富贵资源网 Design By www.hznty.com
The049. 反汇编练习,适合破解新手的160个CrackMe [005] 之 [爆破+懵圈]
反汇编实战练手,下面是我的学习记录,如有疑问欢迎交流指正。^_^
被试程序合集下载:帖子https://www.52pojie.cn/thread-1598336-1-1.html
0x0、查壳,[UPX exe - NRV2E/7 compression (32 bit ) ASL sign ],需要先脱壳。
0x2、ESP定律法,快速脱掉UPX,Delphi语言编写。
0x3、熟悉程序流程,输入注册名,点注册没有反应,点击滚动文字,提示【注册尚未成功,同志仍需努力! 】。
0x4、OD载入dumped_.exe文件,只有脱壳文件才能搜索字符串,Ctrl+D搜索一下,发现了【厉害厉害真厉害】字样,双击到反汇编窗口,向上寻找跳转,发现了5个跳转均跳过了注册成功。
0x5、将5个跳转全部NOP掉,保存文件为1.exe。
0x6、运行1.exe,糊里糊涂的爆破成功了。
0x7、这里必须要说明,我翻阅了好多大牛的文章,这个CM太变态了,不是萌新能理解的,起码我是被干趴下了。下面我将大牛分析的内容记录下来,希望能有更加通俗易通的教程出现供大家学习。
本CM变态的注册流程(共八步):
第一步:新建一个路径为X:\ajj.126.c0m\j\o\j\o\ok.txt的文本文件,文件内容的二进制为20 61 6A 6A D0 B4 B5 C4 43 4B 6D 65 D5 E6 C0 C3 21 FF FF,给出二进制的原因主要是因为后面两个字符FF FF打文本打不出来,这句话的文本显示为【 ajj写的CKme真烂!??】,这个文件的作用就是会在界面中多显示出一个输入框(Edit2),但是初始是禁用状态的,输不了内容;
1)OD中修改X盘为C盘,保存为111.exe。
2)新建ok.txt文件,放到C:\ajj.126.c0m\j\o\j\o\目录下。奇怪的是,ok.txt中我没有输入任何内容,111.exe打开同样显示了Edit2编辑框,此时编辑框未激活,不能输入内容。
第二步:打开程序,初始化完成之后,鼠标右键点击“注册”按钮5次。记住一定是鼠标右键,而且必须是点击5次;
第三步:在显示图片的图片框中双击没有图片显示的地方。这一步完成之后,输入框Edit2就被激活可以输入内容了;
第四步:输入注册名和Edit2内容。这两个输入的内容也是有要求的,注册名长度必须是3的倍数,Edit2输入的内容长度必须为8位,且第2个字符为’_’,第6个字符为’,’。我在跟踪的时候分别输入的”Chuiyan12”和”1_345,78”;
第五步:输入完成之后,双击Edit2;
第六步:在图片3(“性相近“)出现时,移动鼠标从界面的右下角外部进入程序界面;
第七步:在图片2(“性本善“)出现时,移动鼠标从界面的左下角外部进入程序界面;
第八步:在图片4(“习相远“)出现时,鼠标左键点击1次图片4,右键点击8次图片4。注意这是最后一步,可能每台机器的状况都不一样。请勿完全按照上面说的点击,根据自己的机器摸索。其实这一步中点击图片1(“人之初“),图片2(“性本善“)、图片3(“性相近“)、图片4(“习相远“)里的哪些图片,鼠标左键和右键各点击多少次,这个是一个很复杂的算法。决定点击方式的参数就是输入的两个字符串,以及程序所在磁盘的剩余磁盘空间,在第五步的双击Edit2时候会计算出一个值存储在ds:[ebx+0x30C]中,根据这个值就可以知道如何点击图片,总之就是相当的复杂。
0x8、最终的结果我没有试验出来,以目前的能力搞不定呢,还是继续去学基础吧。
在此感谢@葫芦娃很厉害 @Pnmker @44018723几位大牛的精彩帖文!
富贵资源网 Design By www.hznty.com
广告合作:本站广告合作请联系QQ:858582 申请时备注:广告合作(否则不回)
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
富贵资源网 Design By www.hznty.com
暂无评论...
稳了!魔兽国服回归的3条重磅消息!官宣时间再确认!
昨天有一位朋友在大神群里分享,自己亚服账号被封号之后居然弹出了国服的封号信息对话框。
这里面让他访问的是一个国服的战网网址,com.cn和后面的zh都非常明白地表明这就是国服战网。
而他在复制这个网址并且进行登录之后,确实是网易的网址,也就是我们熟悉的停服之后国服发布的暴雪游戏产品运营到期开放退款的说明。这是一件比较奇怪的事情,因为以前都没有出现这样的情况,现在突然提示跳转到国服战网的网址,是不是说明了简体中文客户端已经开始进行更新了呢?