|
作者:vifun http://bbs.pediy.com/ 4 t/ j7 c+ y. \! |( `
工具:, h/ z* J p% a
OllyDbg 1.10 ( ~9 a& C( M) t, }
7 E: D: ^% A R% @! K' ~+ ~! u
crackme: * B0 o% Z$ X% V& d) E
___crakme/download">http://www.crackmes.de/users/zionz/crackmes/zi___crakme/download
7 v: O$ N, ~* O3 J& q1 j总结: / R/ h; R C! K
1. 不要一开始就用工具,先试运行一下,感觉一下可疑的地方,获取一些重要的信息,如错误提示。
( [' P0 p* j3 \3 H R2. 从内存中查找字符串,输入的信息肯定在内存中的,一定找得到! : m8 x1 ~" U* K$ y; |6 ?
3. 大部分软件是等字符串全部输入了再处理的,内存跟踪,死盯着它!
* o; b* u5 l3 x. k6 D# O6 e7 z4. 有些程序是把字符串复制几份放不同地方的,每次被断的时候可以考虑重新搜索一次内存,在所有找到的字符串上下断点。
2 X9 Z1 t- s8 l$ C [3 J2 B; f S: q5. 后发先致,先从最后一次读取入手,先分析最后的处理算法,以免在前面一直浪费时间还影响信心。 ( V' B F8 m% ]1 L
6. 细心、耐心、信心!!
% S( i: }: B% U: Z, k0 h4 s- I& Z! v7 e为什么先写总结呢?个人觉得这次破解的体会比获得的知识更重要。这个crackme难度不大,但能给刚入门的cracker一点启示。
( @3 t% Z6 {5 g b1 c) ~5 `3 S/ R1 h# n, ^- t: \1 J0 o6 I9 Q. N
提议: $ h7 n& Y# O m# U2 O) v2 p* r
作为老鸟,或许感到很多事是必然的,但对我等菜鸟就不是那么明确了。以后破解文章能不能不单是过程的记录(比如突然冒出一个来到这里),最好还能是一种思想的启示(为什么你要来这里,怎么使你来这里)。
. N. `& ?7 }2 K( v, C4 X最好再加上破解时间,因为一篇文章,看起来那么几百字,感觉像3、5分钟就破完一个程序一样,给初学者信心比较大的打击:"怎么我破了整天都没有搞定呢?"。加上时间,大家就可以看出差距了:"原来××牛人都用了半天,我还不太蠢^_^"。
. i w* G0 \: _/ `- W老鸟看到这里就基本上不用看下去了,下面的破解实在是见笑^_^
7 N; E: y7 i' Q0 d7 m# ^: ]" Z7 }& n" \5 H# R
正文:
- |, [- y# o8 ^有感于自己也曾经是菜菜鸟(现在是菜鸟^_^),也碰到过不少菜菜鸟级的问题,藉完成一简单破解之际,特发此文,谈谈菜菜鸟最想问的问题--"为什么这样做啊","为什么决定来这里看看",希望能给未来的菜鸟一点教益。老鸟如果看烦了,小的先陪个罪^_^
; \/ x# V' }4 I; F. Z昨天在http://www.crackmes.de/ 随手down了个解决了的crackme(___crakme">http://www.crackmes.de/users/zionz/crackmes/zi___crakme)打算学习学习外国人的先进经验(我也是菜鸟啊),没想到两方案都是违背了作者初衷的,自己破吧! * s+ U( f0 k+ C$ n) H& [
先运行一下那个crackme(还是有个总体的印象好,不要什么都不清楚就用工具破解)。好了,发现是命令行界面的,随便输个号进去,回车,显示"WRONG SERIAL"(注意大小写,这个很重要,把提示都记准确一点)。 5 t0 [2 J$ _4 a# \& X
用OD试着打开,发现没有壳也没有压缩的(这个不用问为什么了吧,OD正常分析通过了)。在代码窗口右击,选"Search for","All referenced text strings",待OD弹出text string窗口后,再右击这个窗口里面随便一处,选"search for text",输入WRONG(全大写,跟提示一样),把Case sensitive和Entire scope选上,按ok。OD提示找不到。好了,这样找不到,试试那样吧:搜索内存,[Alt+M]打开Memory map窗口,右击选中"Search",在ASCII中输入WRONG,同样将Case sensitive和Entire scope选上,按ok。好了这次有了!向上滚动看看上文(通常都要上下结合的啦),发现了 $ _) g0 |4 g# H
1016CD75 45 4E 54 45 52 20 53 45 52 49 41 ENTER SERIA
* G5 X' I! D% k" I5 A7 V$ Z1016CD85 4C 20 54 4F 20 43 4F 4E 54 49 4E 55 45 3A 00 41 L TO CONTINUE:.A
' j: I$ Z- f; u5 @# E- s1016CD95 58 39 34 33 00 57 45 4C 4C 20 44 4F 4E 45 21 00 X943.WELL DONE!.
; W6 p: ~. o; } ^5 _1016CDA5 57 52 4F 4E 47 20 53 45 52 49 41 4C WRONG SERIAL % [6 I# K* k9 e6 V1 Z4 o* s) r6 b
呵呵,很多字符串哦!AX943是什么,难道就是......按[F9]允许,然后输入AX943,成功了! ) O3 B# P3 J) r# L8 |
两个外国人的方案都是到此为止了。如果是破解应用软件,到此也的确够了。此crackme的作者明确表示要求通过任意序列号(Note: Consider it cracked if it accept any serial, not finding the right one.)因此我们继续!
/ S0 u, m! b' |) _[Ctrl+F2]重新开始,按[F9]运行,出现了提示输入的界面。输个好记并且不容易在内存中存在的字符串,我这里输的是QWERTYUIOP(键盘第一行字母,都大写的)。回到OD,依然[Alt+M],然后[Ctrl+B]调出搜索窗口,输入QWERTYUIOP,按ok。很快OD就找到了
8 J3 ] j9 Y7 O( b00A5D321 51 57 45 52 54 59 55 49 4F 50 00 0D F0 AD BA QWERTYUIOP..瓠?
( k5 ?9 f3 N% `1 G0 N2 S右击51(就是那个Q),选"Breakpoint","Memory,on access",这样当crackme读取这个序列号的时候就被中断了。回到crackme,按回车,OD把它中断在
" c; m9 A; w! x10045B7E 0FBE00 MOVSX EAX,BYTE PTR DS:[EAX] o" M% ]6 G: F8 t8 ~( `- ~
先不要急,继续[F9]运行,看看它要被读多少次(为什么这样呢,因为很多时候序列号都要被重复读取的,但重要的比较或者运算很可能在最后那次才出现,否则,最后一次读来干嘛就很值得怀疑了)
3 N0 P2 I) B1 F1 B8 }- ~好了,让它运行都结束,出现WRONG SERIAL(当然的结果,浪费少少时间不要紧),发现一共读了5次!我决定从最后一次入手!!(前几次很可能是一些验空串、去空格等预处理)
9 t" f% F$ e# D5 H0 Y再一次[Ctrl+F2],再一次输入QWERTYUIOP,查找,并下断点,运行。跳过前4次的中断,我们来到最后那次读取的地方,是 / [! k4 I# d" s7 G: C7 |- {
10004DEB F3:A6 REPE CMPS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI] ; r9 M9 S* E9 k% X F7 P
一看知道是比较了,右边寄存器的窗口还显示出
) n+ P& F1 l; lESI 00A5D321 ASCII "QWERTYUIOP"
0 ]4 C: i& F1 ?1 O/ YEDI 00A59FC1 ASCII "AX943" . @+ X# I1 S7 i, G8 B# t7 S" f! Y
为了通过任意序列号,暴力改下面的跳转吧! ; |% u5 t& y" A
10004DED 74 05 JE SHORT Zi__Crac.10004DF4 : V5 ]$ U4 r1 x1 S+ V5 o [% g- d3 G
原来是相等就跳,我把74改为EB,无条件跳转!
3 q& Q' H# A+ w+ z' g运行crackme,还是WRONG SERIAL!应该是跳转后还有判断吧......
9 f, h! M/ }5 _8 Z8 v再次运行,跟踪,来到10004DED,无条件跳转后,按[F8]跟下去,很快就发现又有比较了
& D- r1 G3 l# R; p# K0 w10004DFB 3BD6 CMP EDX,ESI * x3 l6 H; Q O. F! T
代码窗口下面还有提示: % f: z# D3 c$ Q2 R b4 k
ESI=00000005& \" H6 U U9 d$ ~' T, U4 q e5 w
EDX=0000000A
0 X, S1 Q" f. A" x, q* R想一下,5应该是AX943的长度,0A就是QWERTYUIOP的长度10,好,继续改跳转
4 \; J3 R# D1 W8 R8 D) z- Y10004DFD 73 05 JNB SHORT Zi__Crac.10004E04 " l# a- F) t. H1 H
将73改为EB,无条件跳转!
& [# Z! x5 e. j: I0 ]. u4 N& v细想原来的JNB这个指令有可疑,为什么不是JNE呢,难道下面还有JB指令?继续[F8]跟!
% x3 [' s5 i- O果然没有错,很快又来一个比较了
! ]2 a! L' d; [8 n% x10004E06 3BD6 CMP EDX,ESI
* w! `' m0 m, w( D而且下面紧接的是 I9 J, u: q/ v& F. V
10004E08 0F95C0 SETNE AL
: E+ O# V2 e# \, A呵呵,终于来"NE"了(不相等就怎么怎么样)!!
4 R6 M* w, y) Z4 Q# ^再看下面 " o9 W$ z4 f: `
10004E0B 8BF0 MOV ESI,EAX. u3 J- o6 Y# s0 \! [1 E2 b" ~
10004E0D 85DB TEST EBX,EBX
" d E( A$ I4 z; B10004E0F BF 38AD1210 MOV EDI,Zi__Crac.1012AD38
/ N8 M+ @; s+ I& g. r, D10004E14 74 33 JE SHORT Zi__Crac.10004E49
( K/ }' X/ ~; W6 _10004E16 8BCB MOV ECX,EBX. L0 Z* j! |1 i6 ?. t$ o
10004E18 E8 03FCFFFF CALL Zi__Crac.10004A20 6 ]# u6 E8 y1 {4 e; u$ h: C
5 h& Y& \+ ~$ H3 t3 F
ESI和EAX装的就是比较的结果,然后就是一个CALL!!决不能让你存!!改掉!!目的是要ESI的数值无条件是0(使10004E06处的比较结果一定相等)。考虑到10004E0B的指令有2字节,改为
. w: J3 z" O2 F2 F10004E0B 33F6 XOR ESI,ESI 5 j3 } y2 Q6 l5 m
运行......全部通过了^_^
" J" F$ l L8 r# }以后用16进制编辑器怎么改就不用多说了,基本工具使用的问题。 % N& o) w- H: _; _1 x
菜鸟一个,有意见或建议请不吝赐教,共同进步 : )
8 z$ D, L( N! w1 B% V. n1 G
, S4 L' }) F" h3 e0 \2 {破解用时:18分钟 : () S# p3 d9 p. C) a
: c4 U8 k/ Q6 V: `; x$ M- h0 H
! a! n" |3 ?0 _ | 
IP卡
狗仔卡
发表于 2005-1-20 14:38
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
