|
|
|---|---|
|
|
PEiD看了下,壳是PECompact,虽然不是多垃圾,不过也算是没意义的东西。。。
 直接F9,看了下module,就看到系统的模块和一个msvcrt,想来这B应该是纯SDK的程序,先看下人品,猜这B应该是VC或者GCC的编译器。  Ctrl+F2重启下,打开OD点出设置,勾上“中断于新模块(DLL)”,一路F9,等到看到msvcrt出现了,再在kernel32.GetStartupInfoA(W)和msvcrt.__set_app_type上下断,去设置取消中断新模块,直接F9,哈,人品好,断了,是__set_app_type,直接跟,马上就到OEP。。。    OEP是401100,按照理论找到msvcrt.exit或者kernel32.ExitProcess上面的几个call看下,这个十分明显了,就是401390的call,直接enter。。。  看到一个msvcrt.gets。。。F2然后F9。。。 随便输。。。enter。。。断了,一路F8,跑到CMP EDX,EAX的判断,默认是不跳的,可我是乱输的,怎么办,而且看这个代码压根就是一个if else结构,改JMP吧。。。F9,然后就。。  西电菊苣们的望谅解,我从头到尾都不知道你们的用户名和密码是什么,这东西如果是取名ReverseMe我大概就**了。。。 
|
|
|
其实这种简单的creakme。。。脱壳下,直接IDA......不过这样是犯规了。。。
|
|
|
楼上的是高手啊,膜拜下  IDA太强大用不来,壳吗,也不怎么熟悉,我等入门级菜鸟理解不来,其实大牛不知道新手的苦啊,尽管学了一点汇编,学了点windows程序设计,可惜的是没看加解与解密,漫天call乱飞,不知如何定位关键call,痛苦死了,所以我这个例子尽可能写的详细一些,面对一些初入门的新手,就我一般,高水平的真的写不出,欢迎新手来一起讨论啊。。。感谢楼上的提供的另一种方法,很不错,作为我等菜鸟的进阶之法。。。楼上所说的犯规,有什么特殊含义吗? |
|
|
西电逆向第6题,听说很强。。。
结果还真搞了我快一个小时。。。算它赢了。。 题目要求是这样的: crackme为一登陆认证模型,请以XDCSC2012为用户名,突破反调试,尝试分析Reg机制,得到正确的password,提交即可。 提示: 1.算法不可逆时,利用分析所得参量编写code实现Brute Crack可能是最简易的选择 2.此处已知在认证机制分析透彻后,可通过手工编程暴力破解[关键参量<=2字符(小写字母+数字)] 详细过程就没力气写出来了。。。 我对算法不感兴趣,所以没想要逆算法,直接入手。。。 反调试算是不错的,比前段时间论坛里某大牛写的那个被删23G数据的还2。。 首先是Tls。。。2个call,这个是防止被OD启动 再来是一个主线程的死循环检测,也是那2的call,防止被OD附加。。。 还有一个蒙人的call,如果从EP跟下去,会看到一个cdecl的call后面跟一个call,第二个call直接退出了。。。。貌似SOD还是被检测到了。。。没事,nop这个call就行了。。 然后开一个线程验证用户名和密码,主线程只是死循环的Anti而已。。。 不过StrongOD都卡擦卡擦了,然后找到关键call了,下了个int3程序立马退出。。感觉有猫腻,对那个函数的入口下内存访问断点,原来笔记本太小了没看到下面,下面有一个PUSH EBP的代码检测,跳exit的。。。Ctrl+F,把能跳那个的命令都fuck了,安全跟下去,跑到关键跳,直接改JO,就OK了。。。说起来这东西如果没SOD的话真心无聊。。。 放上exe,一个原版的,一个我把Anti艹了的(分析算法的人可以省点力,不过你至少加个SOD。。。说实话那2个call真心无聊),一个完全艹了的,输啥都恭喜了。 ps:回楼上。。。。。其实IDA也算逆向,不过F5犯规了。。。
|
|
|
表示膜拜,楼上大牛,带带小菜吧
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
