数学建模社区-数学中国

标题: 从一个简单破解中浅谈破解的思路 [打印本页]
作者: 韩冰    时间: 2005-1-20 14:38
标题: 从一个简单破解中浅谈破解的思路

作者:vifun  http://bbs.pediy.com/

7 R/ d# G# X% y5 i' s

工具/ g$ O3 e" S( c2 l/ S1 f3 m+ AOllyDbg 1.10

' c- S# r$ [2 s6 j: _8 S- p/ a

9 }( q* Y) v- r4 @ crackme:

3 o" n3 ~) i" ?/ R. [2 g

___crakme/download">http://www.crackmes.de/users/zionz/crackmes/zi___crakme/download

' H$ q7 P8 Z# X1 ~) T* j2 l

总结:

/ }7 I% k2 ^$ B# `3 N

1. 不要一开始就用工具,先试运行一下,感觉一下可疑的地方,获取一些重要的信息,如错误提示。

e( m9 ]) ^1 G( }# R6 Z2 M h" K

2. 从内存中查找字符串,输入的信息肯定在内存中的,一定找得到!

. x$ d4 S2 ~6 M' z9 v

3. 大部分软件是等字符串全部输入了再处理的,内存跟踪,死盯着它!

5 I/ E. e! W9 o, ~4 |) V3 K

4. 有些程序是把字符串复制几份放不同地方的,每次被断的时候可以考虑重新搜索一次内存,在所有找到的字符串上下断点。

/ ?/ l1 ?/ j0 d6 s5 \9 J% e

5. 后发先致,先从最后一次读取入手,先分析最后的处理算法,以免在前面一直浪费时间还影响信心。

" }. G9 v' @' x* j: Y

6. 细心、耐心、信心!!

A% v( o t% e' f+ F

为什么先写总结呢?个人觉得这次破解的体会比获得的知识更重要。这个crackme难度不大,但能给刚入门的cracker一点启示。

& m0 `/ D% l% P/ d! k3 E, k ' t j+ |* d1 V7 ?. ?1 B0 v1 \ P- `

提议:

$ p- b0 \- g1 p. h: m# ?

作为老鸟,或许感到很多事是必然的,但对我等菜鸟就不是那么明确了。以后破解文章能不能不单是过程的记录(比如突然冒出一个来到这里),最好还能是一种思想的启示(为什么你要来这里,怎么使你来这里)。

% d7 h4 Z ~; {- z6 }

最好再加上破解时间,因为一篇文章,看起来那么几百字,感觉像3、5分钟就破完一个程序一样,给初学者信心比较大的打击:"怎么我破了整天都没有搞定呢?"。加上时间,大家就可以看出差距了:"原来××牛人都用了半天,我还不太蠢^_^"。

6 y2 `8 t8 f6 a" v! P9 w& R# f

老鸟看到这里就基本上不用看下去了,下面的破解实在是见笑^_^

0 y4 A& q0 W/ g6 ?+ f T ( ^! O2 P- \% Y8 Q# e4 m

正文:

Q3 O! C- s( h* w" {9 x9 u

有感于自己也曾经是菜菜鸟(现在是菜鸟^_^),也碰到过不少菜菜鸟级的问题,藉完成一简单破解之际,特发此文,谈谈菜菜鸟最想问的问题--"为什么这样做啊","为什么决定来这里看看",希望能给未来的菜鸟一点教益。老鸟如果看烦了,小的先陪个罪^_^

; h" s' v8 y4 _ |

昨天在http://www.crackmes.de/ 随手down了个解决了的crackme(___crakme">http://www.crackmes.de/users/zionz/crackmes/zi___crakme)打算学习学习外国人的先进经验(我也是菜鸟啊),没想到两方案都是违背了作者初衷的,自己破吧!

7 r! ?( t. D2 a1 ]& b

先运行一下那个crackme(还是有个总体的印象好,不要什么都不清楚就用工具破解)。好了,发现是命令行界面的,随便输个号进去,回车,显示"WRONG SERIAL"(注意大小写,这个很重要,把提示都记准确一点)。

* F$ y# W' }+ E6 @: e

用OD试着打开,发现没有壳也没有压缩的(这个不用问为什么了吧,OD正常分析通过了)。在代码窗口右击,选"Search for","All referenced text strings",待OD弹出text string窗口后,再右击这个窗口里面随便一处,选"search for text",输入WRONG(全大写,跟提示一样),把Case sensitive和Entire scope选上,按ok。OD提示找不到。好了,这样找不到,试试那样吧:搜索内存,[Alt+M]打开Memory map窗口,右击选中"Search",在ASCII中输入WRONG,同样将Case sensitive和Entire scope选上,按ok。好了这次有了!向上滚动看看上文(通常都要上下结合的啦),发现了

! n4 F5 ?- |9 A! K

1016CD75 45 4E 54 45 52 20 53 45 52 49 41 ENTER SERIA9 U1 f7 D3 t5 X) M: I; H 1016CD85 4C 20 54 4F 20 43 4F 4E 54 49 4E 55 45 3A 00 41 L TO CONTINUE:.A " F5 h( S* Z& C7 L. F* E( `9 C" P1016CD95 58 39 34 33 00 57 45 4C 4C 20 44 4F 4E 45 21 00 X943.WELL DONE!." M X0 U1 Y ]" L. m+ @& s 1016CDA5 57 52 4F 4E 47 20 53 45 52 49 41 4C WRONG SERIAL

' t, `( [+ p8 k/ x: m3 k! W

呵呵,很多字符串哦!AX943是什么,难道就是......按[F9]允许,然后输入AX943,成功了!

+ d/ R L* G0 ]3 n

两个外国人的方案都是到此为止了。如果是破解应用软件,到此也的确够了。此crackme的作者明确表示要求通过任意序列号(Note: Consider it cracked if it accept any serial, not finding the right one.)因此我们继续!

0 r, u( U w% e- v! V7 E3 }0 b5 z

[Ctrl+F2]重新开始,按[F9]运行,出现了提示输入的界面。输个好记并且不容易在内存中存在的字符串,我这里输的是QWERTYUIOP(键盘第一行字母,都大写的)。回到OD,依然[Alt+M],然后[Ctrl+B]调出搜索窗口,输入QWERTYUIOP,按ok。很快OD就找到了

' }- q2 R, w; c4 q; A

00A5D321 51 57 45 52 54 59 55 49 4F 50 00 0D F0 AD BA QWERTYUIOP..瓠?

' q6 h4 r, n$ E, s [! n0 Q

右击51(就是那个Q),选"Breakpoint","Memory,on access",这样当crackme读取这个序列号的时候就被中断了。回到crackme,按回车,OD把它中断在

& c; K9 ]* J4 g+ ?4 _5 U5 A1 h) ~

10045B7E 0FBE00 MOVSX EAX,BYTE PTR DS:[EAX]

0 B; [% H. o7 Y/ `

先不要急,继续[F9]运行,看看它要被读多少次(为什么这样呢,因为很多时候序列号都要被重复读取的,但重要的比较或者运算很可能在最后那次才出现,否则,最后一次读来干嘛就很值得怀疑了)

D6 n0 T0 y5 }. F( q8 v3 x

好了,让它运行都结束,出现WRONG SERIAL(当然的结果,浪费少少时间不要紧),发现一共读了5次!我决定从最后一次入手!!(前几次很可能是一些验空串、去空格等预处理)

4 L6 U- H; v6 c: P

再一次[Ctrl+F2],再一次输入QWERTYUIOP,查找,并下断点,运行。跳过前4次的中断,我们来到最后那次读取的地方,是

* r+ E4 f0 f! G4 T! f/ H% p3 N

10004DEB F3:A6 REPE CMPS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI]

& }7 S: O2 ^' ?# T; T

一看知道是比较了,右边寄存器的窗口还显示出

( c; L% [4 C+ ?! |; j

ESI 00A5D321 ASCII "QWERTYUIOP" 7 a# r- Q! m6 F" n. r! |4 ^/ aEDI 00A59FC1 ASCII "AX943"

9 o# d7 N# S' L3 U7 H

为了通过任意序列号,暴力改下面的跳转吧!

* B5 T$ L9 `. l$ ~; |4 R. L

10004DED 74 05 JE SHORT Zi__Crac.10004DF4

( J# d1 M6 [ T

原来是相等就跳,我把74改为EB,无条件跳转!

( X9 A5 x; q4 x d2 K7 e: L4 }

运行crackme,还是WRONG SERIAL!应该是跳转后还有判断吧......

1 S* F9 A6 P, }! r

再次运行,跟踪,来到10004DED,无条件跳转后,按[F8]跟下去,很快就发现又有比较了

9 A5 P8 x. ^# B7 ]

10004DFB 3BD6 CMP EDX,ESI

4 h: R, {& v0 |4 _$ p1 n8 V# z

代码窗口下面还有提示:

9 O2 i( ^ @& t7 o) E* Z& y

ESI=00000005 : n/ s3 z3 V. n- AEDX=0000000A

3 ~ [/ t# a( g! F3 D

想一下,5应该是AX943的长度,0A就是QWERTYUIOP的长度10,好,继续改跳转

8 {7 w8 g' F3 t, h! f3 F4 H% l7 a

10004DFD 73 05 JNB SHORT Zi__Crac.10004E04

* R+ z: l# v) S& L/ i

将73改为EB,无条件跳转!

+ S9 b0 |3 |; Z7 s6 v6 v

细想原来的JNB这个指令有可疑,为什么不是JNE呢,难道下面还有JB指令?继续[F8]跟!

2 e' t. h1 V" p, o

果然没有错,很快又来一个比较了

! q4 G0 {% q" t' \2 E7 w/ s

10004E06 3BD6 CMP EDX,ESI

- c3 c5 o% {. D* j/ o

而且下面紧接的是

- x4 n9 j* E8 b0 Z( L. d3 S; U6 z

10004E08 0F95C0 SETNE AL

& O+ s7 A- z2 }' w: d! Z. M- A' \

呵呵,终于来"NE"了(不相等就怎么怎么样)!!

4 `) r2 X/ _9 T9 m! ]# t3 F# m0 A

再看下面

0 y5 n: V; j0 O

10004E0B 8BF0 MOV ESI,EAX ! [% A/ I. t, M# U, {10004E0D 85DB TEST EBX,EBX - ]& g0 {( D& B3 u: I10004E0F BF 38AD1210 MOV EDI,Zi__Crac.1012AD389 l1 @' C3 _2 _ X 10004E14 74 33 JE SHORT Zi__Crac.10004E49 2 b0 w. u$ @1 G, M& T1 ]5 t10004E16 8BCB MOV ECX,EBX9 H+ g P( r* S0 z7 l+ H+ T 10004E18 E8 03FCFFFF CALL Zi__Crac.10004A20

8 t4 T' m8 P6 e

3 A5 s( ?, ]/ j3 z9 b# w- m ESI和EAX装的就是比较的结果,然后就是一个CALL!!决不能让你存!!改掉!!目的是要ESI的数值无条件是0(使10004E06处的比较结果一定相等)。考虑到10004E0B的指令有2字节,改为

9 m% p( D5 u9 _, M* T

10004E0B 33F6 XOR ESI,ESI

% d: A% O$ t8 f

运行......全部通过了^_^

% H; r; C- _/ Q( T$ }- F# f) C

以后用16进制编辑器怎么改就不用多说了,基本工具使用的问题。

* x1 M2 H; `) v/ N% g

菜鸟一个,有意见或建议请不吝赐教,共同进步 : )

6 w( [. l) t* h" C% p/ K. |

; g5 l& h$ g) i: a& T2 p" I2 u破解用时:18分钟 : (: b+ M. k8 y i0 {2 p V

% [ t$ ]$ g h9 }; I" k

# v# O( O! e' S! y# T" s





欢迎光临 数学建模社区-数学中国 (http://www.madio.net/) Powered by Discuz! X2.5