系统 : Windows xp

程序 : crackme

程序下载地址 :http://pan.baidu.com/s/1i41oh9r

要求 : 注册机编写

使用工具 : IDA Pro & OD

可在“PEDIY CrackMe 2007”中查找关于此程序的讨论,标题为“简单分析crackme算法之一”。

运行程序,在Help-》Register菜单项中注册,输入测试用户名密码。程序提示错误,错误字串为:“No luck there, mate!”。打开IDA载入程序,通过字串表定位错误字串,并通过交叉参考在关键算法处下断:

   > \6A          push                                    ; /lParam = NULL

0040120B   .      push                             ; |DlgProc = CRACKME.00401253

   .  FF75        push    dword ptr [ebp+]                ; |hOwner

   .      push                             ; |pTemplate = "DLG_REGIS"

   .  FF35 CA204000 push    dword ptr [4020CA]               ; |hInst = 00400000

0040121E   .  E8 7D020000   call    <jmp.&USER32.DialogBoxParamA>    ; \DialogBoxParamA

   .  83F8        cmp     eax,

   .^  BE         je      short 004011E6

   .   8E214000   push    0040218E                         ;  用户名入栈

0040122D   .  E8 4C010000   call    0040137E                         ;  根据用户名进行一些操作得出一个值

   .              push    eax

   .   7E214000   push    0040217E                         ;  序列号入栈

   .  E8 9B010000   call    004013D8                         ;  根据序列号进行一些操作得出一个值

0040123D   .  83C4        add     esp,                            ;  平衡堆栈

   .              pop     eax

   .  3BC3          cmp     eax, ebx                         ;  F(用户名) == F(序列号)?

   .            je      short 0040124C

40137E处汇编代码:

0040137E  /$  8B7424      mov     esi, dword ptr [esp+]           ;  取用户名

  |.              push    esi

  |>  8A06          /mov     al, byte ptr [esi]

  |.  84C0          |test    al, al                          ;  如果迭代结束

  |.            |je      short 0040139C                  ;  跳出循环

  |.  3C          |cmp     al,                           ;  字符小于0x41,则提示错误

0040138B  |.   1F         |jb      short 004013AC

0040138D  |.  3C 5A         |cmp     al, 5A                          ;  如果字符大于等于5A,

0040138F  |.            |jnb     short                   ;  则转化字符为大写

  |.              |inc     esi                             ;  循环变量自增

  |.^ EB EF         |jmp     short

  |>  E8    |call    004013D2

  |.              |inc     esi                             ;  循环变量自增

0040139A  |.^ EB E7         \jmp     short

0040139C  |>  5E            pop     esi                              ;  取用户名

0040139D  |.  E8    call    004013C2

004013A2  |.  81F7  xor     edi,

004013A8  |.  8BC7          mov     eax, edi                         ;  异或结果保存在eax里

004013AA  |.  EB          jmp     short 004013C1

004013AC  |>  5E            pop     esi

004013AD  |.  6A          push                                   ; /Style = MB_OK|MB_ICONEXCLAMATION|MB_APPLMODAL

004013AF  |.      push                             ; |Title = "No luck!"

004013B4  |.      push                             ; |Text = "No luck there, mate!"

004013B9  |.  FF75        push    dword ptr [ebp+]                ; |hOwner

004013BC  |.  E8    call    <jmp.&USER32.MessageBoxA>        ; \MessageBoxA

004013C1  \>  C3            retn

004013C2  /$  33FF          xor     edi, edi

004013C4  |.  33DB          xor     ebx, ebx

004013C6  |>  8A1E          /mov     bl, byte ptr [esi]

004013C8  |.  84DB          |test    bl, bl                          ;  如果迭代结束

004013CA  |.            |je      short 004013D1                  ;  跳出循环

004013CC  |.  03FB          |add     edi, ebx                        ;  累加字符值

004013CE  |.              |inc     esi                             ;  循环变量自增

004013CF  |.^ EB F5         \jmp     short 004013C6

004013D1  \>  C3            retn                                     ;  结果保存在edi

004013D2  /$  2C          sub     al,

004013D4  |.            mov     byte ptr [esi], al

004013D6  \.  C3            retn

4013D8处汇编代码:

004013D8  /$  33C0          xor     eax, eax

004013DA  |.  33FF          xor     edi, edi

004013DC  |.  33DB          xor     ebx, ebx

004013DE  |.  8B7424      mov     esi, dword ptr [esp+]           ;  取序列号

004013E2  |>  B0 0A         /mov     al, 0A

004013E4  |.  8A1E          |mov     bl, byte ptr [esi]

004013E6  |.  84DB          |test    bl, bl                          ;  如果迭代结束

004013E8  |.   0B         |je      short 004013F5                  ;  则跳出循环

004013EA  |.  80EB        |sub     bl,                           ;  将字符转化为它对应的数字

004013ED  |.  0FAFF8        |imul    edi, eax

004013F0  |.  03FB          |add     edi, ebx

004013F2  |.              |inc     esi                             ;  循环变量自增

004013F3  |.^ EB ED         \jmp     short 004013E2

004013F5  |>  81F7  xor     edi,                         ;  结果与0x1234异或

004013FB  |.  8BDF          mov     ebx, edi                         ;  存入ebx

004013FD  \.  C3            retn

以上就是关键处代码,通过观察不难发现,该程序采用的是非明码比较(F(用户名)=F(序列号))。这样的程序我们用高级语言写出F(用户名),再算出F(序列号)的逆算法即可。

打开http://www.cnblogs.com/ZRBYYXDM/p/5115596.html中搭建的框架,修改OnBtnDecrypt函数如下:

void CKengen_TemplateDlg::OnBtnDecrypt()

{

    // TODO: Add your control notification handler code here

    CString str;

    GetDlgItemText( IDC_EDIT_NAME,str );                    //获取用户名字串基本信息。

    int len = str.GetLength();

    bool StrIsOk = true;

    for ( int i =  ; i != len ; i++ ){

        if ( str[i] < 0x41 ){

            StrIsOk = false;

            break;

        }

    }

    if ( StrIsOk ){                                            //格式控制。

        str.MakeUpper();                                    //转化为大写。

        unsigned int sum = ;

        int i;

        for ( i =  ; i != len ; i++ )

            sum += str[i];

        sum ^= 0x5678;

        /*

        //模拟F(序列号)

        CString Serial = "1234";

        unsigned int res = 0,num = 0;

        int al = 0xA;

        for ( i = 0 ; i != len ; i++ ){

            num = Serial[i] - 0x30;

            res *= al;

            res += num;

        }

        res ^= 0x1234;

        */

        //写出F(序列号)的逆算法

        /*

            一开始想的是进行异或操作后,逆向整个for循环,类似于从最后一个元素Serial[len]反推,

            res-=num;res/=al;这样,但发现要求的就是num的值,感觉该函数根本不可逆。

            想来想去只好翻书看看有没有求解方法,发现程序与《解密与解密》P107处的Serial程序算法居然一样。

            原来F(序列号)中的for循环只是将字串转化为了它对应的十进制数!最后做了一个异或而已。

            也就是说,将F(用户名)的结果与0x1234进行异或,得出的就是本来的序列号!

            通过这次破解,我知道了逆向不一定要微观上一步步反推,还可以从宏观上判断函数到底做了什么。

        */

        str.Format( "%d",( sum ^ 0x1234 ) );

        SetDlgItemText( IDC_EDIT_PASSWORD,str );

    }

    else

        MessageBox( "用户名格式错误!" );

}

再在OnInitDialog中添加此代码修改标题:SetWindowText(_T("CRACKME_Keygen"));

运行效果:

-------------------------------------------------------------------------------------------------------------------

后记:

  在测试注册机时发现了一个问题,当输入的字串长度过长,注册机算出的序列号是错误的。反复确认算法无误之后,怀疑是CRACKME中的字串有“猫腻”。这里,对GetDlgItemText下断点:

004012B5  |.  6A 0B         |push    0B                              ; /Count = B (11.)

004012B7  |.   8E214000   |push    0040218E                        ; |Buffer = CRACKME.0040218E

004012BC  |.   E8030000   |push    3E8                             ; |ControlID = 3E8 (1000.)

004012C1  |.  FF75        |push    dword ptr [ebp+]               ; |hWnd

004012C4  |.  E8    |call    <jmp.&USER32.GetDlgItemTextA>   ; \GetDlgItemTextA

对比GetDlgItemText的定义:

int GetDlgItemText( HWND hDlg , int nID, LPTSTR lpStr, int nMaxCount) const;

nID 指定了要获取其标题的控件的整数标识符。 lpStr 指向要接收控件的标题或文本的缓冲区。 nMaxCount 指定了要拷贝到lpStr的字符串的最大长度(以字节为单位)。如果字符串比nMaxCount要长,它将被截断。 rString 对一个CString对象的引用。

nMaxCount 在程序中被设为11,实际保存的字符也就是10个。怪不得过长的用户名算出的序列号是错误的。这里,我们将OnBtnDecrypt函数的if ( StrIsOk )判断语句做个改动,在开始处增加一行代码:str = str.Left( 10 );就可以解决问题。

破解 crackme(“不可逆“函数)的更多相关文章

  1. 破解 CrackMe#1 [UBC] by bRaINbuSY

    系统 : Windows xp 程序 : CrackMe#1 程序下载地址 :http://pan.baidu.com/s/1nuagj6h 要求 : 编写注册机 使用工具 :IDA & OD ...

  2. 软件破解入门(暴力破解CrackMe)

    ---恢复内容开始--- 所谓暴力破解,就是通过修改汇编代码进而控制程序的运行流程,达到不需注册码也能正常使用软件的目的.相对于解出算法进而编写注册机,暴破的技术含量是比较低的.但也正是因为一本05年 ...

  3. 破解 crackme(完全拆解警告窗口)

    系统 : Windows xp 程序 : crackme 程序下载地址 :http://pan.baidu.com/s/1kUrbcAr 要求 : 注册机编写 & 去除Nag窗口 使用工具 : ...

  4. obdg反汇编破解crackme

    obdg是一个反汇编软件 直接将要反汇编的exe文件拖入或者file->open打开文件,等待一段时间就会显示出来 界面中分别为汇编代码(程序内存内容),寄存器内容,数据内存内容,栈内容 代码界 ...

  5. 如何通过Python暴力破解网站登陆密码

    首先申明,该文章只可以用于交流学习,不可以用于其他用途,否则后果自负. 现在国家对网络安全的管理,越来越严,但是还是有一些不法网站逍遥法外,受限于国内的人力.物力,无法对这些网站进行取缔. 今天演示的 ...

  6. 分享总结:更好地CodeReview

            代码质量分享    2016_06_24_舒琴_代码质量.key    For 代码提交人     基本原则 Review时机: 对于普通bugfix或优化,CodeReview最迟要 ...

  7. 逆向project实战--Acid burn

    0x00 序言 这是第二次破解 crackme 小程序,感觉明显比第一次熟练.破解过程非常顺利,差点儿是分分钟就能够找到正确的 serial,可是我们的目标是破解计算过程.以下将具体介绍. 0x01 ...

  8. 【转】PHP代码审计

    PHP代码审计 目录 1. 概述3 2. 输入验证和输出显示3 2.1 命令注入4 2.2 跨站脚本4 2.3 文件包含5 2.4 代码注入5 2.5 SQL注入6 2.6 XPath注入6 2.7 ...

  9. CodeReview实践与总结

    CodeReview 是大型软件工程中公认的必不可少的保证工程质量的重要手段之一.但凡正规软件作战军团都是非常重视 CodeReview 的作用和意义的.那么,如何做好 CodeReview 呢?这里 ...

随机推荐

  1. .net读取xml文件中文乱码问题解决

    读取XML的编码方式Encoding.UTF8 要和<?xml version="1.0" encoding="utf-8"?>的encoding ...

  2. Java 中equals和toString()方法重写

    1,equals方法 (1)什么时候需要重写? 如果希望不同内存但相同内容的两个对象equals时返回true,则需要重写equals (2)怎么重写? class A { public int i; ...

  3. 前端面试题之nina分享

    HTML相关 1.<!DOCTYPE>标签的定义与用法. <!DOCTYPE>的定义: <!DOCTYPE>声明位于文档中的最前面的位置,处于<html> ...

  4. 石子归并问题(nyoj737)

    石子合并(一) 时间限制:1000 ms  |  内存限制:65535 KB 难度:3   描述     有N堆石子排成一排,每堆石子有一定的数量.现要将N堆石子并成为一堆.合并的过程只能每次将相邻的 ...

  5. Linux 远程桌面控制

    我现在知道有两种方式: 1.直接使用Gnome桌面的远程控制功能.在服务器端登录到gnome桌面,然后在系统菜单中打开远程桌面配置,勾选允许远程即可.这种方式客户端和服务器的两种操作将保持同步,也就是 ...

  6. Qt 制作安装包

    Qt 制作在线.离线 安装包 见如下文档

  7. POJ 1753 Flip Game 状态压缩,暴力 难度:1

    Flip Game Time Limit: 1000MS  Memory Limit: 65536K  Total Submissions: 4863  Accepted: 1983 Descript ...

  8. EasyMock的原理及使用方法

    就不费劲转过来了https://www.ibm.com/developerworks/cn/opensource/os-cn-easymock/这上面介绍的比较全.

  9. for循环往Oracle中插入n条数据,主键自增

    1.主键自增实现方法:http://www.cnblogs.com/Donnnnnn/p/5959871.html 2.for循环往Oracle中插入n条数据 BEGIN .. loop insert ...

  10. python操作二进制文件

    有的时候需要用python处理二进制数据,比如,存取文件,socket操作时.这时候,可以使用python的struct模块来完成.可以用 struct来处理c语言中的结构体. struct模块中最重 ...