逆向破解之160個CrackMe —— 030
阿新 • • 發佈:2019-09-10
CrackMe —— 030
160 CrackMe 是比較適合新手學習逆向破解的CrackMe的一個集合一共160個待逆向破解的程式
CrackMe:它們都是一些公開給別人嘗試破解的小程式,製作 crackme 的人可能是程式設計師,想測試一下自己的軟體保護技術,也可能是一位 cracker,想挑戰一下其它 cracker 的破解實力,也可能是一些正在學習破解的人,自己編一些小程式給自己破。
CrackMe簡稱CM。 程式下載地址:點選我來源 <-點選檢視
| 編號 | 作者 | 保護方式 |
| 030 | cracking4all | Serial(VB5) |
工具
x32dbg
VB Decompiler Pro
開始破解之旅
ON.1
爆破方式
使用x32dbg開啟030號程式,右鍵搜尋字串
此時我們看見了正確提示字元提示資訊和錯誤字元提示資訊,進入正確提示資訊地址為004033A5
00403319 | 66:03C7 | add ax,di | 0040331C | 0F80 44020000 | jo cracking4all.1.403566 | 此處向下跳轉到錯誤提示處,驗證輸入格式 00403322 | 0F80 3E020000 | jo cracking4all.1.403566 | 此處向下跳轉到錯誤提示處,驗證輸入格式 00403328 | 8BF8 | mov edi,eax | 0040332A | E9 C0FEFFFF | jmp cracking4all.1.4031EF | 0040332F | 8D45 C8 | lea eax,dword ptr ss:[ebp-0x38] | 00403332 | 8D8D 38FFFFFF | lea ecx,dword ptr ss:[ebp-0xC8] | 00403338 | 50 | push eax | 00403339 | 51 | push ecx | 0040333A | C785 40FFFFFF C8274000 | mov dword ptr ss:[ebp-0xC0],cracking4all.1.4027C8 | [ebp-C0]:L"à", 4027C8:L"qBQSYdXUe_B\\V" 00403344 | C785 38FFFFFF 08800000 | mov dword ptr ss:[ebp-0xC8],0x8008 | 0040334E | FF15 44614000 | call dword ptr ds:[<&__vbaVarTstEq>] | 00403354 | 66:85C0 | test ax,ax | 00403357 | B9 04000280 | mov ecx,0x80020004 | 0040335C | B8 0A000000 | mov eax,0xA | A:'\n' 00403361 | 894D 80 | mov dword ptr ss:[ebp-0x80],ecx | 00403364 | 8985 78FFFFFF | mov dword ptr ss:[ebp-0x88],eax | 0040336A | 894D 90 | mov dword ptr ss:[ebp-0x70],ecx | [ebp-70]:"梵" 0040336D | 8945 88 | mov dword ptr ss:[ebp-0x78],eax | 00403370 | 0F84 E8000000 | je cracking4all.1.40345E | 此處向下跳轉到錯誤處,驗證輸入Passowrd是否正確 00403376 | 8B35 9C614000 | mov esi,dword ptr ds:[<&__vbaVarDup>] | 0040337C | BF 08000000 | mov edi,0x8 | 00403381 | 8D95 28FFFFFF | lea edx,dword ptr ss:[ebp-0xD8] | 00403387 | 8D4D 98 | lea ecx,dword ptr ss:[ebp-0x68] | 0040338A | C785 30FFFFFF 24284000 | mov dword ptr ss:[ebp-0xD0],cracking4all.1.402824 | 402824:L"Valid" 00403394 | 89BD 28FFFFFF | mov dword ptr ss:[ebp-0xD8],edi | 0040339A | FFD6 | call esi | 0040339C | 8D95 38FFFFFF | lea edx,dword ptr ss:[ebp-0xC8] | 004033A2 | 8D4D A8 | lea ecx,dword ptr ss:[ebp-0x58] | 004033A5 | C785 40FFFFFF E8274000 | mov dword ptr ss:[ebp-0xC0],cracking4all.1.4027E8 | [ebp-C0]:L"à", 4027E8:L"Password correct, hehe, :-)" 004033AF | 89BD 38FFFFFF | mov dword ptr ss:[ebp-0xC8],edi | 004033B5 | FFD6 | call esi | 004033B7 | 8D95 78FFFFFF | lea edx,dword ptr ss:[ebp-0x88] | 004033BD | 8D45 88 | lea eax,dword ptr ss:[ebp-0x78] | 004033C0 | 52 | push edx | 004033C1 | 8D4D 98 | lea ecx,dword ptr ss:[ebp-0x68] | 004033C4 | 50 | push eax |
我們看到有三處跳轉跳轉到了錯誤提示資訊處,將這三處跳轉修改為NOP,地址為0040331C,00403322和00403370,F9執行
bingo~ 爆破成功
ON.2
追碼方式
使用VB Decompiler Pro開啟030號程式,我們在左側選中Code -> password -> Command1_Click,右側及顯示反彙編的程式碼
我們可以看出該函式會獲取我們輸入的長度,同時迴圈將每個字元的ASCII碼與ecx進行異或運算,最後與“qBQSYdXUe_B\V”進行對比
那麼ecx是誰呢,我們通過x32dbg可以看出為字串“2000"迴圈,每次讀取一位,迴圈讀取
00403271 | FFD3 | call ebx | 00403273 | 50 | push eax | 00403274 | FF15 0C614000 | call dword ptr ds:[<&rtcAnsiValueBstr>] | 0040327A | 0FBFD0 | movsx edx,ax | 0040327D | 8D8D 68FFFFFF | lea ecx,dword ptr ss:[ebp-0x98] | 00403283 | 8D45 BC | lea eax,dword ptr ss:[ebp-0x44] | 00403286 | 51 | push ecx | 00403287 | 50 | push eax | 00403288 | 8995 E8FEFFFF | mov dword ptr ss:[ebp-0x118],edx | 0040328E | FFD3 | call ebx | 00403290 | 50 | push eax | 00403291 | FF15 0C614000 | call dword ptr ds:[<&rtcAnsiValueBstr>] | 00403297 | 8B95 E8FEFFFF | mov edx,dword ptr ss:[ebp-0x118] | 0040329D | 0FBFC8 | movsx ecx,ax |
列出我們的Python程式碼
password = ''
asc_password = 'qBQSYdXUe_B\\V'
for k, v in enumerate(asc_password):
password = password + chr(ord(v) ^ ord('2000'[k % 4]))
print(password)
結果為“CrackTheWorld”,帶入到程式內
bingo~ 破解成功
&n