crackme001

二进制

字数统计: 1.7k阅读时长: 6 min

 2021/03/23 

我的第一个程序破解。

最近在学习C语言的语法，今天因为早上起来得太早，导致一整天状态都不是很好，索性就没有继续，就拿了个最简单的crackme练练手

首先跑一下程序，看下报错

PE查壳，发现是一个啥子delphi的东西，没见过啊

遂百度查看一手，还好不是壳子，就是个开放工具，那应该可以直接撸不用脱壳了

MessageBoxA断点调试

先看一下MessageBoxA这个函数停在哪

停在了这个地方

反汇编进去跟一手

但是看了一下这前后似乎没有啥子jcc语句的跳转

所以智能搜索看了一下字符串，找到了报错的语句

断点调试字符串

设置断点调试看看

断点后运行发现还是报错，那么应该是断点的位置不对

既然一直失败，那就把断点设置在失败这个地方

运行一下，然后没有报任何的提示框，那么断点的位置应该是下对了

右侧按钮绕过

断点往上跟一下，发现应该是成功的语句，在0042F4D5这个位置有一个jnz的语句，如果执行jnz就会跳转到0042F4F1这个地址，那么正确的语句就不会被执行

那么这个地方就有两种方式让它不跳转，一是直接nop置空，二是把ZF寄存器的值改为1

这里我用的第一种方法，直接把jcc语句nop掉

测试一下，发现成功跳转

这里只是成功绕过了，但是注册码可能会改变，这时候我继续找一下他的加密算法

继续往jcc语句上面跟一下

在jcc语句上有一个函数的调用先不管，再往上看发现有两个往eax，edx寄存器存入值的操作，猜测是字符串存在某个内存里，然后移到了寄存器里面

再往成功的上面看，发现有两个单词，我猜测是字符串

然后成功

左侧按钮绕过

这是最右边的一个按钮，看样子应该已经破解成功了，再测试一下左边那个按钮，之前测试了断在tryagain并没有起到效果，那么很可能是左边这个按钮是用try again的语句

再在第一个try again这个地方下个断点

这里的try again很奇怪，只有错误信息，并没有登录成功的语句，在之前0042FA5A这个内存有一个jge语句，jge是大于等于跳转，那么再网上看0042FA57这个cmp语句就是拿eax的值与4对比

那么这个try again的作用应该是将输入的字符串与4对比，若小于4直接返回错误信息，若大于4则程序继续往下执行

再看到第二个try again，这里是有正确信息的字符串的，那么这里应该是正确密码的判断地方，往上跟jcc语句，好像是和右边按钮一样的结构

那么很明显，edx，eax就是存储字符串的地方了

直接在call这个地方，即0042FAFE这个地方下个断点，然后发现eax的值存放得有一个ascii码

OK，成功了

算法解密

左右两个框都已经绕过了，我还是想看一下他的加密算法是如何实现的，我猜测加密算法就肯定在这两个try again之间

往下看的时候，发现这段代码明显是在内存和寄存器之间操作，那么很可能就是加密算法

在0042FA87这个地方下个断点，分析下加密算法

ebp:0019F76C esp:0019F740

imul指令：有符号乘，影响 OF、CF 标志位

如果参数是 r8/m8, 将把 AL 做乘数, 结果放在 AX
如果参数是 r16/m16, 将把 AX 做乘数, 结果放在 EAX
如果参数是 r32/m32, 将把 EAX 做乘数, 结果放在 EDX:EAX

0042FA87 |. 8B45 F0 mov eax,[local.4] 022E0F70即用户名存入eax  
0042FA8A |. 0FB600 movzx eax,byte ptr ds:[eax] 取第一个字符5，也就是0x35   
0042FA8D |. F72D 50174300 imul dword ptr ds:[0x431750]
0x35*0x29=0x87D，结果存入edx：eax  
0042FA93 |. A3 50174300 mov dword ptr ds:[0x431750],eax 再将eax给0x431750  
0042FA98 |. A1 50174300 mov eax,dword ptr ds:[0x431750] 因为edx为0，取结果放入[431750]  
0042FA9D |. 0105 50174300 add dword ptr ds:[0x431750],eax 自加，得0x10FA，放到eax

继续向下看，到下一个call的地方

在0042FAA6执行过后，将字符串CW传入了edx