第十三章-硬编码序列号寻踪-Part1 我觉得寻找序列号是最难的工作之一,特别是当我们遇到了强力的加密算法的时候,找序列号就更难了,我们先从简单的情况开始,慢慢的延伸到复杂的情况,逐步锻炼我们寻找序列号的能力。 这个部分我们专门讨论硬编码序列号,所谓的硬编码序列号就是不依赖于用户名来生成,总是由固定的字符和数字构成的固定不变的字符串,这种序列号通常比较容易找到,因此,我们从这种类型开始介绍,先看几个简单的,然后再看复杂的。 我们一共有4个练习的例子,本章是两个简单的例子,下一章是两个复杂点的例子。 首先第一个最简单的CrackMe名为Leccion_13_HARDCODED_1(原名称西班牙文,英文名称译为:Lesson_13_Hardcoded_1),我们用OD加载它。 作为最简单的硬编码序列号的例子,正确的序列号是作为全局字符串出现在程序中的,我们一起来看一看。 想要找到所有的全局字符串,我们在反汇编窗口中单击鼠标右键选择-Search for-All referenced text strings。 结果如下: (Mal MuyMAL:西班牙文译为:错误) 这里,我们可以看到“FIACA”这个字符串,这个字符串可能就是序列号,但是我们不推荐在右侧的字符串列表中肉眼定位序列号,原因有二: 1.我们这个程序,只有两行,但是有的程序,有成千上万行,尝试肉眼逐一查找简直就是疯了,虽然当前这种情况,我们一眼就可以看出来正确的序列号,但是如果有千上万行的话,肉眼看就是不可取的了。 2.有些程序故意放置一些假的序列号在字符串列表中,当我们把这个序列号当做正确的序列号就恰恰中了作者的陷阱。较为妥当的做法是检查序列号的正确性。 首先通过在反汇编窗口中单击鼠标右键选择-Search for-Name(label) in current module来查看API函数列表。 程序中用了一些API函数,其中有几个我们比较熟悉。 GetDlgItemTextA获取用户输入的序列号,MessageBoxA提示输入的序列号正确,错误与否。我们给这两个API函数设置断点。 单击鼠标右键选择-Toggle breakpoint on import或者在命令栏中输入bp GetDlgItemTextA,bp MessageBoxA。 好了,按F9键,运行CrackMe。 (Verficar西班牙文译为:验证,Salir译为:取消) 我们在序列号窗口中随便输入一个人名,比如说narvajita。 单击Verificar(验证)按钮,可以看到断在了我们刚刚设置的断点处。 从堆栈中可以看出我们断在了GetDlgItemTextA处,该函数用于获取用户输入的序列号,并且该函数的Buffer参数是用于存放获取到的序列号的缓冲区首地址,这里,缓冲区的首地址为403010。 我们在该参数上单击鼠标右键选择-Follow in Dump定位到缓冲区在数据窗口中的位置。 当前缓冲区为空,因为该API函数还没有执行。 我们选择主菜单中项Debug-Execute till return执行到函数返回。 现在我们到了RET指令处。 该函数将用户输入的序列号保存到了缓冲区中。 我们按F7键单步返回到主程序中。 这里我们可以看到比较和条件跳转指令,两个分支分别为提示MalMuy MAL(错误)的消息框和提示MuyBIEN(正确)的消息框。 很明显,401087是其中一个分支。通常我们可以通过修改程序流程来达到爆破的目的,但是这里我们是要找到序列号,所以我们还是一起来看看程序是怎么比较的吧。 401066地址处的指令将403010地址处的DWORD内容保存到EBX中,我们在该语句上单击鼠标右键选择-Follow in Dump-Memory address定位403010在数据窗口中的位置。 提示窗口中我们可以看到7672616E,在403010开始的内存单元中是倒序存放的,(小端存储我们前面章节已经介绍过),这4个字节是错误的序列号,被保存到EBX中。 按F7键单步,来到下一条指令处。 这里,我们看到该指令将EBX(包含了我们刚刚输入的错误序列号的前4个字节)的值与403008内存单元中的内容进行比较。跟之前操作一样我们在数据窗口中转到403008处。 我们可以看到该指令将”FIACA”的前4个字节与我们输入的序列号的前4个字节进行比较,如果它们是相等的,则零标志位Z被置1,然后跳转到提示”MuyBIEN”(正确)的消息框处,如果不相等的话,就提示”Mal Muy MAL”(错误)的消息框。 很明显它们不相等,所以会直接提示”MalMuy MAL”(错误)的消息框。我们按F9键运行。 我们断在了MessageBoxA处。 从参数我们可以看出是提示”Mal Muy MAL”(错误)。我们按F9键运行起来。 正如你所看到的,弹出了错误消息提示框,我们单击”Aceptar”(确定)按钮,然后输入正确的序列号”FIACA”。 单击”Verificar”(验证)按钮,并重复上面的步骤,再次到达比较指令为止。 跟之前一样,EBX的值与403008内存单元的内容进行比较。 根据提示窗口来看,它们是相等的,零标志位置1,我们按F7键单步执行。 可以看到零标志位置1,所以JE指令将跳转。 跳转到了”Muy BIEN”(正确)的消息框处。我们按F9键运行。 根据堆栈窗口中该API函数的参数可以看出将弹出提示正确的消息框。 虽然作者忘了修改窗口的标题,但是我们还是找到了正确的序列号,这个硬编码序列号的例子很简单。 这个例子是我朋友Redhawk写的,哈哈,他有点懒,连正确提示框的标题都没有改。接下来一个CrackMe的提示框的标题做了修改。 我们用OD打开”Leccon 13HARDCODED 2”。 这个例子和刚才那个例子非常的相似,但是正确的序列号并不在字符串列表窗口中。 并没有”FIACA”,嘿嘿。 是的,正确的序列号并不是”FIACA” 我们只能来到比较指令处。 我们在401064处下个断点,然后运行起来。 我们随便输入一个错误的序列号,这里我们输入LUCKY。 单击”Verificar”(验证)。 我们可以看到断在了我们刚刚设置的断点处,我们在数据窗口中定位40300C内存单元。 该指令40300C内存单元中4字节的内容保存到EBX寄存器中。 我们按F7键单步。 该指令将40204B内存单元中内容保存到EDX寄存器中,我们来看看40204B内存单元的内容是什么。 这里存放着4个字节的字符串”9898”,当我们输入的序列号前4个字节与”9898”相等的话,就跳转到正确的消息框处。不相等的话,就提示错误的消息框。我们重启OD输入正确的序列号”9898”。 单击”Verificar”(验证)。 当前EBX和EDX的值都是38393839,对应字符串”9898”,所以会跳转到提示”Muy BIEN”(正确)的消息框处。 我们可以看到,在这里我朋友把正确提示框的标题改成了”Bravo”(恭喜),哈哈,我们又找到了正确的序列号。 接下来的章节,我们将增加难度-两个相对难一点的硬编码序列号的CrackMe。 这里给一个练习的小例子,第3个CrackMe,名为”Mielecrackme1.zip”。 提供一点思路,关键API函数-lstrcmpA,这个CrackMe会直接进行字符串的比较。你定位到了该函数以后,看看堆栈中函数参数情况。 接下来的第14章,我们再来介绍这个两个相对难一点的硬编码的例子,这里,大家先练习一下这第3个CrackMe吧。
本系列文章汉化版转载看雪论坛
感谢原作者:RicardoNarvaja(西班牙人)
感谢热心翻译的朋友: 1~3章译者:BGCoder 4~58章译者:安于此生
全集配套程序下载地址:
|