crackme逆向笔记（3）

说明：

此文为逆向cm的一个笔记，记录一路的成长，因为我本身就是一个新手，所以笔记会从一个新手的角度出发，所以适合和我一样刚接触逆向的新手学习。

由于本人工作原因及水平有限，有可能每天更新，也有可能每周更新，每月，每年。。 请见谅。

笔记中有任何错误的地方也请大家多多指正！

笔记中用到的cm大部分来自适合新手逆向的160个cm。

老规矩，peid查壳，虽然一般cm是不加壳的。。。

无壳，vb的程序，那么我们od载入他吧！

载入程序后，看到程序界面上的提示 kill the nag & find the serial （去掉nag窗口 找到注册码）

找注册码这里就不赘述了，找到关键跳后去代码段首下断，f8单步跟，代码比较长，需要点耐心，遇到敏感字符就记录下来，不太明白的可以看我的前两个笔记。

重点来了，kill the nag，去掉软件的nag窗口。这个程序载入后，会出现一个持续一段时间的nag的窗口。

我们如何去掉他呢，这里我们要用到到VBExplorer ，它的前身为VBEditor，它是一个反编译VB程序的应用程序，我们在VBExplorer 中打开这个cm，之后我们来查找一些我们需要的东西，如图：

通过这个可以看出来，先是载入了一个form，这个form的运行用时间函数来控制，时间周期为7000毫秒，直接修改一下时间周期来看看，没有效果。。。 那我们od载入它

载入后我们下断bp SetTimer （注意函数的大小写一定要对）这是下的时间函数断点。之后我们运行程序，断了下来：

看来没错了，timeout就是作者设置的时间周期，7000毫秒，也就是7秒，我们改成0，运行它。

修改后运行确实没有了nag，但是这尼玛在系统领空，保存不了修改，怎么办呢，祭出c32asm，c32是一个强大的反汇编分析软件，支持反汇编模式，16进制模式，是静态分析的神器。

打开c32，直接将程序拖入，选择16进制模式，我们搜索581b，这是7000的16进制代码：

这时有人可能会问，7000的16进制代码是1b58啊，怎么搜索581b呢，这里我也查了一下资料：

多字节数据存放顺序与CPU有关，微处理器中的存放顺序有正序（Big-Endian）和逆序（Little-Endian）之分。常见的Intel系列使用的编码方式属于Little-Endian类；某些RISC架构的CPU，如IBM的Power-PC等属于Big-Endian类。
两种编码区别：
●Big-Endian：高位字节存入低地址，低位字节存入高地址，依次排列。
●Little-Endian：低位字节存入低地址，高位字节存入高地址，反序排列

这下大家应该知道为什么搜索581b了吧！这里我改为0100也就是1毫秒，为什么不改成0000呢，因为我测试过，改成0000会让时间周期事件停止，导致一直停在nag画面。。。。。。


改好后我们保存出来新的exe运行，发现还是有些小毛病，因为即使是1毫秒，他也会显示出1毫秒的nag窗口，所以我们再回到VBExplorer，载入修改后的程序，将nag的窗口长宽大小改为0。


ok，我们看不到那1毫秒转瞬消失的nag窗口了，到此成功kill了这个nag窗口。

其实我觉得这不算完美的kill，因为程序有1豪秒载入nag的过程，但我们看不出来而已，希望有研究过这个cm的朋友再给出一些方法，比如直接hook补丁。

总结：
SetTimer断点的使用
VBExplorer的使用
C32的使用
了解多字符在cpu中的存放顺序

笔记中的任何问题可以私聊我交流，欢迎大家与我交流。


AfKayAs.2.zip (25.98 KB, 下载次数: 18)

2014-10-20 03:27 上传

点击文件名下载附件

虽然是CM，但是我觉得你这个经验总结的非常好，而且描述很清晰，我要给你精华！加油，鹏飞！

Shark恒 发表于 2014-10-20 03:18
虽然是CM，但是我觉得你这个经验总结的非常好，而且描述很清晰，我要给你精华！加油，鹏飞！

老师我会继续努力的。

Nx3sdHy 发表于 2014-10-20 03:19
老师我会继续努力的。

对了，记得上传每一次的课件，加到附件里，大家想尝试的可以下载。

Shark恒 发表于 2014-10-20 03:21
对了，记得上传每一次的课件，加到附件里，大家想尝试的可以下载。

好的老师。

很好的文章。。。期待楼主继续更新。。。讲的非常非常细致，分析的思路也很明确，

真是写的很棒

楼主再造福社会，你的事迹将受到后人追捧！

我就喜欢这种分析详尽的cm，这对我们这些新手可以学到很多，继续支持你，希望再继续发好的cm

感谢楼主分享