[原创]crackme9-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

[原创]crackme9

发表于: 2010-4-28 17:40 56334

[原创]crackme9

humourkyo

2010-4-28 17:40

56334

查看主题内容

收藏・5

免费・7

支持

最新回复 (111) ◀ 1 2 3 4 5 ▶
Cyane 雪币： 388 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 232 粉丝 0 关注私信	Cyane 1 26 楼呵呵恩谢谢指点看来还需努力吖 2010-4-30 22:11 0
csust 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	csust 27 楼观望，不断观望，不断不断观望 2010-4-30 22:31 0
tyroneking 雪币： 472 活跃值： (52) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 109 粉丝 0 关注私信	tyroneking 1 28 楼弱弱的问下，构造一个104字节的定长的函数，让它CRC32等于DFE6E3A2，这个可逆吗？ 2010-4-30 22:35 0
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 29 楼还有好多人没出现，继续保持关注 2010-5-1 00:09 0
monsterok 雪币： 603 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 360 粉丝 0 关注私信	monsterok 3 30 楼不错不错不错不错 2010-5-1 01:49 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 31 楼刚跟酒井法子处理完事情回来就看到算法大杂烩.. 下列是我猜的,请勿当真. 类Base64 MD5 Kyo XTEA RC4+解压 ? 这个实在是不懂了, 2张奇'偶表. 一点点动作是满像 RC4 的 8^x mod 2B 一路环环相扣, 最后继续选用 XTEA 解那 SMC 细节就不讲了. 复杂放弃之. ------------------------------------------------- 所谓的 Kyo 编码学应是类似这个 : (解码后会只剩原来的 3/4 长度) 以下所有取自 pediy 论坛, 跟本CM无关. 看看之 for(i=0;i<=sizeof(str)&&strIn[i]!=0x2E;i++) { if(!(i%4)) { colume=2; key=S[strIn[i]]; } else { strOut[i-1]=((key<<colume)&0xC0)\|S[strIn[i]]; colume+=2; } } 以上算法以4字节为一组，第1字节为子密钥，将其后的3字节解密，如果遇到2Eh，则停止解密。下面介绍一下该算法原理。看算法中的Magic Number：0C0h，为什么要用它呢？将它转换成2进制看看：1100 0000。它实际上就是一个掩码。子密钥的15、14位为0，0-13位为下面3字节密文的15、14位的掩码。密文的15、14位由子密钥和掩码决定，0-13位由查表得出。因为子密钥和密文字节都只用到0-13位，也就是0-39h，这就解释了上面S-Box有效值的范围。至于加密算法嘛，先将明文按3字节分组，然后将3个密文字节的15、14位组合成密钥，再换成在S-Box中的位置。密文的0-13位也分别换成在S-Box中的位置。 http://www.pediy.com/bbshtml/bbs8/pediy8-493.htm 2010-5-1 08:35 0
patapon 雪币： 695 活跃值： (25) 能力值： ( LV9，RANK：170 ) 在线值：发帖 6 回帖 128 粉丝 0 关注私信	patapon 4 32 楼大S出现了，法子姐最近可好？ 2010-5-1 08:51 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 33 楼正在说服她来拍Z片 2010-5-1 09:02 0
西风X 雪币： 51 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 145 粉丝 0 关注私信	西风X 34 楼 S牛都不玩了，俺还是放弃了，没这个实力，不自取其辱了 2010-5-1 09:29 0
humourkyo 雪币： 926 活跃值： (382) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 251 粉丝 16 关注私信	humourkyo 12 35 楼 S大所说的类base64 其实是：第一个算法也就是前40位是superdic（很老的一个字典生成器）中的核心算法，是我破了它后放我这里了。这个算比较简单的。 ccfer所说的kyo压缩算法才是s大所说的什么RC4解压。（这个才是难点）而S大所说的kyo压缩算法其实就是easychm中的一小段算法不过的确凸显S大记忆力惊人啊，一小段算法就能找到论坛里的文章？我以前都不知道有这文章。我是在半个多月前破了easychm3.84最新版把keyfile和SN放在了高级区。里面有段算法挺烦人的，我写出逆算法后就放在我这个crackme中了。 2010-5-1 10:02 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 36 楼算法的东西ccfer才是王道只好期待他要不要解啰 2010-5-1 10:15 0
humourkyo 雪币： 926 活跃值： (382) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 251 粉丝 16 关注私信	humourkyo 12 37 楼我觉得S大就像是看雪论坛的一本活字典。我估计您在学习时已经把本论坛所有精华文章都看了个遍并且全部铭记心中。 2010-5-1 10:28 0
曹无咎雪币： 136 活跃值： (1465) 能力值： ( LV6，RANK：80 ) 在线值：发帖 30 回帖 478 粉丝 1 关注私信	曹无咎 1 38 楼我等菜鸟只有膜拜的分啊 2010-5-1 11:11 0
kingstell 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 52 粉丝 0 关注私信	kingstell 39 楼来组正确的玩玩嘛 2010-5-1 15:14 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 40 楼好像真是不可逆. 但我试过靠那3个call, 可马上得出正确的的密文(input值) 所以这个编码不是问题. 不过有个疑问, 最后要解 SMC 那个 Key 似乎是独立的. 这SMC有解吗 ? 2010-5-2 07:53 0
humourkyo 雪币： 926 活跃值： (382) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 251 粉丝 16 关注私信	humourkyo 12 41 楼肯定有解。我这样做是为了防爆。关键是看你如何能得到那个KEY使CRC32值正确，并且最后CALL eax也能顺利执行使之注册成功。除了暴力也许还有其他方法吧，只是我暂不知道。以前莫拉克不是有个crc32可逆的说法吗？我没有细看，但我觉得至少我这个CRC32不太可能可逆吧，所以特来试试。这个crackme 我不会放出注册码，如果没人弄出来就当是个永远的谜吧。当然如果有给出SN的人，我肯定还是送fortify源代码扫描工具。 2010-5-2 09:50 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 42 楼看描述算法好复杂啊，不敢玩不过这样的算法就如LZ说的，不能放KEY，一个key就会真相大白了。。。。。唯有继续期待万能的穷举 2010-5-2 10:26 0
rol 雪币： 360 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 166 粉丝 0 关注私信	rol 43 楼君子报仇，十年不晚。。等我十年，说不准我就能爆了。再给我十年说不准我就能找到sn了。一定要等我。。 2010-5-2 11:56 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 44 楼支持ls等待看雪二十周年庆另外前面有人提到会崩掉, 应是这里. 供lz参考. 004017D9 \|> /E8 B2FDFFFF /call 00401590 * 004017DE \|. \|E8 9DFEFFFF \|call 00401680 004017E3 \|. \|3D 00010000 \|cmp eax, 100 * 004017E8 \|. \|A3 84524000 \|mov [405284], eax 004017ED \|.^\75 EA \jnz short 004017D9 2010-5-2 18:09 0
tyroneking 雪币： 472 活跃值： (52) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 109 粉丝 0 关注私信	tyroneking 1 45 楼给组能正常跑到 CRC32值比较[40251F] 的用户名和注册码 name = tyroneking Serial = 2CYOOQJCB5aiQS02NEBAA5VUKHLGCaKMUoXwOPBA4A337273327575773276767E4A3774764B3578374A3573754E37377E32757E7436733878337A7E334A367E76327E777A367738734B3475354A387A7A3675357832787E793678347432747674337E763550373736503835344E373379337675353672377450333835327879744E343778377635334B3579333374763632767577327376764B367837377937344E353477367734724B3777353675337A377E33374E3738744B3375374B367834367938784A387A7433727A373679357233727737367A37774E3538743377783833757A36327A7277337E7436327A777A4A367376377738364A367575327373793677347436763672337872334B3476373676357A 剩下的就是找个 KEY 去解 405128 这个函数了这个可逆吗？！ 2010-5-3 13:32 0
findlakes 雪币： 295 活跃值： (11) 能力值： ( LV5，RANK：60 ) 在线值：发帖 22 回帖 185 粉丝 0 关注私信	findlakes 1 46 楼 LS加油啊争取利用暴力穷举把KEY解出来。我**。 2010-5-3 14:53 0
findlakes 雪币： 295 活跃值： (11) 能力值： ( LV5，RANK：60 ) 在线值：发帖 22 回帖 185 粉丝 0 关注私信	findlakes 1 47 楼顶你也不让说？ 2010-5-3 14:54 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 48 楼 tyroneking强大啊 2010-5-3 17:17 0
tyroneking 雪币： 472 活跃值： (52) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 109 粉丝 0 关注私信	tyroneking 1 49 楼 S大过奖了，你都早早把他解了。找个KEY去解SMC，吧！ 004024ED \|. BE 28514000 MOV ESI,crackme9.00405128 004024F2 \|> 8D4D 9C /LEA ECX,DWORD PTR SS:[EBP-64] 004024F5 \|. 53 \|PUSH EBX ; NameMD5_4 004024F6 \|. 51 \|PUSH ECX ; [COLOR="Red"] KEY,固定KEY有任意对应的EBX？[/COLOR] 004024F7 \|. 56 \|PUSH ESI ; [COLOR="Red"]还是EBX可以任意，对ESI解码不影响（没看懂？！）？[/COLOR] 004024F8 \|. E8 F3EDFFFF \|CALL crackme9.004012F0 ; 这个是XTEA吗？没找到对应的版本，还是楼主自己改了？楼主，是不是满足长度的Name都有解？ 2010-5-3 18:29 0
humourkyo 雪币： 926 活跃值： (382) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 251 粉丝 16 关注私信	humourkyo 12 50 楼 to:tyroneking 我觉得你这问题问的很奇怪我实在无法理解你没弄懂算法怎么就能把走到倒数第2步的sn弄出来？？ 2010-5-3 18:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

humourkyo

发帖

251

回帖

500

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (111) ◀ 1 2 3 4 5 ▶
Cyane 雪币： 388 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 232 粉丝 0 关注私信	Cyane 1 26 楼呵呵恩谢谢指点看来还需努力吖 2010-4-30 22:11 0
csust 雪币： 46 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 36 粉丝 0 关注私信	csust 27 楼观望，不断观望，不断不断观望 2010-4-30 22:31 0
tyroneking 雪币： 472 活跃值： (52) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 109 粉丝 0 关注私信	tyroneking 1 28 楼弱弱的问下，构造一个104字节的定长的函数，让它CRC32等于DFE6E3A2，这个可逆吗？ 2010-4-30 22:35 0
小子贼野雪币： 347 活跃值： (25) 能力值： ( LV9，RANK：420 ) 在线值：发帖 25 回帖 891 粉丝 0 关注私信	小子贼野 10 29 楼还有好多人没出现，继续保持关注 2010-5-1 00:09 0
monsterok 雪币： 603 活跃值： (40) 能力值： ( LV9，RANK：140 ) 在线值：发帖 14 回帖 360 粉丝 0 关注私信	monsterok 3 30 楼不错不错不错不错 2010-5-1 01:49 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 31 楼刚跟酒井法子处理完事情回来就看到算法大杂烩.. 下列是我猜的,请勿当真. 类Base64 MD5 Kyo XTEA RC4+解压 ? 这个实在是不懂了, 2张奇'偶表. 一点点动作是满像 RC4 的 8^x mod 2B 一路环环相扣, 最后继续选用 XTEA 解那 SMC 细节就不讲了. 复杂放弃之. ------------------------------------------------- 所谓的 Kyo 编码学应是类似这个 : (解码后会只剩原来的 3/4 长度) 以下所有取自 pediy 论坛, 跟本CM无关. 看看之 for(i=0;i<=sizeof(str)&&strIn[i]!=0x2E;i++) { if(!(i%4)) { colume=2; key=S[strIn[i]]; } else { strOut[i-1]=((key<<colume)&0xC0)\|S[strIn[i]]; colume+=2; } } 以上算法以4字节为一组，第1字节为子密钥，将其后的3字节解密，如果遇到2Eh，则停止解密。下面介绍一下该算法原理。看算法中的Magic Number：0C0h，为什么要用它呢？将它转换成2进制看看：1100 0000。它实际上就是一个掩码。子密钥的15、14位为0，0-13位为下面3字节密文的15、14位的掩码。密文的15、14位由子密钥和掩码决定，0-13位由查表得出。因为子密钥和密文字节都只用到0-13位，也就是0-39h，这就解释了上面S-Box有效值的范围。至于加密算法嘛，先将明文按3字节分组，然后将3个密文字节的15、14位组合成密钥，再换成在S-Box中的位置。密文的0-13位也分别换成在S-Box中的位置。 http://www.pediy.com/bbshtml/bbs8/pediy8-493.htm 2010-5-1 08:35 0
patapon 雪币： 695 活跃值： (25) 能力值： ( LV9，RANK：170 ) 在线值：发帖 6 回帖 128 粉丝 0 关注私信	patapon 4 32 楼大S出现了，法子姐最近可好？ 2010-5-1 08:51 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 33 楼正在说服她来拍Z片 2010-5-1 09:02 0
西风X 雪币： 51 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 145 粉丝 0 关注私信	西风X 34 楼 S牛都不玩了，俺还是放弃了，没这个实力，不自取其辱了 2010-5-1 09:29 0
humourkyo 雪币： 926 活跃值： (382) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 251 粉丝 16 关注私信	humourkyo 12 35 楼 S大所说的类base64 其实是：第一个算法也就是前40位是superdic（很老的一个字典生成器）中的核心算法，是我破了它后放我这里了。这个算比较简单的。 ccfer所说的kyo压缩算法才是s大所说的什么RC4解压。（这个才是难点）而S大所说的kyo压缩算法其实就是easychm中的一小段算法不过的确凸显S大记忆力惊人啊，一小段算法就能找到论坛里的文章？我以前都不知道有这文章。我是在半个多月前破了easychm3.84最新版把keyfile和SN放在了高级区。里面有段算法挺烦人的，我写出逆算法后就放在我这个crackme中了。 2010-5-1 10:02 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 36 楼算法的东西ccfer才是王道只好期待他要不要解啰 2010-5-1 10:15 0
humourkyo 雪币： 926 活跃值： (382) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 251 粉丝 16 关注私信	humourkyo 12 37 楼我觉得S大就像是看雪论坛的一本活字典。我估计您在学习时已经把本论坛所有精华文章都看了个遍并且全部铭记心中。 2010-5-1 10:28 0
曹无咎雪币： 136 活跃值： (1465) 能力值： ( LV6，RANK：80 ) 在线值：发帖 30 回帖 478 粉丝 1 关注私信	曹无咎 1 38 楼我等菜鸟只有膜拜的分啊 2010-5-1 11:11 0
kingstell 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 52 粉丝 0 关注私信	kingstell 39 楼来组正确的玩玩嘛 2010-5-1 15:14 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 40 楼好像真是不可逆. 但我试过靠那3个call, 可马上得出正确的的密文(input值) 所以这个编码不是问题. 不过有个疑问, 最后要解 SMC 那个 Key 似乎是独立的. 这SMC有解吗 ? 2010-5-2 07:53 0
humourkyo 雪币： 926 活跃值： (382) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 251 粉丝 16 关注私信	humourkyo 12 41 楼肯定有解。我这样做是为了防爆。关键是看你如何能得到那个KEY使CRC32值正确，并且最后CALL eax也能顺利执行使之注册成功。除了暴力也许还有其他方法吧，只是我暂不知道。以前莫拉克不是有个crc32可逆的说法吗？我没有细看，但我觉得至少我这个CRC32不太可能可逆吧，所以特来试试。这个crackme 我不会放出注册码，如果没人弄出来就当是个永远的谜吧。当然如果有给出SN的人，我肯定还是送fortify源代码扫描工具。 2010-5-2 09:50 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 42 楼看描述算法好复杂啊，不敢玩不过这样的算法就如LZ说的，不能放KEY，一个key就会真相大白了。。。。。唯有继续期待万能的穷举 2010-5-2 10:26 0
rol 雪币： 360 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 166 粉丝 0 关注私信	rol 43 楼君子报仇，十年不晚。。等我十年，说不准我就能爆了。再给我十年说不准我就能找到sn了。一定要等我。。 2010-5-2 11:56 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 44 楼支持ls等待看雪二十周年庆另外前面有人提到会崩掉, 应是这里. 供lz参考. 004017D9 \|> /E8 B2FDFFFF /call 00401590 * 004017DE \|. \|E8 9DFEFFFF \|call 00401680 004017E3 \|. \|3D 00010000 \|cmp eax, 100 * 004017E8 \|. \|A3 84524000 \|mov [405284], eax 004017ED \|.^\75 EA \jnz short 004017D9 2010-5-2 18:09 0
tyroneking 雪币： 472 活跃值： (52) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 109 粉丝 0 关注私信	tyroneking 1 45 楼给组能正常跑到 CRC32值比较[40251F] 的用户名和注册码 name = tyroneking Serial = 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剩下的就是找个 KEY 去解 405128 这个函数了这个可逆吗？！ 2010-5-3 13:32 0
findlakes 雪币： 295 活跃值： (11) 能力值： ( LV5，RANK：60 ) 在线值：发帖 22 回帖 185 粉丝 0 关注私信	findlakes 1 46 楼 LS加油啊争取利用暴力穷举把KEY解出来。我**。 2010-5-3 14:53 0
findlakes 雪币： 295 活跃值： (11) 能力值： ( LV5，RANK：60 ) 在线值：发帖 22 回帖 185 粉丝 0 关注私信	findlakes 1 47 楼顶你也不让说？ 2010-5-3 14:54 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 48 楼 tyroneking强大啊 2010-5-3 17:17 0
tyroneking 雪币： 472 活跃值： (52) 能力值： ( LV4，RANK：50 ) 在线值：发帖 12 回帖 109 粉丝 0 关注私信	tyroneking 1 49 楼 S大过奖了，你都早早把他解了。找个KEY去解SMC，吧！ 004024ED \|. BE 28514000 MOV ESI,crackme9.00405128 004024F2 \|> 8D4D 9C /LEA ECX,DWORD PTR SS:[EBP-64] 004024F5 \|. 53 \|PUSH EBX ; NameMD5_4 004024F6 \|. 51 \|PUSH ECX ; [COLOR="Red"] KEY,固定KEY有任意对应的EBX？[/COLOR] 004024F7 \|. 56 \|PUSH ESI ; [COLOR="Red"]还是EBX可以任意，对ESI解码不影响（没看懂？！）？[/COLOR] 004024F8 \|. E8 F3EDFFFF \|CALL crackme9.004012F0 ; 这个是XTEA吗？没找到对应的版本，还是楼主自己改了？楼主，是不是满足长度的Name都有解？ 2010-5-3 18:29 0
humourkyo 雪币： 926 活跃值： (382) 能力值： (RANK：500 ) 在线值：发帖 42 回帖 251 粉丝 16 关注私信	humourkyo 12 50 楼 to:tyroneking 我觉得你这问题问的很奇怪我实在无法理解你没弄懂算法怎么就能把走到倒数第2步的sn弄出来？？ 2010-5-3 18:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复