某Vb程序利用常量逆向并浅谈补码

叶良辰和赵总 · 发表于 2016-8-27 13:20

本帖最后由叶良辰和赵总于 2016-9-2 10:37 编辑

本教程由热情洋溢的木木不哭赞助播出（“哎呀我摔倒了要漂亮姐姐亲亲才能起来

”）

游客，如果您要查看本帖隐藏内容请回复

方法二：那么我们就可以用常量PJ了，因为他都是赋值在一个地址。所以我们可以先看看他判断注册版哪里看下

[Visual Basic] 纯文本查看 复制代码

004C58CF   .  50            push eax
004C58D0   .  8B8D 60FEFFFF mov ecx,dword ptr ss:[ebp-0x1A0]
004C58D6   .  51            push ecx
004C58D7   .  FF15 8C104000 call dword ptr ds:[<&MSVBVM60.__vbaHresu>;  MSVBVM60.__vbaHresultCheckObj
004C58DD   .  8985 FCFDFFFF mov dword ptr ss:[ebp-0x204],eax
004C58E3   .  EB 0A         jmp short sdczit.004C58EF
004C58E5   >  C785 FCFDFFFF>mov dword ptr ss:[ebp-0x204],0x0
004C58EF   >  8D8D 10FFFFFF lea ecx,dword ptr ss:[ebp-0xF0]
004C58F5   .  FF15 4C134000 call dword ptr ds:[<&MSVBVM60.__vbaFreeO>;  MSVBVM60.__vbaFreeObj
004C58FB   .  C745 FC 07000>mov dword ptr ss:[ebp-0x4],0x7
004C5902   .  8B55 0C       mov edx,dword ptr ss:[ebp+0xC]
004C5905   .  0FBF02        movsx eax,word ptr ds:[edx]
004C5908   .  85C0          test eax,eax
004C590A   .  0F84 21040000 je sdczit.004C5D31
004C5910   .  0FBF0D C01052>movsx ecx,word ptr ds:[0x5210C0]
004C5917   .  85C9          test ecx,ecx
004C5919   .  0F85 12040000 jnz sdczit.004C5D31
004C591F   .  C745 FC 08000>mov dword ptr ss:[ebp-0x4],0x8
004C5926   .  BA DCC64100   mov edx,sdczit.0041C6DC                  ;  注册提醒
004C592B   .  8D8D 14FFFFFF lea ecx,dword ptr ss:[ebp-0xEC]
004C5931   .  FF15 6C124000 call dword ptr ds:[<&MSVBVM60.__vbaStrCo>;  MSVBVM60.__vbaStrCopy
004C5937   .  66:C785 68FEF>mov word ptr ss:[ebp-0x198],0x2
004C5940   .  68 60C64100   push sdczit.0041C660                     ;  你还没有注册，只能做第1套题！注册后可做全部试题，您现在要注册吗？
004C5945   .  68 DC354100   push sdczit.004135DC                     ; /\r\n
004C594A   .  FF15 78104000 call dword ptr ds:[<&MSVBVM60.__vbaStrCa>; \__vbaStrCat
004C5950   .  8BD0          mov edx,eax
004C5952   .  8D8D 1CFFFFFF lea ecx,dword ptr ss:[ebp-0xE4]
004C5958   .  FF15 0C134000 call dword ptr ds:[<&MSVBVM60.__vbaStrMo>;  MSVBVM60.__vbaStrMove
004C595E   .  50            push eax
004C595F   .  68 A8C64100   push sdczit.0041C6A8                     ; /点“是”进行注册，点“否”免费试用第一套题目。
004C5964   .  FF15 78104000 call dword ptr ds:[<&MSVBVM60.__vbaStrCa>; \__vbaStrCat
004C596A   .  8BD0          mov edx,eax
004C596C   .  8D8D 18FFFFFF lea ecx,dword ptr ss:[ebp-0xE8]
004C5972   .  FF15 0C134000 call dword ptr ds:[<&MSVBVM60.__vbaStrMo>;  MSVBVM60.__vbaStrMove
004C5978   .  8D95 14FFFFFF lea edx,dword ptr ss:[ebp-0xEC]
004C597E   .  52            push edx
004C597F   .  8D85 68FEFFFF lea eax,dword ptr ss:[ebp-0x198]
004C5985   .  50            push eax
004C5986   .  8D8D 18FFFFFF lea ecx,dword ptr ss:[ebp-0xE8]
004C598C   .  51            push ecx
004C598D   .  E8 CE29F7FF   call sdczit.00438360
004C5992   .  8D95 14FFFFFF lea edx,dword ptr ss:[ebp-0xEC]
004C5998   .  52            push edx
004C5999   .  8D85 18FFFFFF lea eax,dword ptr ss:[ebp-0xE8]
004C599F   .  50            push eax
004C59A0   .  8D8D 1CFFFFFF lea ecx,dword ptr ss:[ebp-0xE4]
004C59A6   .  51            push ecx
004C59A7   .  6A 03         push 0x3
004C59A9   .  FF15 80124000 call dword ptr ds:[<&MSVBVM60.__vbaFreeS>;  MSVBVM60.__vbaFreeStrList
004C59AF   .  83C4 10       add esp,0x10
004C59B2   .  C745 FC 09000>mov dword ptr ss:[ebp-0x4],0x9
004C59B9   .  66:833D D4115>cmp word ptr ds:[0x5211D4],0x1
004C59C1   .  0F85 5B030000 jnz sdczit.004C5D22
004C59C7   .  C745 FC 0A000>mov dword ptr ss:[ebp-0x4],0xA
004C59CE   .  8B55 08       mov edx,dword ptr ss:[ebp+0x8]
004C59D1   .  8B02          mov eax,dword ptr ds:[edx]
004C59D3   .  8B4D 08       mov ecx,dword ptr ss:[ebp+0x8]
004C59D6   .  51            push ecx
004C59D7   .  FF90 4C030000 call dword ptr ds:[eax+0x34C]
004C59DD   .  50            push eax
004C59DE   .  8D95 10FFFFFF lea edx,dword ptr ss:[ebp-0xF0]
004C59E4   .  52            push edx

那我们在这里下断004C85F2 . 66:833D C0105>cmp word ptr ds:[0x5210C0],0xFFFF 关键常量
(, 下载次数: 81)
断下后我们往下跟我们发现他跳转了很显然他跳过了已注册

我们看下关键跳转是那种跳转是jnz跳转
Jnz其实就是 JNAE: jump not above and equal 低于,即不高于且不等于则转移

我们在看下关键跳上面的的cmp指令

[C] 纯文本查看 复制代码

004C85D1   .  51            push ecx
004C85D2   .  FF50 04       call dword ptr ds:[eax+0x4]
004C85D5   .  C745 FC 01000>mov dword ptr ss:[ebp-0x4],0x1
004C85DC   .  C745 FC 02000>mov dword ptr ss:[ebp-0x4],0x2
004C85E3   .  6A FF         push -0x1                                ; /OnErrEvent = Resume Next
004C85E5   .  FF15 E0104000 call dword ptr ds:[<&MSVBVM60.__vbaOnErr>; \__vbaOnError
004C85EB   .  C745 FC 03000>mov dword ptr ss:[ebp-0x4],0x3
004C85F2   .  66:833D C0105>cmp word ptr ds:[0x5210C0],0xFFFF [color=#666]关键常量[/color]
004C85FA   .  75 6A         jnz short sdczit.004C8666
004C85FC   .  C745 FC 04000>mov dword ptr ss:[ebp-0x4],0x4
004C8603   .  BA BC254100   mov edx,sdczit.004125BC                  ;  考试系统提示
004C8608   .  8D8D 68FFFFFF lea ecx,dword ptr ss:[ebp-0x98]
004C860E   .  FF15 6C124000 call dword ptr ds:[<&MSVBVM60.__vbaStrCo>;  MSVBVM60.__vbaStrCopy
004C8614   .  66:C785 94FEF>mov word ptr ss:[ebp-0x16C],0x3
004C861D   .  BA 88C74100   mov edx,sdczit.0041C788                  ;  已经是注册版本，无需再次注册！
004C8622   .  8D8D 6CFFFFFF lea ecx,dword ptr ss:[ebp-0x94]
004C8628   .  FF15 6C124000 call dword ptr ds:[<&MSVBVM60.__vbaStrCo>;  MSVBVM60.__vbaStrCopy
004C862E   .  8D95 68FFFFFF lea edx,dword ptr ss:[ebp-0x98]
004C8634   .  52            push edx
004C8635   .  8D85 94FEFFFF lea eax,dword ptr ss:[ebp-0x16C]
004C863B   .  50            push eax
004C863C   .  8D8D 6CFFFFFF lea ecx,dword ptr ss:[ebp-0x94]
004C8642   .  51            push ecx

ffff是16进制  转化为10进制就是-1
这条指令也就是说比较关键常量与-1的大小
而jnz这条指令的意思是低于,即不高于且不等于则转移
那么意思就很明显了  这个常量必须等于或者大于或者等于-1才不会跳转
我们就搜索0x5210C0这条指令。
或者这样搜索
(, 下载次数: 91)
我们搜到了很多  我们只进入mov  因为mov是赋值我们必须在赋值上做工作。
(, 下载次数: 81)
我们把所有带有变量的mov改成FFFF  也就是-1  我们找到了这两个指令

[Visual Basic] 纯文本查看 复制代码

cmp word ptr ds:[0x5210C0],0xFFFF

我们改了试试
(, 下载次数: 90) (, 下载次数: 88)
最后我来浅谈下补码！注意是浅谈！浅谈
我们来搜索www 找到这一段代码
(, 下载次数: 100)

[Visual Basic] 纯文本查看 复制代码

00447903   .  66:C705 C0105>mov word ptr ds:[0x5210C0],0x0

0044B3AD   .  66:C705 C0105>mov word ptr ds:[0x5210C0],0x0

我整来了一个用过的正版码  注意是用过的
然后下断  断下
(, 下载次数: 98)
然后往下跟   (, 下载次数: 86)
跟到他出现网址然后我们访问下网站
(, 下载次数: 89)
注意这里是error 53
然后我们继续往下跟
(, 下载次数: 95)
经过这个call的时候出现了error 53
也就是说他是判断error是多少来返回的比如error 53就是已经用过了。
所以如果有正版号可以看他到这个call这里返回的数据是多少
只是小菜的想法大神勿喷我也没有正版号因为正版号也不便宜
写了足足1个小时求加个精华吧

@Shark恒不加精华我就自杀

叶良辰和赵总 · 发表于 2016-8-27 13:27

本帖最后由叶良辰和赵总于 2016-8-27 06:34 编辑

@Shark恒

老大我真的真的很详细写了@Shark恒

Shark恒 · 发表于 2016-8-27 13:58

虽然没有完美解决问题，但确实很详细，相信可以帮到很多人！
另外有个疑问，如果教程中的判断版本是真的判断版本，而不是防逆向误导的话，通过修改版本号会不会达到反检测效果？是否尝试过？

叶良辰和赵总 · 发表于 2016-8-27 14:09

Shark恒发表于 2016-8-27 06:58
虽然没有完美解决问题，但确实很详细，相信可以帮到很多人！
另外有个疑问，如果教程中的判断版本是真的判 ...

额老大这样说我没试过但是我发现如果后面一堆xxxxx-xxxxx-xxxxx-xxxxx-xxxxx改成别的格式error的返回值也会不一样而我跟到call的话也是返回网站的数据（返回的数据也不是error也不是53了）所以我认为应该是error：xx的问题

LYQingYe · 发表于 2016-8-27 14:54

mark下

892644330 · 发表于 2016-8-27 15:09

新鲜出炉的精华文章看起来是不错的~

a767421378 · 发表于 2016-8-27 15:24

膜拜大神，继续学习了~~~

lxwen · 发表于 2016-8-27 20:41

好东西,谢谢楼主!!!!!!!!!!!!!

动物凶猛 · 发表于 2016-8-29 09:19

很喜欢这样的教程，谢谢了

酒醒黄昏 · 发表于 2016-8-29 10:00

好好学习一下

		自动登录	找回密码
密码			立即注册

[原创逆向图文] 某Vb程序利用常量逆向并浅谈补码

评分