系统 : Windows xp

程序 : CrackMe#1

程序下载地址 :http://pan.baidu.com/s/1nuagj6h

要求 : 编写注册机

使用工具 :IDA & OD

可在看雪论坛中查找关于此程序的破文:http://bbs.pediy.com/showthread.php?t=29063

IDA载入程序,找出提示破解成功的字串“You cracked the UBC CrackMe#1 ! Please send your solution to ubcrackers@hotmail.com !”并定位关键代码:

  /.              push    ebp

  |.  8BEC          mov     ebp, esp

  |.  6A          push

  |.              push    ebx

  |.  8BD8          mov     ebx, eax

  |.  33C0          xor     eax, eax

0045880A  |.              push    ebp

0045880B  |.      push

  |.  :FF30       push    dword ptr fs:[eax]

  |.  :       mov     dword ptr fs:[eax], esp

  |.  E8 45FFFFFF   call                             ;  获取用户名

0045881B  |.  8D55 FC       lea     edx, dword ptr [ebp-]           ;  取一段内存

0045881E  |.  8B83 D0020000 mov     eax, dword ptr [ebx+2D0]

  |.  E8 97CDFCFF   call    004255C0                         ;  获取序列号

  |.  8B45 FC       mov     eax, dword ptr [ebp-]           ;  取序列号

0045882C  |.  E8 43EFFAFF   call                             ;  F(序列号)

  |.  3B05 44B84500 cmp     eax, dword ptr [45B844]

  |.   1B         jnz     short

  |.  B8    mov     eax,                     ;  ASCII "You cracked the UBC CrackMe#1 ! Please send your solution to ubcrackers@hotmail.com !"

0045883E  |.  E8 29C1FEFF   call    0044496C

  |.  BA E8884500   mov     edx, 004588E8                    ;  ASCII "CRACKED"

  |.  A1 3CB84500   mov     eax, dword ptr [45B83C]

0045884D  |.  E8 9ECDFCFF   call    004255F0

  |.  EB 0A         jmp     short 0045885E

  |>  B8 F8884500   mov     eax, 004588F8                    ;  ASCII "Try Again !"

  |.  E8 0EC1FEFF   call    0044496C

进入F(序列号):

  /$              push    ebp

  |.  8BEC          mov     ebp, esp

  |.  83C4 F0       add     esp, -

0040777A  |.              push    ebx

0040777B  |.              push    esi

0040777C  |.  33D2          xor     edx, edx

0040777E  |.   F8       mov     dword ptr [ebp-], edx

  |.  8BD8          mov     ebx, eax

  |.  33C0          xor     eax, eax

  |.              push    ebp

  |.   DC774000   push    004077DC

0040778B  |.  :FF30       push    dword ptr fs:[eax]

0040778E  |.  :       mov     dword ptr fs:[eax], esp

  |.  8D55 FC       lea     edx, dword ptr [ebp-]

  |.  8BC3          mov     eax, ebx

  |.  E8 D9B1FFFF   call                             ;  关键call

0040779B  |.  8BF0          mov     esi, eax

0040779D  |.  837D FC     cmp     dword ptr [ebp-],

004077A1  |.            je      short 004077C6

004077A3  |.  8D55 F8       lea     edx, dword ptr [ebp-]

004077A6  |.  A1 90A44500   mov     eax, dword ptr [45A490]

004077AB  |.  E8 A4D6FFFF   call    00404E54

004077B0  |.  8B45 F8       mov     eax, dword ptr [ebp-]

004077B3  |.              push    eax

004077B4  |.  895D F0       mov     dword ptr [ebp-], ebx

004077B7  |.  C645 F4 0B    mov     byte ptr [ebp-C], 0B

004077BB  |.  8D55 F0       lea     edx, dword ptr [ebp-]

004077BE  |.  33C9          xor     ecx, ecx

004077C0  |.              pop     eax

004077C1  |.  E8 A6FCFFFF   call    0040746C

004077C6  |>  33C0          xor     eax, eax

004077C8  |.  5A            pop     edx

004077C9  |.              pop     ecx

004077CA  |.              pop     ecx

004077CB  |.  :       mov     dword ptr fs:[eax], edx

004077CE  |.   E3774000   push    004077E3

004077D3  |>  8D45 F8       lea     eax, dword ptr [ebp-]

004077D6  |.  E8 0DC0FFFF   call    004037E8

004077DB  \.  C3            retn

关键call:

  /$              push    ebx

  |.              push    esi

  |.              push    edi

  |.  89C6          mov     esi, eax

  |.              push    eax

0040297A  |.  85C0          test    eax, eax                         ;  序列号为空?

0040297C  |.            je      short 004029F1

0040297E  |.  31C0          xor     eax, eax

  |.  31DB          xor     ebx, ebx

  |.  BF CCCCCC0C   mov     edi, 0CCCCCCC

  |>  8A1E          /mov     bl, byte ptr [esi]              ;  迭代序列号

  |.              |inc     esi

0040298A  |.  80FB        |cmp     bl,                           ;  字符 = 0x20?

0040298D  |.^  F8         \je      short                   ;  不是则退出循环

0040298F  |.  B5          mov     ch,

  |.  80FB 2D       cmp     bl, 2D                           ;  Switch (cases 24..78)

  |.            je      short 004029FF

  |.  80FB 2B       cmp     bl, 2B                           ;  ‘+’

  |.            je      short 00402A01

0040299B  |.  80FB        cmp     bl,

0040299E  |.            je      short 00402A06

004029A0  |.  80FB        cmp     bl,

004029A3  |.            je      short 00402A06

004029A5  |.  80FB        cmp     bl,

004029A8  |.   5C         je      short 00402A06

004029AA  |.  80FB        cmp     bl,

004029AD  |.            jnz     short 004029C2

004029AF  |.  8A1E          mov     bl, byte ptr [esi]               ;  Case 30 ('0') of switch 00402991

004029B1  |.              inc     esi

004029B2  |.  80FB        cmp     bl,

004029B5  |.   4F         je      short 00402A06

004029B7  |.  80FB        cmp     bl,

004029BA  |.   4A         je      short 00402A06

004029BC  |.  84DB          test    bl, bl

004029BE  |.            je      short 004029E0

004029C0  |.  EB          jmp     short 004029C6

004029C2  |>  84DB          test    bl, bl                           ;  Default case of switch 00402991

004029C4  |.            je      short 004029FA                   ;  为空则跳转

004029C6  |>  80EB        /sub     bl,

004029C9  |.  80FB        |cmp     bl,                            ;  高于9?

004029CC  |.   2C         |ja      short 004029FA

004029CE  |.  39F8          |cmp     eax, edi                        ;  高于0CCCCCCC?

004029D0  |.            |ja      short 004029FA

004029D2  |.  8D0480        |lea     eax, dword ptr [eax+eax*]      ;  eax = eax + eax*4

004029D5  |.  01C0          |add     eax, eax                        ;  eax += eax

004029D7  |.  01D8          |add     eax, ebx                        ;  累加

004029D9  |.  8A1E          |mov     bl, byte ptr [esi]              ;  取下一个字符

004029DB  |.              |inc     esi

004029DC  |.  84DB          |test    bl, bl                          ;  不为空?

004029DE  |.^  E6         \jnz     short 004029C6

004029E0  |>  FECD          dec     ch

004029E2  |.            je      short 004029F4

004029E4  |.  85C0          test    eax, eax

004029E6  |.  7C          jl      short 004029FA

004029E8  |>              pop     ecx

004029E9  |.  31F6          xor     esi, esi

004029EB  |>            mov     dword ptr [edx], esi

004029ED  |.  5F            pop     edi

004029EE  |.  5E            pop     esi

004029EF  |.  5B            pop     ebx

004029F0  |.  C3            retn

再回去看看程序流程中的关键比对,将eax与45B844处的数据进行对比。这里,对45B844下写入断点,重新运行程序发现关键算法:

004587A2  |.  33C0          xor     eax, eax                         ;  清空eax

004587A4  |.            mov     dword ptr [ebx], eax             ;  对内存置零

004587A6  |.  8B07          mov     eax, dword ptr [edi]             ;  取用户名

004587A8  |.  E8 B7B2FAFF   call    00403A64                         ;  计算长度

004587AD  |.  85C0          test    eax, eax                         ;  为空?

004587AF  |.  7E          jle     short 004587CA

004587B1  |.  C706  mov     dword ptr [esi],

004587B7  |>  8B17          /mov     edx, dword ptr [edi]            ;  取用户名

004587B9  |.  8B0E          |mov     ecx, dword ptr [esi]

004587BB  |.  0FB6540A FF   |movzx   edx, byte ptr [edx+ecx-]       ;  迭代字串

004587C0  |.  C1E2        |shl     edx,                           ;  逻辑左移3位

004587C3  |.            |add     dword ptr [ebx], edx            ;  与内存值累加

004587C5  |.  FF06          |inc     dword ptr [esi]                 ;  循环变量自增

004587C7  |.              |dec     eax                             ;  长度-1

004587C8  |.^  ED         \jnz     short 004587B7

004587CA  |>  8B07          mov     eax, dword ptr [edi]

004587CC  |.  E8 93B2FAFF   call    00403A64                         ;  计算长度

004587D1  |.  C1E0        shl     eax,                            ;  长度逻辑左移3位

004587D4  |.            add     dword ptr [ebx], eax             ;  与内存值累加

004587D6  |.  8B03          mov     eax, dword ptr [ebx]

004587D8  |.  C1E0        shl     eax,                            ;  长度逻辑左移2位

004587DB  |.            mov     dword ptr [ebx], eax             ;  存入内存

004587DD  |.  33C0          xor     eax, eax

004587DF  |.  5A            pop     edx

004587E0  |.              pop     ecx

004587E1  |.              pop     ecx

004587E2  |.  :       mov     dword ptr fs:[eax], edx

004587E5  |.   FA874500   push    004587FA

004587EA  |>  8D45 FC       lea     eax, dword ptr [ebp-]

004587ED  |.  E8 F6AFFAFF   call    004037E8

004587F2  \.  C3            retn

至此,程序算法流程已经分析得差不多了。马上动手编写注册机。

我们直接打开http://www.cnblogs.com/ZRBYYXDM/p/5115596.html中搭建的框架,并修改OnBtnDecrypt函数如下:

void CKengen_TemplateDlg::OnBtnDecrypt()

{

    // TODO: Add your control notification handler code here

    CString str;

    GetDlgItemText( IDC_EDIT_NAME,str );                    //获取用户名字串基本信息。

    int len = str.GetLength();

    int FNameres = ;

    if ( len !=  ){                                        //格式控制。

        for ( int i =  ; i != len ; i++ )

            FNameres += str[i] << ;

        FNameres += len << ;

        FNameres = FNameres << ;

        //模拟F(序列号):十进制转化十六进制

        /*

            CString serial = "1234";

            int FSelres = 0;

            for ( int j = 0 ; j != serial.GetLength() ; j++ ){

                FSelres *= 10;

                FSelres += ( serial[j] - 0x30 );

            }

        */

        if ( FNameres > 0x0CCCCCCC )

            return ;

        CString PassWord;

        PassWord.Format( "%d",FNameres );

        SetDlgItemText( IDC_EDIT_PASSWORD,PassWord );

    }

    else

        MessageBox( "用户名格式错误!" );

}

再在OnInitDialog中添加此代码修改标题:SetWindowText(_T("crackme1_Keygen"));

运行效果:

破解 CrackMe#1 [UBC] by bRaINbuSY的更多相关文章

  1. 破解 crackme(“不可逆“函数)

    系统 : Windows xp 程序 : crackme 程序下载地址 :http://pan.baidu.com/s/1i41oh9r 要求 : 注册机编写 使用工具 : IDA Pro & ...

  2. 软件破解入门(暴力破解CrackMe)

    ---恢复内容开始--- 所谓暴力破解,就是通过修改汇编代码进而控制程序的运行流程,达到不需注册码也能正常使用软件的目的.相对于解出算法进而编写注册机,暴破的技术含量是比较低的.但也正是因为一本05年 ...

  3. 破解 crackme(完全拆解警告窗口)

    系统 : Windows xp 程序 : crackme 程序下载地址 :http://pan.baidu.com/s/1kUrbcAr 要求 : 注册机编写 & 去除Nag窗口 使用工具 : ...

  4. obdg反汇编破解crackme

    obdg是一个反汇编软件 直接将要反汇编的exe文件拖入或者file->open打开文件,等待一段时间就会显示出来 界面中分别为汇编代码(程序内存内容),寄存器内容,数据内存内容,栈内容 代码界 ...

  5. CommandoVM-虚拟机映像文件 | VM打开直接用

    呵呵!自从火眼发布了这个CommandoVM,想必大家应该都挺激动,然而实际操作一下,基本炸裂-- 因为并没有给类似于kali这种直接安装的现成镜像,而是要通过github的脚本去完全网络安装 实际操 ...

  6. 逆向project实战--Acid burn

    0x00 序言 这是第二次破解 crackme 小程序,感觉明显比第一次熟练.破解过程非常顺利,差点儿是分分钟就能够找到正确的 serial,可是我们的目标是破解计算过程.以下将具体介绍. 0x01 ...

  7. macOS逆向-如何分析macOS软件

    目录 macOS逆向-如何分析macOS软件 0x00 前言: 0x01 分析环境搭建: 安装Clang 安装Radare2 关于HT Editor 什么是Radare2 Radare2的手动安装 测 ...

  8. 破解 Rith's CrackMe #1(对比IDA查看动态分析中的MFC函数名)

    系统 : Windows xp 程序 : Rith's CrackMe #1 程序下载地址 :http://pan.baidu.com/s/1gecW9Qr 要求 : 注册机编写 使用工具 : IDA ...

  9. IOS CrackMe 破解学习

    一直在看别人如何破解一个app,下面自己也尝试着学习怎么去破解一个app的密码,下面是完整的过程. 准备工作: 一台mac或者pc安装了ssh客户端 一台越狱的iphone iphone上安装了ope ...

随机推荐

  1. 20145236 《Java程序设计》实验二实验报告

    北京电子科技学院(BESTI)实验报告 课程:Java程序设计 班级:1452 指导教师:娄嘉鹏 实验日期:2016.04.08 实验名称: Java面向对象程序设计 实验内容: 初步掌握单元测试和T ...

  2. 数据库索引<二> 如何创建索引

    前面一篇说法了索引结构,和几种索引在数据表上的结构,了解了索引可以为查询服务,这篇说一说如何创建索引. >平时可能的创建方式 这个系统中要用到A字段,B字段,C字段做为查询的条件,联接的条件较多 ...

  3. MySql查找几个字段的值一样的记录

    ),name,class,charge_start,charge_end ) ; 注意:having在这里起到很大的作用,只有在having中,才可以对类似sum(),count()等等复合函数的结果 ...

  4. BZOJ1595 [Usaco2008 Jan]人工湖

    直接模拟...从最低的开始向两边拓展= = /************************************************************** Problem: 1595 ...

  5. 集群(cluster)原理(转)

      1.什么是集群 集群(cluster)就是一组计算机,他们作为整体向用户提供一组网络资源.这些单个的计算机系统就是集群的节点(node).一个理想的集群是,用户从不会意识到集群系统底层的节点,在他 ...

  6. Octopus系列之更新历史记录

    更新笔记历史 2015.2.3 更新了产品价格的计算方法     --采用了通用化的一个处理[支持各个国家货币]更新产品价格,增加两组价格:一组用来进行前台的展示:一组用来进行后台的计算更新了产品分类 ...

  7. easy_install jinja2 mac linux

    error: can't create or remove files in install directory The following error occurred while trying t ...

  8. centos ssh配置使用

    配置 数据阶梯 CentOS SSH配置 默认CentOS已经安装了OpenSSH,即使你是最小化安装也是如此.所以这里就不介绍OpenSSH的安装了. SSH配置: 1.修改vi /etc/ssh/ ...

  9. 戴文的Linux内核专题:04安全

    转自Linux中国 Linux内核是所有Linux系统的核心.如果有任何恶意代码控制或破害了内核的任何一部分,那么系统会严重受损,文件可能被删除或损坏,私人信息可能被盗等等.很明显,保持内核安全涉及到 ...

  10. 蓝桥杯 algo——6 安慰奶牛 (最小生成树)

    问题描述 Farmer John变得非常懒,他不想再继续维护供奶牛之间供通行的道路.道路被用来连接N个牧场,牧场被连续地编号为1到N.每一个牧场都是一个奶牛的家.FJ计 划除去P条道路中尽可能多的道路 ...