-
-
[原创]一个crackme的分析
-
发表于: 2009-10-9 20:42
-
这个CM很好玩儿。花了几天时间终于破解了(实在是太笨了
,所以花了几天。。。),觉得有必要将整个过程写下来与大家分享。语文没有学好,也没什么幽默感,所以文章不怎么好
,希望大家不要笑话。有什么不当的地方还请各位多多指教。
OK,开始正文。
PEID分析,没有加壳,VC 6编写,有附加数据4个字节。另外,如果用PEID的插件KANAL分析,还会得知程序中使用了CRC32算法。
OD载入,不使用任何插件,首先运行一次,发现程序退出了。怀疑有反调试。使用插件隐藏一下OD,F9运行,这下可以了,程序没有退出。
随便输入用户名和KEY,点击OK按钮,发现会弹出出错提示。那我们就下MessageBoxA断点试试。命令行输入bp MessageBoxA,好,断下来了。单步执行,直到返回程序领空00401606。
取消MessageBoxA断点,然后向上翻,找到代码最开始处00401440,下INT3断点。OK,再次F9运行,发现程序又退出了。(。。郁闷啊。。)多次试验后,发现:只要(在程序的代码段)下INT3断点,程序就会退出。联想到《加密与解密 第三版》上关于INT3断点的介绍,猜测程序对代码段有自校验,于是取消所有INT3断点,改下硬件断点。OK!这次可以了。高兴啊。。。。
上图显示的就是注册算法部分的代码。注册算法如下(大家自己跟踪一下看看):
字节数组a[0...8] = {0x4b, 0x45, 0x59, 0x2d, 0x4b, 0x41, 0x4e, 0x4f, 0x4e}
ESI = 累加用户名各个字节
EDI = 累加 { [ (a[i] * ESI) mod 26 + 'a' ] xor 0xaa } , i=0...8
KEY必须是9个字节,其各个字节与0xaa异或后的累加值 == EDI, 则注册成功。
算法就是这样。很简单的。注册机如下:
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
看了LZ的文章,立马开动自己也尝试了一下,OD载入CM,F9果然程序直接退出了,但是直接选项插件里的HIDEOD貌似也不行,必须是如下图:
 下面还没分析,单纯看这个OD的选项,喔觉得CM的作者可能调用了IsDebuggerPresent亦或者用内联汇编实现了一个类似反调试工具的函数,猜测,继续分析再验证 喔是小菜,所以为了避免别的小菜不知道,在这里提一下 |
|
|
程序就是调用API---IsDebuggerPresent来检测调试器的。
调用地址00401761. 关于这一点,附件里的CPP文件的注释里面有说明。 
|
|
|
|
|
|
|
