吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 3422|回复: 23

[原创逆向图文] crackme逆向笔记(2)

  [复制链接]
Nx3sdHy 发表于 2014-10-19 04:37 | 显示全部楼层 |阅读模式

本帖最后由 Nx3sdHy 于 2014-10-19 05:08 编辑

说明:

此文为逆向cm的一个笔记,记录一路的成长,因为我本身就是一个新手,所以笔记会从一个新手的角度出发,所以适合和我一样刚接触逆向的新手学习

由于本人工作原因及水平有限,有可能每天更新,也有可能每周更新,每月,每年。。 请见谅。

笔记中有任何错误的地方也请大家多多指正!

笔记中用到的cm均来自适合新手逆向的160个cm(非160cm的会提供附件)。


首先peid查壳,无壳,vb程序。
od载入,将程序运行起来,输入用户名和假码,点击ok,弹出了错误的对话框。
接下来,我们用f12暂停法。
弹出错误对话框后,不要关闭对话框,回到od按快捷键f12暂停程序,或者点击如图按钮:
1.jpg

程序直接暂停了,接下来我们alt+f9返回到用户执行代码:
2.jpg

这个时候程序还是暂停的,我们回到程序,点击错误提示的确定键,此时回到了程序领空,那么上面就是信息框的call了:
3.jpg

我们来看看有没有跳转是可以跳过这个call的,我们向上翻,没多远就发现了一个jmp跳转跳过我们的call,我们知道,jmp是无条件跳转,那为什么还会运行这个call呢,这说明还有跳转跳过了这个jmp,没有让jmp执行:
4.jpg

那么继续往上翻,果然在不远处有个je的条件跳转是可以跳过jmp的:
5.jpg

既然找到了关键跳,那么我们直接nop掉就可以了,但是我们这次尝试追码。
在条件跳转的上面肯定有注册码的比较,然后通过比较的返回值来决定je是否跳转,那我们继续往上看,果然,再上面就找到了比较的关键call,那我们在关键call下断:
6.jpg

我是如何知道这个call就是关键call的呢,我们看上图,vbstrcat,这是个字符串连接的函数,上面有敏感的字符aka,再看下面几行,vbstrcmp,这是字符串对比的函数,所以我们大概就能确定这是关键call了!
接下来运行,程序被断下,这时我们看堆栈窗口,看到了我们的假码,上面还有个aka开头的可以字符串,如果不出意外那就是真码了:
7.jpg
复制到剪切板,我们运行程序把这个可疑的字符串输入进去看看是不是真码,点击ok,成功!这就是真码。
8.jpg


总结:
f12暂停法的简单使用
通过函数名称来判断关键call追码

笔记中的任何问题可以私聊我交流,欢迎大家与我交流。









评分

参与人数 24HB +34 THX +13 收起 理由
29590 + 1
24567 + 1
Jawon + 2
创客者V2.0 + 1
一路走来不容易 + 1
Soul1999 + 1
sjtkxy + 1 + 1
冷亦飞 + 1
消逝的过去 + 1
zyyujq + 1
SmallEXpel + 1
kway + 1
在天一方 + 2 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
playboy + 1
hackysh + 1
jaunic + 1
hnymsh + 1
lies + 1
muker + 1
zaas + 1 因果报应:这么热心分享知识,以后活该你发财!!该!哈~
wangsm + 1 + 1 论坛有你更精彩!感谢楼主!
Shark恒 + 10 + 1 总结的非常详细,感谢作品!
小强 + 4 + 1 支持原创,感谢楼主!
夜幽魂 + 5 + 1 积极评分从我做起,感谢!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
小强 发表于 2014-10-19 07:45 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
pililei 发表于 2014-10-19 09:37 来自手机端 | 显示全部楼层

都是新手差距咋就那个大呢
严重支持一个
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
战股神 发表于 2014-10-19 10:04 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Shark恒 发表于 2014-10-19 15:51 | 显示全部楼层




总结的非常详细,感谢作品!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Crack杰 发表于 2014-10-19 15:56 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
彩虹 发表于 2014-10-20 17:14 | 显示全部楼层

请问调试文件在哪里下载?
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| Nx3sdHy 发表于 2014-10-20 19:50 | 显示全部楼层

彩虹 发表于 2014-10-20 17:14
请问调试文件在哪里下载?

论坛搜索一下160个cm 第2个就是   我手机上的,有空传附件。
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
彩虹 发表于 2014-10-20 20:44 | 显示全部楼层

楼主最好就是每次发图文的时候最好也传上附件,好让我们这些新手练习。不然就有看的份,支持你!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
 楼主| Nx3sdHy 发表于 2014-10-20 21:40 | 显示全部楼层

彩虹 发表于 2014-10-20 20:44
楼主最好就是每次发图文的时候最好也传上附件,好让我们这些新手练习。不然就有看的份,支持你!

好的,下次我会加上,多谢支持!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表