首页
论坛
课程
招聘
一个简单的CrackMe破解
2018-12-30 16:01 5979

一个简单的CrackMe破解

2018-12-30 16:01
5979

加密与解密买了有半个多月了,一直在学习。昨天把书的第五章看完了,理论知道后,技术只能通过大量的练习来提高。以我现在的水平,难度大的也不会,所以就挑些简单的来练习。

 

这个例子是《加密与解密 第四版》第五章中附带的2007年的CrackMe中给的。破解的作者是 爱在天涯 大佬,不过看到最后,大佬可能是困了,不分析了。这个例子对我来说,不算简单,但稍微思考一下,应该可以做出来。

 

新手破解,会存在很多纰漏,望大佬们加以指正,感谢。

 

 

根据错误提示,来到关键代码处:

00401139   $  6A 32         push    32                               ; /Count = 32 (50.)
0040113B   .  68 F3204000   push    004020F3                         ; |Buffer = Crackme1.004020F3
00401140   .  68 C8000000   push    0C8                              ; |ControlID = C8 (200.)
00401145   .  FF75 08       push    dword ptr [ebp+8]                ; |hWnd
00401148   .  E8 DE000000   call    <jmp.&USER32.GetDlgItemTextA>    ; \GetDlgItemTextA
0040114D   .  83F8 00       cmp     eax, 0                           ;  空字符串
00401150   .  0F84 99000000 je      004011EF                         ;  失败
00401156   .  83F8 04       cmp     eax, 4
00401159   .  0F82 90000000 jb      004011EF                         ;  长度<4,失败
0040115F   .  33C9          xor     ecx, ecx                         ;  i = 0
00401161   .  33DB          xor     ebx, ebx
00401163   .  33F6          xor     esi, esi                         ;  sum = 0
00401165   .  8945 FC       mov     dword ptr [ebp-4], eax           ;  len = strlen(name)
00401168   >  0FBE81 F32040>movsx   eax, byte ptr [ecx+4020F3]
0040116F   .  83F8 20       cmp     eax, 20
00401172   .  74 07         je      short 0040117B                   ;  如果是空格,忽略,进行下一个循环
00401174   .  6BC0 04       imul    eax, eax, 4                      ;  用户名的单个字符的16进制*4
00401177   .  03D8          add     ebx, eax
00401179   .  8BF3          mov     esi, ebx                         ;  sum = sum+eax*4
0040117B   >  41            inc     ecx
0040117C   .  3B4D FC       cmp     ecx, dword ptr [ebp-4]
0040117F   .^ 75 E7         jnz     short 00401168                   ;  未处理完毕,继续循环
00401181   .  83FE 00       cmp     esi, 0
00401184   .  74 69         je      short 004011EF
00401186   .  BB 89476500   mov     ebx, 654789                      ;  tmp = 0x654789
0040118B   >  0FBE81 F22040>movsx   eax, byte ptr [ecx+4020F2]       ;  注册码的倒序
00401192   .  4B            dec     ebx                              ;  tmp--
00401193   .  6BC3 02       imul    eax, ebx, 2
00401196   .  03D8          add     ebx, eax                         ;  tmp = tmp * 0x2
00401198   .  4B            dec     ebx                              ;  tmp--
00401199   .  49            dec     ecx                              ;  len - 1
0040119A   .^ 75 EF         jnz     short 0040118B
0040119C   .  56            push    esi                              ; /<%lu>
0040119D   .  53            push    ebx                              ; |<%lX>
0040119E   .  68 C7204000   push    004020C7                         ; |Format = "BS-%lX-%lu"
004011A3   .  68 BB214000   push    004021BB                         ; |s = Crackme1.004021BB
004011A8   .  E8 6C000000   call    <jmp.&USER32.wsprintfA>          ; \wsprintfA
004011AD   .  58            pop     eax
004011AE   .  58            pop     eax
004011AF   .  58            pop     eax
004011B0   .  58            pop     eax
004011B1   .  E8 01000000   call    004011B7
004011B6   .  C3            retn
004011B7   $  33C9          xor     ecx, ecx
004011B9   .  6A 32         push    32                               ; /Count = 32 (50.)
004011BB   .  68 57214000   push    00402157                         ; |Buffer = Crackme1.00402157
004011C0   .  68 C9000000   push    0C9                              ; |ControlID = C9 (201.)
004011C5   .  FF75 08       push    dword ptr [ebp+8]                ; |hWnd
004011C8   .  E8 5E000000   call    <jmp.&USER32.GetDlgItemTextA>    ; \GetDlgItemTextA
004011CD   .  83F8 00       cmp     eax, 0
004011D0   .  74 1D         je      short 004011EF                   ;  注册码为0,失败
004011D2   .  33C9          xor     ecx, ecx                         ;  j = 0
004011D4   >  0FBE81 572140>movsx   eax, byte ptr [ecx+402157]       ;  获取注册码首位
004011DB   .  0FBE99 BB2140>movsx   ebx, byte ptr [ecx+4021BB]       ;  取正确的注册码首位
004011E2   .  3BC3          cmp     eax, ebx
004011E4   .  75 09         jnz     short 004011EF                   ;  不相等,失败
004011E6   .  83F8 00       cmp     eax, 0
004011E9   .  74 19         je      short 00401204                   ;  输入的注册码为NULL,失败
004011EB   .  41            inc     ecx                              ;  j++
004011EC   .^ EB E6         jmp     short 004011D4                   ;  继续比较下一位
004011EE   .  C3            retn
004011EF   >  6A 10         push    10                               ; /Style = MB_OK|MB_ICONHAND|MB_APPLMODAL
004011F1   .  68 E4204000   push    004020E4                         ; |Title = "Nope"
004011F6   .  68 E9204000   push    004020E9                         ; |Text = "Try again"
004011FB   .  FF75 08       push    dword ptr [ebp+8]                ; |hOwner
004011FE   .  E8 34000000   call    <jmp.&USER32.MessageBoxA>        ; \MessageBoxA
00401203   .  C3            retn
00401204   >  6A 40         push    40                               ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL
00401206   .  68 D2204000   push    004020D2                         ; |Title = "Solved"
0040120B   .  68 D9204000   push    004020D9                         ; |Text = "Well done."
00401210   .  FF75 08       push    dword ptr [ebp+8]                ; |hOwner
00401213   .  E8 1F000000   call    <jmp.&USER32.MessageBoxA>        ; \MessageBoxA
00401218   .  C3            retn

可以看到,程序调用了两次GetDlgItemTextA(),不出意外,分别是获取用户名和注册码。
具体的分析可以看注释。

 

贴一个简单的注册机:

/*

reference:http://bbs.pediy.com/showthread.php?threadid=10533 
author:lingyin
date:2018-12-30

*/

#include<string.h>
#include<stdio.h>

int main()
{
    char name[20];
    int i,sum = 0;
    int len = 0;
    char ch;
    int tmp = 0x654789;

    printf("请输入要破解的账号:\n");
    scanf("%s",name);
    len = strlen(name);

    if(len < 4)
    {
        printf("请至少输入4个字符!!!!");
        return;
    }

    //printf("%d",strlen(name));
    //printf("%s\n",name);

    for(i = 0;i < len;i++)
    {
        ch = name[i];

        if(ch < 0x20)
            return;

        sum += ch * 0x4;


    }

    for(i = len-1;i >= 0;i--)
    {
        ch = name[i];
        tmp--;
        tmp += tmp*0x2;
        tmp--;

    }


    //输出最后的正确的注册码
    printf("BS-%lX-%lu\n",tmp,sum);

    getch();
    return 0;

}

 

输入pediy,会输出注册码:BS-6022E527-2156.
这个注册机,我测试了几个账号,没问题,如果哪位朋友,发现存在BUG,麻烦告诉我,万分感谢.


【公告】看雪团队招聘安全工程师,将兴趣和工作融合在一起!看雪20年安全圈的口碑,助你快速成长!

上传的附件:
收藏
点赞2
打赏
分享
最新回复 (5)
雪    币: 1176
活跃值: 活跃值 (308)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wasdzjh 活跃值 2019-3-14 11:59
2
0
什么时候才能达到你的水平,希望大佬指点一二,希望继续出好的文章!
雪    币: 230
活跃值: 活跃值 (82)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
Delort 活跃值 2019-3-15 10:30
3
0
写的很详细了,给个赞
雪    币: 4916
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
绝世银月 活跃值 2019-3-17 18:24
4
0
wasdzjh 什么时候才能达到你的水平,希望大佬指点一二,希望继续出好的文章!
你看完这篇文章的第一个想法是什么?
雪    币: 1176
活跃值: 活跃值 (308)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wasdzjh 活跃值 2019-3-18 11:53
5
0
我觉得这样的文章适合我,希望楼主可以推荐几本书,汇编,算法,这类书籍就可以。
雪    币: 4916
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
绝世银月 活跃值 2019-3-18 14:26
6
1
wasdzjh 我觉得这样的文章适合我,希望楼主可以推荐几本书,汇编,算法,这类书籍就可以。
相信你有这样的想法,你已经根据思路重现了吧
游客
登录 | 注册 方可回帖
返回