The049. 反汇编练习,适合破解新手的160个CrackMe [005] 之 [爆破+懵圈]
(编辑:jimmy 日期: 2024/12/28 浏览:3 次 )
The049. 反汇编练习,适合破解新手的160个CrackMe [005] 之 [爆破+懵圈]
反汇编实战练手,下面是我的学习记录,如有疑问欢迎交流指正。^_^
被试程序合集下载:帖子https://www.52pojie.cn/thread-1598336-1-1.html
0x0、查壳,[UPX exe - NRV2E/7 compression (32 bit ) ASL sign ],需要先脱壳。
0x2、ESP定律法,快速脱掉UPX,Delphi语言编写。
0x3、熟悉程序流程,输入注册名,点注册没有反应,点击滚动文字,提示【注册尚未成功,同志仍需努力! 】。
0x4、OD载入dumped_.exe文件,只有脱壳文件才能搜索字符串,Ctrl+D搜索一下,发现了【厉害厉害真厉害】字样,双击到反汇编窗口,向上寻找跳转,发现了5个跳转均跳过了注册成功。
0x5、将5个跳转全部NOP掉,保存文件为1.exe。
0x6、运行1.exe,糊里糊涂的爆破成功了。
0x7、这里必须要说明,我翻阅了好多大牛的文章,这个CM太变态了,不是萌新能理解的,起码我是被干趴下了。下面我将大牛分析的内容记录下来,希望能有更加通俗易通的教程出现供大家学习。
本CM变态的注册流程(共八步):
第一步:新建一个路径为X:\ajj.126.c0m\j\o\j\o\ok.txt的文本文件,文件内容的二进制为20 61 6A 6A D0 B4 B5 C4 43 4B 6D 65 D5 E6 C0 C3 21 FF FF,给出二进制的原因主要是因为后面两个字符FF FF打文本打不出来,这句话的文本显示为【 ajj写的CKme真烂!??】,这个文件的作用就是会在界面中多显示出一个输入框(Edit2),但是初始是禁用状态的,输不了内容;
1)OD中修改X盘为C盘,保存为111.exe。
2)新建ok.txt文件,放到C:\ajj.126.c0m\j\o\j\o\目录下。奇怪的是,ok.txt中我没有输入任何内容,111.exe打开同样显示了Edit2编辑框,此时编辑框未激活,不能输入内容。
第二步:打开程序,初始化完成之后,鼠标右键点击“注册”按钮5次。记住一定是鼠标右键,而且必须是点击5次;
第三步:在显示图片的图片框中双击没有图片显示的地方。这一步完成之后,输入框Edit2就被激活可以输入内容了;
第四步:输入注册名和Edit2内容。这两个输入的内容也是有要求的,注册名长度必须是3的倍数,Edit2输入的内容长度必须为8位,且第2个字符为’_’,第6个字符为’,’。我在跟踪的时候分别输入的”Chuiyan12”和”1_345,78”;
第五步:输入完成之后,双击Edit2;
第六步:在图片3(“性相近“)出现时,移动鼠标从界面的右下角外部进入程序界面;
第七步:在图片2(“性本善“)出现时,移动鼠标从界面的左下角外部进入程序界面;
第八步:在图片4(“习相远“)出现时,鼠标左键点击1次图片4,右键点击8次图片4。注意这是最后一步,可能每台机器的状况都不一样。请勿完全按照上面说的点击,根据自己的机器摸索。其实这一步中点击图片1(“人之初“),图片2(“性本善“)、图片3(“性相近“)、图片4(“习相远“)里的哪些图片,鼠标左键和右键各点击多少次,这个是一个很复杂的算法。决定点击方式的参数就是输入的两个字符串,以及程序所在磁盘的剩余磁盘空间,在第五步的双击Edit2时候会计算出一个值存储在ds:[ebx+0x30C]中,根据这个值就可以知道如何点击图片,总之就是相当的复杂。
0x8、最终的结果我没有试验出来,以目前的能力搞不定呢,还是继续去学基础吧。
在此感谢@葫芦娃很厉害 @Pnmker @44018723几位大牛的精彩帖文!
下一篇:阅读-服务器版/摸鱼神器(txt/epub)