD ...

  2. 软件破解入门(暴力破解CrackMe)

    ---恢复内容开始--- 所谓暴力破解,就是通过修改汇编代码进而控制程序的运行流程,达到不需注册码也能正常使用软件的目的.相对于解出算法进而编写注册机,暴破的技术含量是比较低的.但也正是因为一本05年 ...

  3. 破解 crackme(完全拆解警告窗口)

    系统 : Windows xp 程序 : crackme 程序下载地址 :http://pan.baidu.com/s/1kUrbcAr 要求 : 注册机编写 & 去除Nag窗口 使用工具 : ...

  4. obdg反汇编破解crackme

    obdg是一个反汇编软件 直接将要反汇编的exe文件拖入或者file->open打开文件,等待一段时间就会显示出来 界面中分别为汇编代码(程序内存内容),寄存器内容,数据内存内容,栈内容 代码界 ...

  5. 如何通过Python暴力破解网站登陆密码

    首先申明,该文章只可以用于交流学习,不可以用于其他用途,否则后果自负. 现在国家对网络安全的管理,越来越严,但是还是有一些不法网站逍遥法外,受限于国内的人力.物力,无法对这些网站进行取缔. 今天演示的 ...

  6. 分享总结:更好地CodeReview

            代码质量分享    2016_06_24_舒琴_代码质量.key    For 代码提交人     基本原则 Review时机: 对于普通bugfix或优化,CodeReview最迟要 ...

  7. 逆向project实战--Acid burn

    0x00 序言 这是第二次破解 crackme 小程序,感觉明显比第一次熟练.破解过程非常顺利,差点儿是分分钟就能够找到正确的 serial,可是我们的目标是破解计算过程.以下将具体介绍. 0x01 ...

  8. 【转】PHP代码审计

    PHP代码审计 目录 1. 概述3 2. 输入验证和输出显示3 2.1 命令注入4 2.2 跨站脚本4 2.3 文件包含5 2.4 代码注入5 2.5 SQL注入6 2.6 XPath注入6 2.7 ...

  9. CodeReview实践与总结

    CodeReview 是大型软件工程中公认的必不可少的保证工程质量的重要手段之一.但凡正规软件作战军团都是非常重视 CodeReview 的作用和意义的.那么,如何做好 CodeReview 呢?这里 ...

随机推荐

  1. Merge k Sorted Lists [LeetCode]

    Merge k sorted linked lists and return it as one sorted list. Analyze and describe its complexity. S ...

  2. 服务订单SO创建

    FUNCTION Z_SD_SALESORDER_CREATE. *"------------------------------------------------------------ ...

  3. jquery mobile 请求数据方法执行时显示加载中提示框

    在jquery mobile开发中,经常需要调用ajax方法,异步获取数据,如果异步获取数据方法由于网速等等的原因,会有一个反应时间,如果能在点击按钮后数据处理期间,给一个正在加载的提示,客户体验会更 ...

  4. JDE隐藏Constant等(Hide Object)

    Grid中隐藏列,列值可以使用属性配置,但是列表头Constant需要用函数修改,如下所示:

  5. JDE开发端安装问题(JDE初步卸载重装)

    JDE版本:9.1.4 所遇场景:安装JDE客户端.WEBServer后,卸载重新安装.在安装client后提示找不到DV\PY包. 日志installActionsXXX.log中显示 信息: 10 ...

  6. 部署步骤“回收 IIS 应用程序池”中出现错误: <nativehr>0x80070005</nativehr><nativestack></nativestack>拒绝访问。

    解决方法:以sharepoint管理员身份进入主站点,修改站点的网站集管理员.

  7. Apache网页有时能访问,有时超时打不开

    在win server 2008上安装wamp2.4版本,配置apache 访问网页一直在加载,似乎被挂起. 转圈需要3分钟多钟, 最终显示无法访问. 或者超时. 错误日志中有如下提示: [Sat J ...

  8. ubuntu 软件安装的几种方法

    说明:由于图形化界面方法(如Add/Remove... 和Synaptic Package Manageer)比较简单,所以这里主要总结在终端通过命令行方式进行的软件包安装.卸载和删除的方法. 一.U ...

  9. 腾讯微博数据抓取(java实现)

    不多说,同样贴出相关代码 参数实体: package token.def; import java.io.Serializable; import java.util.Properties; publ ...

  10. 【参考文献1】Word2010删除引用参考文献留下的横线

    那个莫名其妙不能选中,相信你也遇到.如果是这样,可能那个是尾注分隔符.你可以按照本文的方法解决.当然啦,这个也是按照网上的方法整理参考文献会留下的直线 Office Word2010 方法/步骤   ...