Peerless_CrackMe 分析

CM地址：
Peerless CrackMe 爆破赏金（800HB）
https://www.52hb.com/thread-12070-1-1.html(出处: 吾爱汇编论坛)



今天录制的是这个CM
我是冲着HB来的

对了，这里不少人已经研究过了
要用到的观察工具是 彗星小助手
当然其他类似功能的工具也是可以的
看到没有，成功后是一个标签提示

但是逆向过程不是这样的
我们要用OD来分析

大家的评论就不看了，有空自己去看
我自己OD来了

我已经分析过一遍了，所以演示的可能比较快

这里没有固定的真码 ，是通过输入假码计算出标签的位置

你要问我怎么知道的？当然是彗星助手里看出来 的


123400730

几个重点说一下

前三位任意，转整数不能为0 ，也不能是字母，不知道字母会不会自动转，不管他
第3、4位转整数也不能为0
每5.6位转整数也不能为0
最后3位转整数也不能为0
基体符合以上的都可以

但是 后三位-700 是标签的顶部位转  我这里后三位是730 所以等会标签会显示在30的位转

易语言代码也就是

标签.顶部 = (730-700)   这里700是固定的，等会我们会看到

第五六位加100是标签左边的位转
易语言代码

标签.左边 = (00+100)    因为我的第五位和第六位都是输0，100也是固定值



好了，看分析
不用查找字符串了，要查也行，其实第一个CALL就是关键CALL


0040100C  /.  55            push ebp

查找字符串就用这个，可以定位到，就是慢了一点

004017C6  |.  68 AF1E4800   push Peerless.00481EAF                   ;  恭喜您，完美逆向失败！



我们直接用上面 这个来



0040100C  /.  55            push ebp






逆向基本改这一个地方就行了


00401032     /EB 3E         jmp XPeerless.00401072                   ;  这里一定要跳，不跳的话标签会被修改大小，也就是上面我怀疑作者代码有问题的关键
00401034     |90            nop
00401035     |90            nop
00401036     |90            nop
00401037     |90            nop



这样就分析结束了，其实可以不用改代码
但是时钟那里有点问题

保存出来看下效果




123400730

就这样。123400730这不是固定的，我刚才上面说过了

游客，如果您要查看本帖隐藏内容请回复

好像没分析对，先这样吧。有人分析出来了分400给我

这么久了终于有人了

看看是怎么分析的。。

Peerless 发表于 2015-10-19 23:08
我只能说有固定的真码

哦，会设置 标签的宽度和高度到窗口那么大吗

这CM我搞了许久 还是没办法 学习楼主是怎么干掉它的

是视频教程吗。。