题目来源:
【反汇编练习】160个CrackME索引目录1~160建议收藏备用
https://www.52pojie.cn/thread-709699-1-1.html
(出处: 吾爱破解论坛)
一,工具准备:
动态调试工具:x64dbg(x86)
查壳工具:DIE(EXEINFO)
环境:Windows10(1909)裸机
二,Serial/name:
将文件拖入dbg运行,有两个题目(serial/name 和 serial)
本次分析第一个题目的算法(第二个无,仅仅是爆破)
2-1首先进行serial/name
输入假码
搜索字符串,下断点,断下。
这段代码是判断name有没有大于等于4位数字,有则跳过报错。本文不多分析。
0042F9C8 | E8 8BB0FEFF | call acid burn.41AA58 | 获取位数0042F9CD | 8B45 F0 | mov eax,dword ptr ss:[ebp-10] |0042F9D0 | E8 DB40FDFF | call acid burn.403AB0 |0042F9D5 | A3 6C174300 | mov dword ptr ds:[43176C],eax |0042F9DA | 8D55 F0 | lea edx,dword ptr ss:[ebp-10] |0042F9DD | 8B83 DC010000 | mov eax,dword ptr ds:[ebx+1DC] |0042F9E3 | E8 70B0FEFF | call acid burn.41AA58 | 从这里开始取前四位数字0042F9E8 | 8B45 F0 | mov eax,dword ptr ss:[ebp-10] |0042F9EB | 0FB600 | movzx eax,byte ptr ds:[eax] |0042F9EE | 8BF0 | mov esi,eax |0042F9F0 | C1E6 03 | shl esi,3 |0042F9F3 | 2BF0 | sub esi,eax |0042F9F5 | 8D55 EC | lea edx,dword ptr ss:[ebp-14] |0042F9F8 | 8B83 DC010000 | mov eax,dword ptr ds:[ebx+1DC] |0042F9FE | E8 55B0FEFF | call acid burn.41AA58 |0042FA03 | 8B45 EC | mov eax,dword ptr ss:[ebp-14] |0042FA06 | 0FB640 01 | movzx eax,byte ptr ds:[eax+1] |0042FA0A | C1E0 04 | shl eax,4 |0042FA0D | 03F0 | add esi,eax |0042FA0F | 8935 54174300 | mov dword ptr ds:[431754],esi |0042FA15 | 8D55 F0 | lea edx,dword ptr ss:[ebp-10] |0042FA18 | 8B83 DC010000 | mov eax,dword ptr ds:[ebx+1DC] |0042FA1E | E8 35B0FEFF | call acid burn.41AA58 |0042FA23 | 8B45 F0 | mov eax,dword ptr ss:[ebp-10] |0042FA26 | 0FB640 03 | movzx eax,byte ptr ds:[eax+3] |0042FA2A | 6BF0 0B | imul esi,eax,B |0042FA2D | 8D55 EC | lea edx,dword ptr ss:[ebp-14] |0042FA30 | 8B83 DC010000 | mov eax,dword ptr ds:[ebx+1DC] |0042FA36 | E8 1DB0FEFF | call acid burn.41AA58 |0042FA3B | 8B45 EC | mov eax,dword ptr ss:[ebp-14] |0042FA3E | 0FB640 02 | movzx eax,byte ptr ds:[eax+2] |0042FA42 | 6BC0 0E | imul eax,eax,E |0042FA45 | 03F0 | add esi,eax |0042FA47 | 8935 58174300 | mov dword ptr ds:[431758],esi |0042FA4D | A1 6C174300 | mov eax,dword ptr ds:[43176C] |0042FA52 | E8 D96EFDFF | call acid burn.406930 |0042FA57 | 83F8 04 | cmp eax,4 | 判断name是否为4位数字0042FA5A | 7D 1D | jge acid burn.42FA79 |0042FA5C | 6A 00 | push 0 |0042FA5E | B9 74FB4200 | mov ecx,acid burn.42FB74 | 42FB74:"Try Again!"0042FA63 | BA 80FB4200 | mov edx,acid burn.42FB80 | 42FB80:"Sorry , The serial is incorect !"0042FA68 | A1 480A4300 | mov eax,dword ptr ds:[430A48] |0042FA6D | 8B00 | mov eax,dword ptr ds:[eax] |
咱们往下看。如图,这是判断完name长度后跳转到的地方
这里就开始计算我们的注册码了
2-2 取首位数字
我们先看第一个方框圈起来的部分:movzx eax,byte ptr ds:[eax]
movzx 是一个数据传送指令,功能例子:movzx a,b 将b的值传送给a,可以看作高级编程语言中的 a=b。
eax,是寄存器之一,用来暂存一些数据、地址、指令。在动态调试工具的右上角可以查看某寄存器当前的值
byte ptr ds:[eax],byte 单字节,ptr(pointner的缩写,可以暂且不管)ds是寄存器 [eax] 是eax寄存器中的值
那么movzx eax,byte ptr ds:[eax]就是取eax寄存器当前所存的值的第一个字节(提问:为什么是第一个字节捏),存入eax中。
在第二个方框我们可以看到,第一个字节为“1”,即假name 1234中的首位数字。
我们输入的name是以ascii码的形式读入的,转换为十六进制为31(方框2中的31即为ANSI格式的1转换为十六进制后的数字).十进制为49
2-3 计算注册码
看到方框一,imul dword ptr ds:[431750]
imul 是算数指令,做乘法。功能例子:imul eax,a 将eax中的值和a相乘,并把结果存入eax
其中,eax为第一操作数,a为第二操作数。值得注意的是,第一操作数必须为寄存器。
当只有一个操作数时,另一个乘数一般为eax中的值。
看到方框二,此时dword ptr ds:[431750]对应的值为0x29(十六进制),十进制为41
当前eax中的值为0x31,即十进制的49
故imul dword ptr ds:[431750],即为 0x31 * 0x29 ,即49x41 = 2009。
看方框一,经过两个mov 的操作,现在eax和dword ptr ds:[431750]的值已经相等,即十六进制的7D9(十进制的2009)
看到add dword ptr ds:[431750],eax
add,算术指令,加法。功能示例:add eax,a 将a和eax中的值相加,并且结果存入eax
其中eax为第一操作数,a为第二操作数。第一操作数要么指向内存,要么指向寄存器。
故,add dword ptr ds:[431750],eax 即 7D9 + 7D9 =2009+2009 = 4018
并将结果存入内存地址为431750的地方,留着备用
2-4 第一题结语
注册码的计算过程全部分析完毕。后续则是固定格式(CW-XXX-CRACKED)的组装,不做分析。
本次假name(1234)对应的注册码(CW-4018-CRACKED)
Keygen代码(C++)如下:
int main() { char str; printf("输入name的首位:"); scanf_s("%c",&str); int reg = str * 41 * 2; printf("你滴注册码:CW-%d-CRACKED", reg); return 0; }