-
-
[原创]借助Process Monitor(ProcMon.exe)逆向一个CrackMe
-
发表于: 2019-6-28 00:04
-
一位名为Arkantos的作者,在Crackmes.cf(Crackme.de的镜像站点)站点上提交了一个Crackme,难度级别为1-very_easy_for_newbies。这种入门级别的Crackme其实不足以写博客,只是它的逆向过程正好可以用Process Monitor来完成,写这篇文章就当做Process Monitor的一个实例吧。
作者信誓旦旦的说该crackmes没有加壳,然而,拖进IDA后发现带了UPX壳,于是用DIE查壳确认一下,果然带了UPX壳!作者真是明目张胆的...我们来看下脱壳后怎么分析这个Crackme。
把脱壳后的crackmes拖进IDA,映入眼帘的就是start函数中调用了若干文件操作的API:
这个级别的CM,遇到文件操作,很可能是在tmp目录下生成并运行bat文件,最终序列号的验证也由bat文件完成。既然这样,只要观察CM的行为,应该能获得bat文件,于是,我运行ProcMon并设置如下过滤器,然后开始监视CM的运行过程:
这个级别的CM少有网络/注册表操作所以,在ProcMon窗口中把这两个监测项反选以减少输出:
我猜测这个CM会生成bat文件,所以,在文件操作中更应该关注程序调用CreateFile的行为,因此在Operation中选中一个事件,右键,在弹出的菜单中选择包含CreateFile而过滤其他文件操作:
哼哼,输出窗口顿时清爽了很多!浏览输出,大多数是为了加载必要的系统dll做的文件打开操作,唯独有一项特别刺眼,在%TMP%目录下生成了名为b2e.exe的文件!嗯,在Path列下,选中b2e.exe事件所在行,右键菜单----"jump to"定位到b2e.exe所在的路径,准备分析该文件。
[峰会]看雪.第八届安全开发者峰会10月23日上海龙之梦大酒店举办!
|
|
|---|---|
|
|
|
|
|
|
|
|
不小心还回错! |
