[推荐]今天写的一个CrackMe，很适合初学者！

jasonliyi

哇。我师傅的是老大。东西。一定要看看。呵呵

傲月游居

　晕,逐位用户名ASCII码相加即是注册码~~老大,学习了~

kine36
528

qxtianlong

好久没来了,看看

qxtianlong

追码很容易,因为是明码,算法也很简单,貌似我以前做过类似的...
很久么写破文都不会写了....
玩了一会就出来了...

1. 
   
2. qxtianlong
   
3. 1093
   
4. 
   
5. 载入OD,隐藏OD
   
6. 设断点bp __vbaLenBstr、__vbaStrCmp、rtcMsgBox
   
7. F9运行,输入qxtianlong,78787878后中断在
   
8. 
   
9. 733B49CE MS>  8B4424 04         mov eax,dword ptr ss:[esp+4]
   
10. 
    
11. 下方提示信息为
    
12. 
    
13. 堆栈 ss:[0012F384]=00150C84, (UNICODE "qxtianlong")
    
14. eax=00150C84, (UNICODE "qxtianlong")
    
15. 
    
16. 然后F8继续跟进,注意这里
    
17. 
    
18. 733B49D6      8B40 FC           mov eax,dword ptr ds:[eax-4]
    
19. 733B49D9      D1E8              shr eax,1
    
20. 
    
21. 他的功能是计算qxtianlong的长度(A)也就是10
    
22. 
    
23. F8继续跟进到这里
    
24. 
    
25. 004045F5      83F8 05           cmp eax,5
    
26. 004045F8     /0F8D 85000000     jge crackme1.00404683
    
27. 
    
28. 他的功能估计是看输入的为数是否大于5，大于就继续..(跳到00404683)否则-_-!
    
29. 
    
30. 00404683      8B45 E4           mov eax,dword ptr ss:[ebp-1C]
    
31. 00404686      50                push eax
    
32. 
    
33. 在00404583看到ebp=0012F468、[ebp-1c]=0012F4FC中数值为00150C84
    
34. 可以看到和前面的一样，也就是存放qxtianlong的地址
    
35. push eax把00150C84压入堆栈0012F384
    
36. 
    
37. 继续在这里看到
    
38. 
    
39. 00404687      FFD6              call esi                                         ; MSVBVM60.__vbaLenBstr
    
40. 
    
41. 这里应该也是计算字符串长度的..
    
42. 
    
43. 00404689      8BC8              mov ecx,eax
    
44. 
    
45. 把EAX中的值送到ECX中(ECX=A)
    
46. 
    
47. 0040468B      FF15 50104000     call dword ptr ds:[<&MSVBVM60.__vbaI2I4>]        ; MSVBVM60.__vbaI2I4
    
48. 00404691      8B1D 14104000     mov ebx,dword ptr ds:[<&MSVBVM60.__vbaFreeVarLis>; MSVBVM60.__vbaFreeVarList
    
49. 
    
50. 这里估计就该那用户名做手脚了，跟进CALL看看,free根据字眼来看应该是释放东西用的...
    
51. 
    
52. 跟进后到
    
53. 
    
54. 733B49DE MS>  56                push esi
    
55. 733B49DF      8BF1              mov esi,ecx
    
56. 733B49E1      0FBFC6            movsx eax,si
    
57. 733B49E4      3BC6              cmp eax,esi
    
58. 733B49E6      0F85 3D1F0200     jnz MSVBVM60.733D6929
    
59. 733B49EC      66:8BC6           mov ax,si
    
60. 733B49EF      5E                pop esi
    
61. 733B49F0      C3                retn
    
62. 
    
63. push esi 函数地址压栈
    
64. 0012F380   733B49CE        MSVBVM60.__vbaLenBstr
    
65. mov esi,ecx
    
66. 是把ECX中的值送到ESI(A)也就是10
    
67. movsx eax,si
    
68. cmp eax,esi
    
69. 比较eax,esi,不等则跳..
    
70. mov ax,si
    
71. pop esi从堆栈弹出函数地址到ESI
    
72. 
    
73. 返回后把ds:[00401014]=73491073 (MSVBVM60.__vbaFreeVarList)送到ebx(ebx=73491073)
    
74. 
    
75. 00404697      8985 3CFFFFFF     mov dword ptr ss:[ebp-C4],eax
    
76. eax中的值放到ebp-c4(12f3c4)值为(A)
    
77. 0040469D      BE 01000000       mov esi,1
    
78. 004046A2      66:3BB5 3CFFFFFF  cmp si,word ptr ss:[ebp-C4]
    
79. si和ebp-c4比较
    
80. 004046A9     /0F8F 82000000     jg crackme1.00404731
    
81. 大于就跳
    
82. 004046AF      8D4D E4           lea ecx,dword ptr ss:[ebp-1C]
    
83. 004046B2      8D55 C0           lea edx,dword ptr ss:[ebp-40]
    
84. ecx=0012f44c edx=0012f428
    
85. 004046B5      0FBFC6            movsx eax,si
    
86. eax=1
    
87. 004046B8      894D 88           mov dword ptr ss:[ebp-78],ecx
    
88. ecx送到ebp-78
    
89. 0012F3F0  0012F44C
    
90. 
    
91. 004046BB      52                push edx
    
92. 004046BC      8D4D 80           lea ecx,dword ptr ss:[ebp-80]
    
93. ecx=0012f3e8
    
94. 004046BF      50                push eax
    
95. 004046C0      8D55 B0           lea edx,dword ptr ss:[ebp-50]
    
96. edx=0012f418
    
97. 004046C3      51                push ecx
    
98. 004046C4      52                push edx
    
99. 
    
100. 004046C5      C745 C8 04000280  mov dword ptr ss:[ebp-38],80020004
     
101. 004046CC      C745 C0 0A000000  mov dword ptr ss:[ebp-40],0A
     
102. 004046D3      C745 80 08400000  mov dword ptr ss:[ebp-80],4008
     
103. 
     
104. ebp-38  0012F430  80020004
     
105. ebp-40  0012F428  0000000A
     
106. ebp-80  0012F3E8  00004008
     
107. 
     
108. 004046DA      FF15 40104000     call dword ptr ds:[<&MSVBVM60.#632>]             ; MSVBVM60.rtcMidCharVar
     
109. 
     
110. 跟进
     
111. 
     
112. 7347B403 MS>  55                push ebp
     
113. 7347B404      8BEC              mov ebp,esp
     
114. 7347B406      83EC 10           sub esp,10
     
115. 7347B409      56                push esi    1
     
116. 7347B40A      57                push edi    0
     
117. 7347B40B      FF35 C00E4A73     push dword ptr ds:[734A0EC0]    10
     
118. 7347B411      FF15 B8103973     call dword ptr ds:[<&KERNEL32.TlsGetValue>]      ; kernel32.TlsGetValue
     
119. 7347B417      8D70 50           lea esi,dword ptr ds:[eax+50]
     
120. 7347B41A      56                push esi
     
121. 7347B41B      FF75 0C           push dword ptr ss:[ebp+C]
     
122. 7347B41E      E8 5096F3FF       call MSVBVM60.733B4A73
     
123. 7347B423      83F8 FF           cmp eax,-1
     
124. 7347B426      74 3A             je short MSVBVM60.7347B462
     
125. 7347B428      FF75 14           push dword ptr ss:[ebp+14]
     
126. 7347B42B      FF75 10           push dword ptr ss:[ebp+10]
     
127. 7347B42E      50                push eax
     
128. 7347B42F      E8 AB94F3FF       call MSVBVM60.rtcMidCharBstr
     
129. 
     
130. ...................................
     
131. ...................................
     
132. ...................................
     
133. ...................................
     
134. 
     
135. 004046E8      FF15 74104000     call dword ptr ds:[<&MSVBVM60.__vbaStrVarVal>]   ; MSVBVM60.__vbaStrVarVal
     
136. 004046EE      50                push eax
     
137. 004046EF      FF15 0C104000     call dword ptr ds:[<&MSVBVM60.#693>]             ; MSVBVM60.rtcByteValueBstr  
     
138. 取第一个字母的ASC码值71
     
139. 004046F5      25 FF000000       and eax,0FF
     
140. 004046FA      8D4D D8           lea ecx,dword ptr ss:[ebp-28]
     
141. 004046FD      03C7              add eax,edi
     
142. 004046FF     /0F80 04020000     jo crackme1.00404909
     
143. 00404705      8BF8              mov edi,eax
     
144. edi=71
     
145. 00404707      FF15 B8104000     call dword ptr ds:[<&MSVBVM60.__vbaFreeStr>]     ; MSVBVM60.__vbaFreeStr
     
146. ...............
     
147. ...............
     
148. ...............
     
149. 00404719      B8 01000000       mov eax,1
     
150. 0040471E      83C4 0C           add esp,0C
     
151. 00404721      66:03C6           add ax,si
     
152. SI作为计数器
     
153. ..........................
     
154. ..........................
     
155. ..........................
     
156. 
     
157. 以下这段是循环以上功能
     
158. 
     
159. 004046A2      66:3BB5 3CFFFFFF  cmp si,word ptr ss:[ebp-C4]
     
160. 004046A9      0F8F 82000000     jg crackme1.00404731
     
161. 004046AF      8D4D E4           lea ecx,dword ptr ss:[ebp-1C]
     
162. 004046B2      8D55 C0           lea edx,dword ptr ss:[ebp-40]
     
163. 004046B5      0FBFC6            movsx eax,si
     
164. 004046B8      894D 88           mov dword ptr ss:[ebp-78],ecx
     
165. 004046BB      52                push edx
     
166. 004046BC      8D4D 80           lea ecx,dword ptr ss:[ebp-80]
     
167. 004046BF      50                push eax
     
168. 004046C0      8D55 B0           lea edx,dword ptr ss:[ebp-50]
     
169. 004046C3      51                push ecx
     
170. 004046C4      52                push edx
     
171. 004046C5      C745 C8 04000280  mov dword ptr ss:[ebp-38],80020004
     
172. 004046CC      C745 C0 0A000000  mov dword ptr ss:[ebp-40],0A
     
173. 004046D3      C745 80 08400000  mov dword ptr ss:[ebp-80],4008
     
174. 004046DA      FF15 40104000     call dword ptr ds:[<&MSVBVM60.#632>]             ; MSVBVM60.rtcMidCharVar
     
175. 004046E0      8D45 B0           lea eax,dword ptr ss:[ebp-50]
     
176. 004046E3      8D4D D8           lea ecx,dword ptr ss:[ebp-28]
     
177. 004046E6      50                push eax
     
178. 004046E7      51                push ecx
     
179. 004046E8      FF15 74104000     call dword ptr ds:[<&MSVBVM60.__vbaStrVarVal>]   ; MSVBVM60.__vbaStrVarVal
     
180. 004046EE      50                push eax
     
181. 004046EF      FF15 0C104000     call dword ptr ds:[<&MSVBVM60.#693>]             ; MSVBVM60.rtcByteValueBstr
     
182. 004046F5      25 FF000000       and eax,0FF
     
183. 004046FA      8D4D D8           lea ecx,dword ptr ss:[ebp-28]
     
184. 004046FD      03C7              add eax,edi
     
185. 004046FF      0F80 04020000     jo crackme1.00404909
     
186. 00404705      8BF8              mov edi,eax
     
187. 00404707      FF15 B8104000     call dword ptr ds:[<&MSVBVM60.__vbaFreeStr>]     ; MSVBVM60.__vbaFreeStr
     
188. 0040470D      8D55 B0           lea edx,dword ptr ss:[ebp-50]
     
189. 00404710      8D45 C0           lea eax,dword ptr ss:[ebp-40]
     
190. 00404713      52                push edx
     
191. 00404714      50                push eax
     
192. 00404715      6A 02             push 2
     
193. 00404717      FFD3              call ebx
     
194. 00404719      B8 01000000       mov eax,1
     
195. 0040471E      83C4 0C           add esp,0C
     
196. 00404721      66:03C6           add ax,si
     
197. 00404724      0F80 DF010000     jo crackme1.00404909
     
198. 0040472A      8BF0              mov esi,eax
     
199. 0040472C    ^ E9 71FFFFFF       jmp crackme1.004046A2
     
200. 
     
201. 当条件成立时,调到
     
202. 
     
203. 00404731      8B45 08           mov eax,dword ptr ss:[ebp+8]
     
204. 
     
205. 此时EDI为445
     
206. 
     
207. 00404768      50                push eax
     
208. 00404769      FF15 24104000     call dword ptr ds:[<&MSVBVM60.__vbaHresultCheckO>; MSVBVM60.__vbaHresultCheckObj
     
209. 0040476F      57                push edi
     
210. 00404770      FF15 08104000     call dword ptr ds:[<&MSVBVM60.__vbaStrI4>]       ; MSVBVM60.__vbaStrI4
     
211. 这里注意一下
     
212. 00404776      8BD0              mov edx,eax
     
213. 
     
214. 在00404770时已经可以看到注册码了
     
215. 
     
216. 00404776      8BD0              mov edx,eax
     
217. 00404778      8D4D D4           lea ecx,dword ptr ss:[ebp-2C]
     
218. 0040477B      FF15 A4104000     call dword ptr ds:[<&MSVBVM60.__vbaStrMove>]     ; MSVBVM60.__vbaStrMove
     
219. 00404781      8B55 D8           mov edx,dword ptr ss:[ebp-28]
     
220. 00404784      50                push eax    正确注册码
     
221. 00404785      52                push edx    试练码
     
222. 00404786      FF15 4C104000     call dword ptr ds:[<&MSVBVM60.__vbaStrCmp>]      ; MSVBVM60.__vbaStrCmp
     
223. 比较
     
224. 
     
225.                                                                                           完结  于2006/09/27
     

复制代码

lgjxj

楼上的，有那么长吗，程序是把你输入的用户名累加为结果 ，看下面代码

004046EF    FF15 0C104000   CALL DWORD PTR DS:[<&MSVBVM60.#693>]       ; 这个 CALL 每次抽取用户名字符送入 EAX
004046F5    25 FF000000     AND EAX,0FF
004046FA    8D4D D8         LEA ECX,DWORD PTR SS:[EBP-28]
004046FD    03C7            ADD EAX,EDI                                ; 累加

qxtianlong

呵呵,楼上的,你那个只是用户名的16进制相加后的数,如果你向后追,虽然也能直接看到10进制的值,但是具体怎么换算的,你就没有追了,如果你追一下,会发现很有意思的....
我只是看了看他是如何换算成10进制的而已...;)

jinbbs

学习一下,谢谢

gfclq

呵呵，正好俺是初学者，谢谢坛主啊！

yosen2001

老办法破的，算法不太懂，呵呵

正在堕落

我只会爆,哎!


明码比较也能跟出来:
  iceknife         830




可惜不会分析!哪个老大来点容易懂的教程!

[ 本帖最后由 正在堕落 于 2006-10-25 22:37 编辑 ]