[原创]一个简单的crackme分析-CTF对抗-看雪-安全社区|安全招聘|kanxue.com

[原创]一个简单的crackme分析

发表于: 2013-9-28 13:07 19793

[原创]一个简单的crackme分析

向往星空

2013-9-28 13:07

19793

#include "stdafx.h"
#include <windows.h>
int main(int argc, char* argv[])
{
  char buffer[28] = {0}; 
  DWORD dwData = 0xC4678C08;
  DWORD dwTemp = 0;
  for (int i = 0x24; i > 0; --i)
  {
    dwData = dwData + 0x24B6;
    dwTemp = dwData>>30;
    dwData = dwData << 2;
    dwData |= dwTemp;
    dwData--;
  }
  dwData += 0xE11F79A;
  //buff+8
  *((PDWORD)(buffer+8)) = dwData;
  
  
  WORD wVar = 0x5C27;
  WORD wData = wVar ^ 0x1D4A;
  char chTemp = *(char*)(&wData);
  *(char*)(&wData) = *(((char*)(&wData))+1);
  *(((char*)(&wData))+1) = chTemp;
  
  //buff
  *(PWORD)buffer = wData;

  dwTemp = 0x27418BE4;
  __asm
  {
    mov edx, 0xBC75;
    xchg dh, dl
    shl edx, 0x10;
    mov eax, dwTemp
    mov  dx, ax;
    xor edx, 0x12D3E480;
    bswap edx
    mov dwData, edx
  }
  //buff+0xE

  *((PDWORD)(buffer+0xE)) = dwData;

  BYTE byData,byTemp = 0x23;
  byData = (byTemp ^ 0x18)+5;
  byTemp = byData << 7;
  byData = byTemp | (byData >> 1);
  //buff+2
  *(buffer+2) = byData;

  dwData = 0x1A7E54C+0x63CA3AFD;
  //buff+3
  *((PDWORD)(buffer+3)) = dwData;
  __asm
  {
    mov dx,0x2020
    mov byData,dl
    mov dl,0x67
    bswap edx
    mov dx,0x6120
    mov dwData,edx
  }
  //buff+0x12
  *(buffer+0x12) = byData;

  //buff+0xB
  *((PDWORD)(buffer+0xB)) = dwData;
  //buff+0x13
  dwData = (0x37261636 >>4) | (0x37261636<<28);
  __asm
  {
    mov eax,dwData
    bswap eax
    mov dwData, eax
  }
  *((PDWORD)(buffer+0x13)) = dwData;
  //buff+0x17
  __asm
  {
    mov eax, dwData
    bswap eax
    mov edx, 0xCED7D3A2
    sub edx,eax
    bswap edx
    mov dwData,edx
  }
  *((PDWORD)(buffer+0x17)) = dwData;
  //buff+8
  *(buffer+7) = 'a';
  HANDLE hFile = NULL;
  DWORD dwFileZie = 0x1B;
  hFile=CreateFile("cm.dll",GENERIC_READ|GENERIC_WRITE,FILE_SHARE_READ,NULL,OPEN_ALWAYS,
    FILE_ATTRIBUTE_NORMAL,NULL);
  if (hFile != NULL)
  {
    WriteFile(hFile,buffer,dwFileZie,&dwFileZie,NULL);
  }
  CloseHandle(hFile);
  return 0;
}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

图片1.png （12.71kb，1次下载）
图片2.png （4.81kb，1次下载）
图片3.png （5.39kb，1次下载）
图片4.png （6.26kb，1次下载）
CrackMe.rar （41.88kb，117次下载）

收藏・7

免费・5

支持

最新回复 (15)
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 2 楼沙发一个，好棒！！！！！！ 2013-9-28 16:24 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 3 楼发现一张图片的CreateFile 拼错了` 2013-9-28 17:00 0
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 4 楼不错啊，哈哈，以后我也学crack 2013-9-28 22:49 0
yanyuyao 雪币： 103 活跃值： (126) 能力值： ( LV7，RANK：110 ) 在线值：发帖 9 回帖 130 粉丝 0 关注私信	yanyuyao 2 5 楼刚看了下用IDA根据DialogBoxParamA的参数找到消息处理函数下面应该就是那三个button的处理代码 a3 == 402应该就是check 不过lz的方法也不错顶个 if ( a3 == 106 ) MessageBoxA( 0, "CrackMe v1.0\r\nAuthor: Greedy Fly\r\nCompiler: masm32\r\nDate: September 1, 2013\r\n", "About...", 0); if ( a3 == 402 ) { word_40314C = 28003; word_40314E = 25646; word_403150 = 27756; v6 = sub_4015C5(); v7 = ((int (__cdecl )(__int16 , signed int, signed int, _DWORD, signed int, _DWORD, _DWORD))v6)( &word_40314C, -2147483648, 1, 0, 3, 0, 0) + 1; if ( !v7 ) goto LABEL_33; hFile = (HANDLE)(v7 - 1); if ( sub_401598() != 27 ) goto LABEL_33; ReadFile(hFile, &unk_403153, 0x1Bu, &NumberOfBytesRead, 0); …………省略…… } else { LABEL_33: v22 = GetDlgItem(hDlg, 404); SendMessageA(v22, 0xF5u, 0, 0); } } else { if ( a3 == 404 ) SendMessageA(hDlg, 0x10u, 0, 0); } 2013-9-28 23:02 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 6 楼其实的话，LZ你的注册机更加接近于计算原理的演示。实际上的话，这个key根本就是固定的，中间很多段的asm是可以等效转换的。而且你的过程没有输入，所以导致这个函数最后被release编译出来很可能只有一串的mov操作，或者更变态直接就是文件操作部分了。以下是等效操作的分析（计算错误请自行忽略）： dwTemp = 0x27418BE4; //assume dwTemp=a4a3a2a1; __asm { mov edx, 0xBC75; //edx=0xBC75 xchg dh, dl //edx=0x75BC shl edx, 0x10; //edx=0x75BC0000 mov eax, dwTemp //eax=a4a3a2a1 mov dx, ax; //edx=0x75BCa2a1 xor edx, 0x12D3E480;//edx= (0x75^0x12)(0xBC^0xD3)(a2^0xE4)(a1^0x80) bswap edx //b4b3b2b1->b1b2b3b4 //edx=(a1^0x80)(a2^0xE4)(0xBC^0xD3)(70x5^0x12) //equal to //mov eax,dwTemp //xchg ah,al //xor ax,0x80E4 //mov dx,ax //shl edx,10 //mov dx,(0xBC^0xD3)(70x5^0x12) mov dwData, edx } so dwData=(DWORD)MAKELONG(MAKEWORD(70x5^0x12,0xBC^0xD3),MAKEWORD(HIBYTE(LOWORD(dwTemp))^0xE4,LOWBYTE(LOWORD(dwTemp))^0x80); MAKELONG和MAKEWORD这2个宏都是高位字节在第二个参数 ----------------------------------- __asm { mov dx,0x2020 mov byData,dl //byData=0x20; mov dl,0x67 //dx=0x2067 bswap edx //edx=0x6720???? mov dx,0x6120 //edx=0x67206120 mov dwData,edx } so dwData=0x67206120; ---------------------------------------- dwData = (0x37261636 >>4) \| (0x37261636<<28); /* (0x37261636 >>4) = 0x03726163 (0x37261636<<28) = 0x60000000 dwData=0x63726163; */ __asm { mov eax,dwData bswap eax mov dwData, eax } so dwData=0x63617263; ------------------------------------- 前面dwData已经算出 __asm { mov eax, dwData //eax=0x63617263 bswap eax //eax=0x63726163 mov edx, 0xCED7D3A2 sub edx,eax //edx=0x6B65723F bswap edx //edx=0x3F72656B mov dwData,edx } so dwData=0x3F72656B 2013-9-28 23:18 0
kevinjian 雪币： 87 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	kevinjian 7 楼膜拜！嘿嘿。 2013-9-28 23:25 0
向往星空雪币： 88 活跃值： (335) 能力值： ( LV4，RANK：55 ) 在线值：发帖 16 回帖 127 粉丝 0 关注私信	向往星空 1 8 楼好眼力 2013-9-29 09:37 0
向往星空雪币： 88 活跃值： (335) 能力值： ( LV4，RANK：55 ) 在线值：发帖 16 回帖 127 粉丝 0 关注私信	向往星空 1 9 楼嗯，不错哦。。。我又积累了几个宏操作 2013-9-29 09:43 0
向往星空雪币： 88 活跃值： (335) 能力值： ( LV4，RANK：55 ) 在线值：发帖 16 回帖 127 粉丝 0 关注私信	向往星空 1 10 楼哈哈，怎么就骗了一个精华呢 2013-9-29 09:44 0
山民雪币： 6390 活跃值： (3480) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 125 粉丝 1 关注私信	山民 11 楼楼主辛苦了，学习原创。 2013-9-29 12:08 0
hkzlq 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 50 粉丝 0 关注私信	hkzlq 12 楼 key的第八位取什么值都可以吧. 2013-9-29 12:57 0
向往星空雪币： 88 活跃值： (335) 能力值： ( LV4，RANK：55 ) 在线值：发帖 16 回帖 127 粉丝 0 关注私信	向往星空 1 13 楼 Yes。生成cm.dll 后，用winHex看了一下内容，自己加的的a,我想作者写的时候可能移位了，结果漏掉了这个位置的校验 2013-9-29 16:43 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 14 楼 LZ辛苦。mark 2013-9-30 22:54 0
Tartar 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 0 关注私信	Tartar 15 楼这个CM确实有意思，谢谢楼主分享我希望我有一天能把最后的那个问号能变成叹号！ 2013-10-1 21:50 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 16 楼辛苦了，有空就学习一下 2013-10-4 12:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

向往星空

发帖

127

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 2 楼沙发一个，好棒！！！！！！ 2013-9-28 16:24 0
Rookietp 雪币： 1042 活跃值： (500) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 795 粉丝 2 关注私信	Rookietp 3 楼发现一张图片的CreateFile 拼错了` 2013-9-28 17:00 0
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 4 楼不错啊，哈哈，以后我也学crack 2013-9-28 22:49 0
yanyuyao 雪币： 103 活跃值： (126) 能力值： ( LV7，RANK：110 ) 在线值：发帖 9 回帖 130 粉丝 0 关注私信	yanyuyao 2 5 楼刚看了下用IDA根据DialogBoxParamA的参数找到消息处理函数下面应该就是那三个button的处理代码 a3 == 402应该就是check 不过lz的方法也不错顶个 if ( a3 == 106 ) MessageBoxA( 0, "CrackMe v1.0\r\nAuthor: Greedy Fly\r\nCompiler: masm32\r\nDate: September 1, 2013\r\n", "About...", 0); if ( a3 == 402 ) { word_40314C = 28003; word_40314E = 25646; word_403150 = 27756; v6 = sub_4015C5(); v7 = ((int (__cdecl )(__int16 , signed int, signed int, _DWORD, signed int, _DWORD, _DWORD))v6)( &word_40314C, -2147483648, 1, 0, 3, 0, 0) + 1; if ( !v7 ) goto LABEL_33; hFile = (HANDLE)(v7 - 1); if ( sub_401598() != 27 ) goto LABEL_33; ReadFile(hFile, &unk_403153, 0x1Bu, &NumberOfBytesRead, 0); …………省略…… } else { LABEL_33: v22 = GetDlgItem(hDlg, 404); SendMessageA(v22, 0xF5u, 0, 0); } } else { if ( a3 == 404 ) SendMessageA(hDlg, 0x10u, 0, 0); } 2013-9-28 23:02 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 6 楼其实的话，LZ你的注册机更加接近于计算原理的演示。实际上的话，这个key根本就是固定的，中间很多段的asm是可以等效转换的。而且你的过程没有输入，所以导致这个函数最后被release编译出来很可能只有一串的mov操作，或者更变态直接就是文件操作部分了。以下是等效操作的分析（计算错误请自行忽略）： dwTemp = 0x27418BE4; //assume dwTemp=a4a3a2a1; __asm { mov edx, 0xBC75; //edx=0xBC75 xchg dh, dl //edx=0x75BC shl edx, 0x10; //edx=0x75BC0000 mov eax, dwTemp //eax=a4a3a2a1 mov dx, ax; //edx=0x75BCa2a1 xor edx, 0x12D3E480;//edx= (0x75^0x12)(0xBC^0xD3)(a2^0xE4)(a1^0x80) bswap edx //b4b3b2b1->b1b2b3b4 //edx=(a1^0x80)(a2^0xE4)(0xBC^0xD3)(70x5^0x12) //equal to //mov eax,dwTemp //xchg ah,al //xor ax,0x80E4 //mov dx,ax //shl edx,10 //mov dx,(0xBC^0xD3)(70x5^0x12) mov dwData, edx } so dwData=(DWORD)MAKELONG(MAKEWORD(70x5^0x12,0xBC^0xD3),MAKEWORD(HIBYTE(LOWORD(dwTemp))^0xE4,LOWBYTE(LOWORD(dwTemp))^0x80); MAKELONG和MAKEWORD这2个宏都是高位字节在第二个参数 ----------------------------------- __asm { mov dx,0x2020 mov byData,dl //byData=0x20; mov dl,0x67 //dx=0x2067 bswap edx //edx=0x6720???? mov dx,0x6120 //edx=0x67206120 mov dwData,edx } so dwData=0x67206120; ---------------------------------------- dwData = (0x37261636 >>4) \| (0x37261636<<28); /* (0x37261636 >>4) = 0x03726163 (0x37261636<<28) = 0x60000000 dwData=0x63726163; */ __asm { mov eax,dwData bswap eax mov dwData, eax } so dwData=0x63617263; ------------------------------------- 前面dwData已经算出 __asm { mov eax, dwData //eax=0x63617263 bswap eax //eax=0x63726163 mov edx, 0xCED7D3A2 sub edx,eax //edx=0x6B65723F bswap edx //edx=0x3F72656B mov dwData,edx } so dwData=0x3F72656B 2013-9-28 23:18 0
kevinjian 雪币： 87 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 84 粉丝 0 关注私信	kevinjian 7 楼膜拜！嘿嘿。 2013-9-28 23:25 0
向往星空雪币： 88 活跃值： (335) 能力值： ( LV4，RANK：55 ) 在线值：发帖 16 回帖 127 粉丝 0 关注私信	向往星空 1 8 楼好眼力 2013-9-29 09:37 0
向往星空雪币： 88 活跃值： (335) 能力值： ( LV4，RANK：55 ) 在线值：发帖 16 回帖 127 粉丝 0 关注私信	向往星空 1 9 楼嗯，不错哦。。。我又积累了几个宏操作 2013-9-29 09:43 0
向往星空雪币： 88 活跃值： (335) 能力值： ( LV4，RANK：55 ) 在线值：发帖 16 回帖 127 粉丝 0 关注私信	向往星空 1 10 楼哈哈，怎么就骗了一个精华呢 2013-9-29 09:44 0
山民雪币： 6390 活跃值： (3480) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 125 粉丝 1 关注私信	山民 11 楼楼主辛苦了，学习原创。 2013-9-29 12:08 0
hkzlq 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 50 粉丝 0 关注私信	hkzlq 12 楼 key的第八位取什么值都可以吧. 2013-9-29 12:57 0
向往星空雪币： 88 活跃值： (335) 能力值： ( LV4，RANK：55 ) 在线值：发帖 16 回帖 127 粉丝 0 关注私信	向往星空 1 13 楼 Yes。生成cm.dll 后，用winHex看了一下内容，自己加的的a,我想作者写的时候可能移位了，结果漏掉了这个位置的校验 2013-9-29 16:43 0
JoySauce 雪币： 341 活跃值： (85) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 185 粉丝 0 关注私信	JoySauce 1 14 楼 LZ辛苦。mark 2013-9-30 22:54 0
Tartar 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 74 粉丝 0 关注私信	Tartar 15 楼这个CM确实有意思，谢谢楼主分享我希望我有一天能把最后的那个问号能变成叹号！ 2013-10-1 21:50 0
zquchs 雪币： 882 活跃值： (350) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 75 粉丝 1 关注私信	zquchs 16 楼辛苦了，有空就学习一下 2013-10-4 12:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复