【文章标题】: (灌水)__imp__keygenme3分析
【文章作者】: 峰回路转
【作者邮箱】: killbug2004@gmail.com
【软件名称】: __imp__keygenme3
【软件大小】: 9k
【下载地址】: http://www.crackmes.de/users/imp/keygenme_3/download
【编写语言】: asm
【使用工具】: peid，od，ida，ultraedit
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  这个crackme在www.crackmes.de上挂了几天，估计是太容易的，大家没去看。我就下下来
  试着玩一下，这里记录一下我的一种注册的方法。估计还有别的注册方法，我没有仔细的看。

  先用peid查一下加壳没，结果是TASM / MASM。
  接着用OD载入，F8大体的走了一下，很快就发现有花指令
  0040103B   /EB FF           jmp     short 0040103C
  0040103D    D068 24         shr     byte ptr [eax+24], 1
  00401040    34 40           xor     al, 40
  00401042    00FF            add     bh, bh
  00401044    35 00374000     xor     eax, 403700
  00401049    E8 120B0000     call    <jmp.&kernel32.GetProcAddress>
  这种隐藏函数调用的花比较常见，可以将40103B地址处的第一个字节nop掉，程序中还有几处
  也用了这种方法，可以手工改，我比较懒，写了
  一句话 REPL 401000,#ebffd0#,#90ffd0#,1000，用脚本跑一下，程序代码就清晰多了，把
  程序dump出来，丢到 IDA中，程序比较小，很快就分析好了。
  用IDA分析时发现程序中还有几处用了比较常见的anti-debug的方法
  1、使用NtSetInformationThread这个Native API，地址是401138、40163c、401330
     401A7B，用OD调试时可以直接在这些地址调用的地方nop掉，也可以使用插件。
  2、CC检测
   
     004015C8    56              push    esi
     004015C9    1E              push    ds
     004015CA    0E              push    cs
     004015CB    1F              pop     ds
     004015CC    8B76 02         mov     esi, dword ptr [esi+2]
     004015CF    8B36            mov     esi, dword ptr [esi]
     004015D1    8BC6            mov     eax, esi
     004015D3    25 FF000000     and     eax, 0FF
     004015D8    3C CC           cmp     al, 0CC；检测是否下断点
     004015DA    B8 4A000000     mov     eax, 4A
     004015DF    74 02           je      short 004015E3
     004015E1    33C0            xor     eax, eax
     004015E3    1F              pop     ds
     004015E4    5E              pop     esi
     004015E5    C3              retn
     程序在调用GetDlgItem函数前检测是否被下断点，OD调试时nop掉检测函数调用或不在这
     个API处下断点即可
  3、利用PEB检测
     004019DB    64:A1 30000000  mov     eax, dword ptr fs:[30]
     004019E1    8B40 18         mov     eax, dword ptr [eax+18]
     004019E4    8B40 10         mov     eax, dword ptr [eax+10]
     004019E7    85C0            test    eax, eax
     004019E9  ^ 0F85 A4F6FFFF   jnz     00401093；检测到调试器就退出
     004019EF    C3              retn
     可以直接把40109F处的调用nop掉
  
  再粗看了一下程序的流程，大体如下：
  1、.text:0040106F   call    eax ; Open_File ; 从"custom.ev"中读入数据到buffer中
  2、.text:00401077   call    eax ; Check_Data ; 判断文件中的数据是否是有效的
  3、利用SEH调到.text:0040108E  call    WinMain_401099处创建对话框
  
  现在的关键就是分析消息处理中对注册消息的处理，在消息处理分支中找到如下
  .text:00401323                 cmp     [ebp+wParam], 3EBh ; checkBTN
  .text:0040132A                 jnz     loc_4013D2
  .text:00401330                 call    anti_debug2
  .text:00401335                 mov     Message_Lenght, 0 ; 初始化
  .text:0040133C                 mov     ecx, 30h
  .text:00401341                 xor     eax, eax
  .text:00401343                 mov     edi, offset Message_Buffer
  .text:00401348                 rep stosb               ; 初始化字符数组
  .text:0040134A                 lea     esi, GetDlgItemTextA
  .text:00401350                 call    antiBP_4015C8
  .text:00401355                 cmp     eax, 4Ah
  .text:00401358                 jz      loc_401492      ; 调走就over!
  .text:0040135E                 push    3Fh
  .text:00401360                 push    offset sz_Name
  .text:00401365                 push    3E9h            ; NameEdit
  .text:0040136A                 push    [ebp+hWnd]
  .text:0040136D                 call    esi             ; GetDlgItemTextA
  .text:0040136F                 test    eax, eax
  .text:00401371                 jnz     short loc_401397
  来到
  .text:00401397 loc_401397:                   ; CODE XREF: WndProc_401301+70j
  .text:00401397                 cmp     eax, 32h; 判断名字的长度是否大于32h(50D)
  .text:0040139A                 jle     short loc_4013C0
  名字长度合法来到
  .text:004013C0 loc_4013C0:        ; CODE XREF: WndProc_401301+99j
  .text:004013C0                 mov     NameLength, eax
  .text:004013C5                 mov     eax, offset CreateThread_401A7B
  .text:004013CA                 nop
  .text:004013CB                 call    eax ; CreateThread_401A7B ; 创建线程
  .text:004013CB
  来到线程的进入函数处.text:00401919 ; DWORD __stdcall StartAddress(LPVOID)，可以
  看到一大段对输入用户名的处理，先弄清楚处理流程，暂且不细看，接着出现
  .text:0040198A                 push    0               ; lParam
  .text:0040198C                 push    0               ; wParam
  .text:0040198E                 push    511h            ; Msg
  .text:00401993                 push    hDlg            ; hWnd
  .text:00401999                 call    PostMessageA
  这里发送自定义消息，我们又来到开始的消息处理函数处，找到处理Msg为511h的分支
  .text:004013F8 loc_4013F8:                   ; CODE XREF: WndProc_401301+1Cj
  .text:004013F8                 cmp     [ebp+Msg], 511h ; 自定义消息
  .text:004013FF                 jnz     loc_4014C5
  .text:00401405                 movq    mm0, qword_403450
  .text:0040140C                 lea     esi, GetDlgItemTextA
  .text:00401412                 call    antiBP_4015C8
  .text:00401417                 cmp     eax, 4Ah
  .text:0040141A                 jz      short loc_401492 ; 如果下了断点就跳走
  .text:0040141A
  .text:0040141C                 push    3Fh
  .text:0040141E                 push    offset s_Key
  .text:00401423                 push    3EAh
  .text:00401428                 push    [ebp+hWnd]
  .text:0040142B                 call    esi ;获取Key
  .text:0040142D                 cmp     Flag, 0
  .text:00401434                 jnz     short loc_401492
  .text:00401436                 test    eax, eax
  .text:00401438                 jz      short loc_40144A ; 如果没有输入key就跳走
  .text:0040143A                 cmp     eax, 13h        ; Key的长度要为13h (19D)
  .text:0040143D                 jnz     short loc_40146E
  .text:0040143F                 call    Check_Key;检验key字符是否合法
  .text:00401444                 test    eax, eax
  .text:00401446                 jnz     short loc_40146E
  .text:00401448                 jmp     short loc_401492
  如果输入的key合法我们就来到下面的注册验证的过程
  .text:00401492 loc_401492:                   ; CODE XREF: WndProc_401301+57j
  .text:00401492                 xor     esi, esi
  .text:00401494                 mov     esi, 2
  .text:00401499                 jmp     short loc_4014AC
  .text:00401499
  .text:0040149B ; ------------------------------------------------------------
  .text:0040149B loc_40149B:                   ; CODE XREF: WndProc_401301+1B2j
  .text:0040149B                 movzx   eax, FileData[esi]
  .text:004014A2                 push    eax
  .text:004014A3                 lea     eax, Serial_Check
  .text:004014A9                 nop
  .text:004014AA                 call    eax ;此处进行校验
  .text:004014AC loc_4014AC:                 ; CODE XREF: WndProc_401301+198j
  .text:004014AC                 cmp     si, FileData_Length
  .text:004014B3                 jbe     short loc_40149B
  我们跟进Serial_Check这个函数，可以发现许多的分支对参数处理，不过在这么多的分支中有
  一个我们希望看到运行的
  .text:0040189D                 cmp     [ebp+arg_0], 12h
  .text:004018A1                 jnz     short loc_4018CA
  .text:004018A3                 cmp     Flag, 0
  .text:004018AA                 jnz     short loc_4018C6
  .text:004018AC                 push    0               ; uType
  .text:004018AE                 push    offset s_WellDone ; "Well done :)"
  .text:004018B3                 push    offset s_YouVeOvercome ; "You've
                                        overcome it!\r\n\r\nNow muster your "...
  .text:004018B8                 push    hDlg            ; hWnd
  .text:004018BE                 call    MessageBoxA
  这个对话框是注册成功的标志，我们找到能走到这个流程的输入参数为12h，只要输入参数为
  12h还有Flag不为零，就注册成功
  
  
  现在弄清楚了处理流程我们就仔细看这些参数是怎么来的，在IDA中利用交叉引用可以知道，
  FileData中的数据是从文件"custom.ev"中读取的，如果不存在文件，FileData中的数据就
  是程序中初始化的。而Flag的值只有在
  .text:004015B0          cmp     byte ptr unk_4034A3, 'M' ; 如果我们没有         

                              ；构建custom.ev文件，那么，这里为假，Flag一直都为零
  .text:004015B7          jnz     short loc_4015BF
  .text:004015B9          inc     Flag
  这里会被改变，所以现在我们只要使FileData中存在 12h,并且上面的代码能执行,使Flag不
  为零,基本就可以注册成功
  
  现在关键就是构建合法custom.ev文件,来到文件数据检测函数
  Check_Data      proc near               ; CODE XREF: start+77p
  .text:00401574                                         ; DATA XREF: start+71o
  .text:00401574                 xor     esi, esi
  .text:00401576                 mov     al, FileData[esi]
  .text:0040157C                 inc     esi
  .text:0040157D                 cmp     al, '#'
  .text:0040157F                 jnz     short loc_401576
  .text:00401581                 dec     esi          ; 判断FileData中是否只有#号
  .text:00401582                 jz      short loc_401596
  .text:00401584                 cmp     FileData, 'E'
  .text:0040158B                 jnz     short loc_401596
  .text:0040158D                 cmp     byte ptr unk_4034A2, 'V'
  .text:00401594                 jz      short loc_4015B0
  .text:00401596                 push    10h             ; uType
  .text:00401598                 push    offset Caption  ; "Something's wrong...

:("
  .text:0040159D                 push    offset s_InvalidInput ; "Invalid

input!"
  .text:004015A2                 push    0               ; hWnd
  .text:004015A4                 call    MessageBoxA
  .text:004015A9                 push    0FFFFFFFFh      ; uExitCode
  .text:004015AB                 call    ExitProcess
  .text:004015B0                 cmp     byte ptr unk_4034A3, 'M' ; 如果我们没有
                               ；构建custom.ev文件，那么，这里为假，Flag一直都为零
  .text:004015B7                 jnz     short loc_4015BF
  .text:004015B9                 inc     Flag
  .text:004015BF                 dec     esi
  .text:004015C0                 mov     FileData_Length, si
  .text:004015C7                 retn
  从上面的代码中可以看出我们在构建custom.ev文件是开始必须为EV,要想Flag不为零,第三个
  字节为M,最后我构建的custom.ev文件中的二进制内容为
  00000000h: 45 56 6D 12 23                                  ; EVm.#
  为了顺利的走到注册成功的地方,只需要输入的用户名长度不大于32h(50D),注册码长度为13h
  (19D),并且注册码的字符满足
  .text:004019F0 Check_Key  这个子函数的要求:
  1、key的长度为13h(19D)
  2、合法的字符是0-9、A-G和a-g
  3、注册码的5、10和15位可以为字符'-'.
  
  根据以上分析构建custom.ev，使用原始的程序输入合法的用户名和key,可以实现成功注册的
  对话框，不知这是作者的初衷，还是一个bug,因为不构建custom.ev文件涉及比较复杂的处理
  我没有细看。
  
  另外这个crackme中有hide message，可以写一个程序向crackme发送一定特定的WM_CHAR消息
  ，就可以显示出来，验证算法如下：
  .text:004014FA loc_4014FA:                 
  .text:004014FA                 mov     ah, byte_4036D1[ecx] ; 处理发送的消息
  .text:00401500                 xor     Message_Buffer[ecx], ah
  .text:00401506                 dec     ecx
  .text:00401507                 jns     short loc_4014FA
  .text:00401507
  .text:00401509                 mov     ecx, 7
  .text:0040150E                 xor     eax, eax
  .text:00401510                 mov     ebx, dword_4036F2
  .text:00401510
  .text:00401516
  .text:00401516 loc_401516:                  
  .text:00401516                 mov     esi, dword ptr Message_Buffer[ecx*4]
  .text:0040151D                 xor     eax, esi
  .text:0040151F                 mov     edx, 1Fh
  .text:0040151F
  .text:00401524
  .text:00401524 loc_401524:                             
  .text:00401524                 bt      eax, 1Fh
  .text:00401528                 jnb     short loc_40152E ; eax最高位为0时跳
  .text:00401528
  .text:0040152A                 shl     eax, 1
  .text:0040152C                 xor     eax, ebx        ;
  .text:0040152C                                       
  .text:0040152C
  .text:0040152E
  .text:0040152E loc_40152E:                             
  .text:0040152E                 shl     eax, 1
  .text:00401530                 dec     edx
  .text:00401531                 jns     short loc_401524
  .text:00401531
  .text:00401533                 dec     ecx
  .text:00401534                 jns     short loc_401516
  .text:00401534
  .text:00401536                 cmp     eax, 1100010010110101010101001001000b
  .text:0040153B                 jnz     short loc_401551
  .text:0040153B
  .text:0040153D                 push    0               ; uType
  .text:0040153F                 push    offset s_TheHiddenMess ; "The hidden   

                                                             ;message is:"
  .text:00401544                 push    offset Message_Buffer ; lpText
  .text:00401549                 push    [ebp+hWnd]      ; hWnd
  .text:0040154C                 call    MessageBoxA
  我功力尚浅，无法分析出应该发送的字符序列，只能想到用穷举的方法，自己的电脑比较烂，
  就没有跑，不知哪位高手可以分析出来，请告知。
  
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2007年10月24日 下午

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课