[讨论]一个crackme-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

[讨论]一个crackme

发表于: 2013-7-16 12:59 12724

[讨论]一个crackme

Arcade

活跃值

2013-7-16 12:59

12724

一个crackme，大家有空可以玩玩

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

CrackMe.vm.rar （265.48kb，39次下载）

收藏・1

免费・0

支持

分享

最新回复 (18)
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 2 楼呃~~~~ 追到UPX1里要吐血了~~~ 2013-7-16 16:36 0
HOWMP 雪币： 2835 活跃值： (2643) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 248 粉丝 7 关注私信	HOWMP 1 3 楼 00401240 $ 68 00E04500 push CrackMe_.0045E000 00401245 .- E9 B6CD0400 jmp CrackMe_.0044E000 45E000就是pcode，操作码与操作符混合在一起 esi是veip eax是操作码（操作码只有1位 lea esi,dword ptr ds:[esi+0x1]） 0044E029 FEC8 dec al 0044E02B C0C8 04 ror al,0x4 0044E02E C0C8 00 ror al,0x0 0044E031 C0C8 02 ror al,0x2 0044E034 F6D0 not al 0044E036 FEC8 dec al 0044E038 FEC8 dec al 0044E03A C0C8 0C ror al,0xC 0044E03D FEC8 dec al 0044E03F 80F0 0C xor al,0xC 0044E042 80F0 0A xor al,0xA 0044E045 F6D8 neg al 0044E047 FEC8 dec al 0044E049 80F0 07 xor al,0x7 0044E04C 80F0 01 xor al,0x1 解码操作码，过程是可逆的。通过查表，进入操作码对应的handle 比如 A1 = push（这个略坑，各种跳） ………… 可能得把所有的操作码弄明白，才能破解出程序吧。或者取巧的办法，就是记录VEIP，根据跳转，爆破？ 2013-7-16 18:11 0
Arcade 雪币： 100 活跃值： (328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 0 关注私信	Arcade 4 楼验证的逻辑判断就几个if判断。加了VMP 给一组可以弹ok的码先用户名 V5555555 序列号 C666 (前后没有空格) 2013-7-16 18:32 0
lhwqqq 雪币： 47 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 87 粉丝 0 关注私信	lhwqqq 5 楼第一次玩就碰到个带VM的回去补习一下VM的知识再来挑战一下。 2013-7-16 19:09 0
Tartar 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 0 关注私信	Tartar 6 楼这个虚拟机太恶心了，判断很简单用户名第一个字符是V，注册码第一个字符是C，用户名长度是注册码长度两倍就行 2013-7-17 18:03 0
Arcade 雪币： 100 活跃值： (328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 0 关注私信	Arcade 7 楼膜拜，解出来了。 2013-7-17 23:24 0
xuaim 雪币： 24 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	xuaim 8 楼这个还真有难度。。。 2013-7-18 12:18 0
Tartar 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 0 关注私信	Tartar 9 楼我的技术比较水，或者说根本就没什么技术，我只找到了比较V和C 还有两个字符串长度相减，至于结果等于多少才能成功我还是看了你给出的一组可以弹出ok的注册码才猜到的 2013-7-18 14:23 0
moonlite 雪币： 233 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 60 粉丝 1 关注私信	moonlite 10 楼开眼界了，虽然搞不太明白呵呵～但爆破好像很简单：方法１）ＯＤ载入，输入用户名和序列号，点注册，下面由于 ESI = 0 出现异常： 00456000 F7FE IDIV ESI 改为　 F7FB　 IDIV EBX 就算爆破了！（难道这个异常是个bug？）方法２） 0044FF0B 85C8 TEST EAX,ECX 需要ＮＯＰ掉，否则序列号不对的话，ＺＦ＝１ 2013-7-20 01:48 0
Tartar 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 0 关注私信	Tartar 11 楼那个 ESI为0我觉得不是BUG应该是故意的 0044FF0B 85C8 TEST EAX,ECX 这个你是怎么找到的？能说下思路吗 2013-7-20 18:10 0
moonlite 雪币： 233 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 60 粉丝 1 关注私信	moonlite 12 楼我是从后往前找的以错误的序列号为例。当(操作码)EAX= 77， (VEIP) ESI = 45E829 时(略过JMP): 0044FE99 8B0424 MOV EAX,DWORD PTR SS:[ESP] //[17F0E0] = 0 送 EAX 0044FEA9 8B8C24 04000000 MOV ECX,DWORD PTR SS:[ESP+4] //[17F0E4] = 0 送 ECX 0044FEFD 50 PUSH EAX 0044FED6 8B87 24000000 MOV EAX,DWORD PTR DS:[EDI+24] //5C 送 EAX 0044FEC4 8B0438 MOV EAX,DWORD PTR DS:[EDI+EAX] // 202 ->EAX 0044FE79 50 PUSH EAX -\| 0044FEBD 9D POPFD -----\| 标志寄存器EFL初始化为202 0044FF04 50 PUSH EAX 0044FF0B 85C8 TEST EAX,ECX //如果序列号不对，两者都是0，ZF=1；否则，都是1， ZF=0 0044FE8D 8B87 24000000 MOV EAX,DWORD PTR DS:[EDI+24] 0044FEB6 9C PUSHFD // 这个很关键。保存判断后的EFL标志 /* 这里序列号不对， EFL =246 (ZF=1)；对的话 EFL = 202 (ZF=0) / 0044FECD 8F0438 POP DWORD PTR DS:[EDI+EAX] //将EFL（246）保存到[EDI+EAX] / 由于EAX是变量，所以保存的地址或许会不同；用内存断点搞它会很痛苦呵 / 接着，在EAX=0D9，ESI=45E837时： 0044EF72 8B0438 MOV EAX,DWORD PTR DS:[EDI+EAX] //将246 从[EDI+EAX]读出->eax 0044EF7B 50 PUSH EAX 0044EF82 9D POPFD //映射到EFL标志 0044EF89 58 POP EAX //45E892 -> EAX 0044EFB7 0F443424 CMOVE ESI,DWORD PTR SS:[ESP] / 如果序列号错误则条件满足，然后 [17F0E4]中的45E892 -> ESI；序列号对的话，条件不满足，还是原来的 ESI=45E838； */ 后面，如果ESI=45E838，记得有个偏移变量就指向"ok"；如果ESI=45E892 则指向"fail"。很变态的感觉～～，建议大家用conditional log把EAX，ESI记录下来，便于分析。 2013-7-21 07:55 0
Tartar 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 0 关注私信	Tartar 13 楼 [QUOTE=moonlite;1201141]我是从后往前找的以错误的序列号为例。当(操作码)EAX= 77， (VEIP) ESI = 45E829 时(略过JMP): 0044FE99 8B0424 MOV EAX,DWORD PTR SS:[ESP] //[17F0E0] = 0 送 EAX 0...[/QUOTE] 一开始我也是从后往前找但是不知道是从什么地方跳转过来的从后往前找怎么知道是从哪跳过来的？用conditional log？这个是啥怎么用？ 2013-7-21 20:06 0
moonlite 雪币： 233 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 60 粉丝 1 关注私信	moonlite 14 楼就是内存断点，很不易，因为地址总在变化。右键-Breakpoint-conditional log （或者 Shift + F4）它的作用就是自动追踪地址，寄存器的变化，设定条件来中断。 2013-7-21 23:36 0
Arcade 雪币： 100 活跃值： (328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 0 关注私信	Arcade 15 楼 [QUOTE=moonlite;1201141]我是从后往前找的以错误的序列号为例。当(操作码)EAX= 77， (VEIP) ESI = 45E829 时(略过JMP): 0044FE99 8B0424 MOV EAX,DWORD PTR SS:[ESP] //[17F0E0] = 0 送 EAX 0...[/QUOTE] 膜拜，爆破就可以了。花指令模板还没写完，现在只是把handle乱序了一下。 2013-7-22 00:25 0
Arcade 雪币： 100 活跃值： (328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 0 关注私信	Arcade 16 楼这个VM只是拿来加自己写的一些程序，因为没有加壳的程序用来加一些demo来测试跟踪，所以楼上的几位爆破。我个人感觉已经很强大了。再次膜拜。明天去公司发crackme的源码。 2013-7-22 01:02 0
Arcade 雪币： 100 活跃值： (328) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 0 关注私信	Arcade 17 楼 BOOL Check(const char* pName, const char* pPassword) { BOOL bret = FALSE; int nameLen = 0; int pawsswordlen = 0; __try { while((pName + nameLen)) { ++nameLen; } while((pPassword + pawsswordlen)) { ++pawsswordlen; } bret = (nameLen + pawsswordlen) / bret; } __except(1) { if (pName[0] == 'V' && pPassword[0] == 'C' && pawsswordlen == (nameLen - pawsswordlen)) { bret = TRUE; //return bret; } else { bret = FALSE; } } char szbuf[MAX_PATH] = {0}; szbuf[0] = 'o'; szbuf[1] = 'k'; char szbuf2[MAX_PATH] = {0}; szbuf2[0] = 'f'; szbuf2[1] = 'a'; szbuf2[2] = 'i'; szbuf2[3] = 'l'; if (bret) { ::MessageBoxA(NULL, szbuf, szbuf, 0); } else { ::MessageBoxA(NULL, szbuf2, szbuf2, 0); } return bret; } void CCrackMeDlg::OnButton1() { // TODO: Add your control notification handler code here UpdateData(); if (m_name.GetLength() == 0 \|\| m_pwd.GetLength() == 0) { ::MessageBoxA(NULL, "名字和密码不能为空", "名字和密码不能为空", 0); } else { if (Check(m_name, m_pwd)) { } else { } } } 顺路问问爆破的亲，你是正确的码和错误的码比较得到不同的ESI跳转，还是只从错误的码从后往前一步一步看handle的？ 2013-7-22 10:10 0
Tartar 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 0 关注私信	Tartar 18 楼明白了谢谢 2013-7-22 14:36 0
moonlite 雪币： 233 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 60 粉丝 1 关注私信	moonlite 19 楼我是从后者推断出前者的，呵呵另外谢谢你的分享！ 2013-7-22 20:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

Arcade

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//