[原创]一个Crakeme,搞了一晚上。终于搞定了-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]一个Crakeme,搞了一晚上。终于搞定了 0.00雪花

发表于: 2013-5-29 00:01 3975

[旧帖] [原创]一个Crakeme,搞了一晚上。终于搞定了 0.00雪花

zhjmyx

2013-5-29 00:01

3975

我是小菜，不会传图片。首先找到，关键跳转，见
004011F3  ^\0F84 DEFEFFFF je chap203.004010D7
下面是程序

004011D9  ^\EB C1          jmp short chap203.0040119C             ; 返回跳转位置继续比较
004011DB FF35 AF214000 push dword ptr ds:[4021AF]
004011E1 68 94214000    push chap203.00402194
004011E6 68 79214000    push chap203.00402179
004011EB E8 54000000    call chap203.00401244
004011F0 83F8 01       cmp eax,1                               ; 比较EAX，（标志位）
004011F3  ^ 0F84 DEFEFFFF je chap203.004010D7                      ; 如果相等就注册成功
004011F9 EB 1F          jmp short chap203.0040121A             ; 不相等就失败，跳转
004011FB 837D 10 01    cmp dword ptr ss:[ebp+10],1
004011FF  ^ 0F84 22FFFFFF je chap203.00401127
00401205 837D 10 02    cmp dword ptr ss:[ebp+10],2
00401209 75 2F          jnz short chap203.0040123A
0040120B E8 B4000000    call <jmp.&KERNEL32.ExitProcess>
00401210 B8 01000000    mov eax,1
00401215  ^ E9 FFFEFFFF    jmp chap203.00401119

。
突然发现前面，还有一段，是判断数字的长度。应该是大于1小于等于80040112F FF75 08       push dword ptr ss:[ebp+8]
00401132 E8 41020000    call <jmp.&USER32.SendDlgItemMessageA>
00401137 A3 AF214000    mov dword ptr ds:[4021AF],eax
0040113C 83F8 00       cmp eax,0                               ; 看数据长度是否大于0
0040113F 0F84 D5000000 je chap203.0040121A                      ; 数据长度小于0提示错误
00401145 83F8 08       cmp eax,8                               ; 比较数据长度
00401148 0F8F CC000000 jg chap203.0040121A                      ; 数据长度大于8提示错误
0040114E 8BF0          mov esi,eax                            ; 存储数据长度1~8 位
00401150 6A 00          push 0
00401152 6A 00          push 0
00401154 6A 0E          push 0E
00401156 6A 04          push 4
00401158 FF75 08       push dword ptr ss:[ebp+8]
0040115B E8 18020000    call <jmp.&USER32.SendDlgItemMessageA>
00401160 83F8 00       cmp eax,0
00401163 0F84 B1000000 je chap203.0040121A                      ; 如果数据长度等于0 提示错误
00401169 3BF0          cmp esi,eax                            ; 两个数据的长度要一致
0040116B 0F85 A9000000 jnz chap203.0040121A
00401171 68 60214000    push chap203.00402160
00401176 6A 08          push 8
00401178 6A 0D          push 0D

关键的密码生成部分。也是找了半个小时，没办法，小菜一枚。
0040119C 41             inc ecx                                  ; ecx 加1，当ECX=9，的时候  eax 返回的是0
0040119D 0FBE81 60214000 movsx eax,byte ptr ds:[ecx+402160]       ; 402160+偏移0 给 EAX
004011A4 83F8 00       cmp eax,0
004011A7 74 32          je short chap203.004011DB
004011A9 BE FFFFFFFF    mov esi,-1
004011AE 83F8 41       cmp eax,41                               ; 和0x41比较就是 ‘A’
004011B1 >  7C 67          jl short chap203.0040121A                ; 小于‘A’，就失败
004011B3 83F8 7A       cmp eax,7A                               ; 就是‘z’
004011B6 77 62          ja short chap203.0040121A                ; 大于z，就失败
004011B8 83F8 5A       cmp eax,5A                               ; 就是‘Z’
004011BB 7C 03          jl short chap203.004011C0                ; 小于‘Z’，就进去查表
004011BD 83E8 20       sub eax,20                               ; eax减去32；//隐含的小写字母转大写“”
004011C0 46             inc esi                                  ; 查表中下一个数字
004011C1 0FBE96 17204000 movsx edx,byte ptr ds:[esi+402017]       ; 隐含了“ASCII码大于Z直接查表，和小于Z的，减掉32，来查表”
004011C8 3BC2          cmp eax,edx                            ; 比较第二位
004011CA  ^ 75 F4          jnz short chap203.004011C0             ; 不相等就向后比较
004011CC 0FBE86 3C204000 movsx eax,byte ptr ds:[esi+40203C]       ; 查表
004011D3 8981 94214000 mov dword ptr ds:[ecx+402194],eax       ; 生成加密后的数据
004011D9  ^ EB C1          jmp short chap203.0040119C             ; 返回跳转位置，继续比较
004011DB FF35 AF214000 push dword ptr ds:[4021AF]
004011E1 68 94214000    push chap203.00402194

继续寻找，发现还有一个核对的部分。将序列号，和生成的密码对比。
00401244 C8 000000    enter 0,0                               ; 进入函数
00401248 B8 01000000    mov eax,1                               ; EAX=1，作为标记使用
0040124D 8B7D 08       mov edi,dword ptr ss:[ebp+8]             ; 存入CODE
00401250 8B75 0C       mov esi,dword ptr ss:[ebp+C]             ; 加密后的数据
00401253 8B4D 10       mov ecx,dword ptr ss:[ebp+10]          ; 下一句 REPE的长度，8个数据
00401256 F3:A6          repe cmps byte ptr es:[edi],byte ptr ds:[>; 比较加密后的数据和user name  是否相等
00401258 67:E3 05       jcxz short chap203.00401260             ; 不等就离开
0040125B B8 00000000    mov eax,0                               ; 给EAX =0
00401260 C9             leave
00401261 C2 0C00       retn 0C                                  ; 对比成功时，EAX=1；

。如果想强力爆破，可以直接修改EAX的值，后面判断会用到。
这里就是最后了，比较EAX ，进行核对。
004011F0 83F8 01       cmp eax,1                               ; 比较EAX，（标志位）
004011F3  ^ 0F84 DEFEFFFF je chap203.004010D7                      ; 如果相等就注册成功
。到这里，这个Crakeme,  就结束了。本想写个注册机，如果写了，稍候传上。
附上里面的两个码表：
//402017
00402017  41 31 4C 53 4B 32 44 4A 46 34 48 47 50 33 51 57  A1LSK2DJF4HGP3QW
00402027  4F 35 45 49 52 36 55 54 59 5A 38 4D 58 4E 37 43  O5EIR6UTYZ8MXN7C
00402037  42 56 39 00 20 53 55 37 43 53 4A 4B 46 30 39 4E  BV9. SU7CSJKF09N
00402047  43 53 44 4F 39 53 44 46 30 39 53 44 52 4C 56 4B  CSDO9SDF09SDRLVK
00402057  37 38 30 39 53 34 4E 46 00                      7809S4NF.

码表2：
//40203c
0040203C  53 55 37 43 53 4A 4B 46 30 39 4E 43 53 44 4F 39  SU7CSJKF09NCSDO9
0040204C  53 44 46 30 39 53 44 52 4C 56 4B 37 38 30 39 53  SDF09SDRLVK7809S
0040205C  34 4E 46 00                                     4NF.

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

chap203.zip （3.49kb，23次下载）

收藏・2

免费・5

支持

最新回复 (6)
zhjmyx 雪币： 18 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	zhjmyx 1 2 楼终于算出了注册机。例如输入 8个小a,密码就是8个大S。这个机还不是很完善。好久没VC++6，都有点手生了。注册机原码如下，测试数据 8个小a,密码就是8个大S，测试通过。 #include"stdio.h" #include"string.h" void main(void){ char tabel0[]="A1LSK2DJF4HGP3QWO5EIR6UTYZ8MXN7CBV9. SU7CSJKF09NCSDO9SDF09SDRLVK7809S4NF.";//解码表 char tabel1[]="SU7CSJKF09NCSDO9SDF09SDRLVK7809S4NF"; //输出表 char tableTmp[10]; char outPut[10]; int index=0; int show=0; while(1){ scanf("%s",&tableTmp); for(show=0;show<=7;show++){ for(index=0;index<140;index++){ if( (tableTmp[show]-0x20)==tabel0[index]){ outPut[show]=tabel1[index]; // break; } } } // for(index=0;index<=7;index++){ // // printf("%c",*(outPut+index)); // } puts(outPut); } } 上传的附件： ZCJ.zip （209.88kb，13次下载） 2013-5-29 02:03 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 3 楼谢谢楼主分享，加油！ 2013-5-29 08:07 0
zhjmyx 雪币： 18 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	zhjmyx 1 4 楼谢谢鼓励，我会继续努力的。转正时，心情很激动啊 2013-5-29 08:14 0
zhjmyx 雪币： 18 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	zhjmyx 1 5 楼趁着还有点时间，就发一篇帖子，只不过自娱自乐。还是那句老话，看下面这次的主题是：VC6 。0————编译出EXE---ollydbg反编译出asm crakeme : 源代码如下：得到520，就回复我爱你。#include"stdio.h" void main(){ int t=1; printf("input numbeer\n"); while(1){ if(scanf("%d",&t)){ if(t==520) printf("i love U\n"); else printf("number err\n"); } else{ printf("must input numbeer\n"); break; } } } od:汇编 0040DA09 68 EC2F4200 push 强大的反.00422FEC ; %d 0040DA0E E8 FD36FFFF call 强大的反.00401110 0040DA13 83C4 08 add esp,0x8 0040DA16 85C0 test eax,eax ; 比较EAX 0040DA18 74 27 je short 强大的反.0040DA41 ; 相等就跳到40DA41 0040DA1A 817D FC 0802000>cmp dword ptr ss:[ebp-0x4],0x208 ; 比较堆栈中的数据和0x208(520) 0040DA21 75 0F jnz short 强大的反.0040DA32 ; 不相等就跳到40DA32，相等就往下走 0040DA23 68 D82F4200 push 强大的反.00422FD8 ; i love U\n 0040DA28 E8 6336FFFF call 强大的反.00401090 0040DA2D 83C4 04 add esp,0x4 0040DA30 EB 0D jmp short 强大的反.0040DA3F 0040DA32 68 1C204200 push 强大的反.0042201C ; number err\n 0040DA37 E8 5436FFFF call 强大的反.00401090 0040DA3C 83C4 04 add esp,0x4 0040DA3F EB 0F jmp short 强大的反.0040DA50 0040DA41 68 FC2F4200 push 强大的反.00422FFC ; must input numbeer\n 0040DA46 E8 4536FFFF call 强大的反.00401090 因为这次把一个vc中的条件判断，反汇编，所以没有注册机。如果想要程序一直输出 i love u.,修改 0040DA21 /75 0F jnz short 强大的反.0040DA32 ; 不相等就跳到40DA32，相等就往下走。可以将 jnz,汇编换成JE，就可以了。这是新手贴：附上注释如下 JNZ：如果不相等就跳转 JE：相等就跳转 crakeme: 上传的附件：例子1.zip （543.43kb，4次下载）强大的反汇编原码.zip （0.32kb，3次下载） 2013-5-29 08:39 0
Michiko 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Michiko 6 楼不错啊多谢楼主分享 2013-5-29 08:49 0
大小人物雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 0 关注私信	大小人物 7 楼楼主写的不错学习了 2013-5-29 09:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zhjmyx

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (6)
zhjmyx 雪币： 18 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	zhjmyx 1 2 楼终于算出了注册机。例如输入 8个小a,密码就是8个大S。这个机还不是很完善。好久没VC++6，都有点手生了。注册机原码如下，测试数据 8个小a,密码就是8个大S，测试通过。 #include"stdio.h" #include"string.h" void main(void){ char tabel0[]="A1LSK2DJF4HGP3QWO5EIR6UTYZ8MXN7CBV9. SU7CSJKF09NCSDO9SDF09SDRLVK7809S4NF.";//解码表 char tabel1[]="SU7CSJKF09NCSDO9SDF09SDRLVK7809S4NF"; //输出表 char tableTmp[10]; char outPut[10]; int index=0; int show=0; while(1){ scanf("%s",&tableTmp); for(show=0;show<=7;show++){ for(index=0;index<140;index++){ if( (tableTmp[show]-0x20)==tabel0[index]){ outPut[show]=tabel1[index]; // break; } } } // for(index=0;index<=7;index++){ // // printf("%c",*(outPut+index)); // } puts(outPut); } } 上传的附件： ZCJ.zip （209.88kb，13次下载） 2013-5-29 02:03 0
loongzyd 雪币： 1015 活跃值： (235) 能力值： ( LV12，RANK：440 ) 在线值：发帖 191 回帖 1111 粉丝 4 关注私信	loongzyd 10 3 楼谢谢楼主分享，加油！ 2013-5-29 08:07 0
zhjmyx 雪币： 18 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	zhjmyx 1 4 楼谢谢鼓励，我会继续努力的。转正时，心情很激动啊 2013-5-29 08:14 0
zhjmyx 雪币： 18 活跃值： (81) 能力值： ( LV4，RANK：50 ) 在线值：发帖 5 回帖 52 粉丝 0 关注私信	zhjmyx 1 5 楼趁着还有点时间，就发一篇帖子，只不过自娱自乐。还是那句老话，看下面这次的主题是：VC6 。0————编译出EXE---ollydbg反编译出asm crakeme : 源代码如下：得到520，就回复我爱你。#include"stdio.h" void main(){ int t=1; printf("input numbeer\n"); while(1){ if(scanf("%d",&t)){ if(t==520) printf("i love U\n"); else printf("number err\n"); } else{ printf("must input numbeer\n"); break; } } } od:汇编 0040DA09 68 EC2F4200 push 强大的反.00422FEC ; %d 0040DA0E E8 FD36FFFF call 强大的反.00401110 0040DA13 83C4 08 add esp,0x8 0040DA16 85C0 test eax,eax ; 比较EAX 0040DA18 74 27 je short 强大的反.0040DA41 ; 相等就跳到40DA41 0040DA1A 817D FC 0802000>cmp dword ptr ss:[ebp-0x4],0x208 ; 比较堆栈中的数据和0x208(520) 0040DA21 75 0F jnz short 强大的反.0040DA32 ; 不相等就跳到40DA32，相等就往下走 0040DA23 68 D82F4200 push 强大的反.00422FD8 ; i love U\n 0040DA28 E8 6336FFFF call 强大的反.00401090 0040DA2D 83C4 04 add esp,0x4 0040DA30 EB 0D jmp short 强大的反.0040DA3F 0040DA32 68 1C204200 push 强大的反.0042201C ; number err\n 0040DA37 E8 5436FFFF call 强大的反.00401090 0040DA3C 83C4 04 add esp,0x4 0040DA3F EB 0F jmp short 强大的反.0040DA50 0040DA41 68 FC2F4200 push 强大的反.00422FFC ; must input numbeer\n 0040DA46 E8 4536FFFF call 强大的反.00401090 因为这次把一个vc中的条件判断，反汇编，所以没有注册机。如果想要程序一直输出 i love u.,修改 0040DA21 /75 0F jnz short 强大的反.0040DA32 ; 不相等就跳到40DA32，相等就往下走。可以将 jnz,汇编换成JE，就可以了。这是新手贴：附上注释如下 JNZ：如果不相等就跳转 JE：相等就跳转 crakeme: 上传的附件：例子1.zip （543.43kb，4次下载）强大的反汇编原码.zip （0.32kb，3次下载） 2013-5-29 08:39 0
Michiko 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	Michiko 6 楼不错啊多谢楼主分享 2013-5-29 08:49 0
大小人物雪币： 350 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 0 关注私信	大小人物 7 楼楼主写的不错学习了 2013-5-29 09:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复