新160个CrackMe分析-第6组:51-60(下)
原创新160个CrackMe分析-第6组:51-60(下)
原创
作者:selph
?? 051-Keygenning4newbies1
? 052-tc.22
? 053-devilz KeyGen me#33
? 054-vcrkme014
? 055-BCG Crackme5
? 056-diablo2oo2's Crackme 016
? 057-bbbs-crackme047
? 058-CZG-crackme18
? 059-Dope2112.19
? 060-snake10
1. 056-diablo2oo2's Crackme 01
算法难度:????
爆破难度:?
信息收集
运行情况:
查壳与脱壳:
调试分析
IDA走起~
一开始调用了一个call,跟进去
这个call在是创建窗口的,这里一开始就在填充窗口类,这里有个窗口函数,跟进
老样子,在窗口函数里找nMsg=0x111,wParam=3(通过xspy查的)的分支:
首先是获取Name,判断长度,合法长度是5--0x20字节
紧接着是一个循环,处理前5个字节,生成5个字节填充到字符数组里,这里有一堆跳转就是确保生成的字节满足大小要求
接下来:再次循环前五字节,以类似的方法生成另外5字节数字填充到字符数组的后面
再往下就是获取序列号了:
序列号长度必须满足10字节要求
最后就是比对环节:
取一位序列号,取一位生成字符数组,对生成数组的字符进行处理,处理完成之后,和序列号做对比,相同则判断下一位,全部相同则成功~
注册机
注册码生成算法:
string? name = Console.ReadLine(); char[] nameCheck = new char[11]; if(name!=null && name.Length >= 5 && name.Length<=0x20) { ??? //?处理前5字节 ??? byte i = 5; ??? while (i >0) ??? { ??????? byte cl = (byte)name[5 - i]; ??????? cl ^= 0x29; ??????? cl += i; ??????? if(cl<0x41 || cl > 0x5A) ??????? { ??????????? cl = 0x52; ??????????? cl += i; ??????? } ??????? nameCheck[5 - i] = (char)cl; ??????? i--; ??? } ??? //?处理后五字节 ??? i = 5; ??? while (i > 0) ??? { ??????? byte cl = (byte)name[5 - i]; ??????? cl ^= 0x27; ??????? cl += i; ??????? cl += 1; ??????? if (cl < 0x41 || cl > 0x5A) ??????? { ??????????? cl = 0x4D; ??????????? cl += i; ??????? } ??????? nameCheck[10 - i] = (char)cl; ??????? i--; ??? } ??? //?生成序列号 ??? char[] serial = new char[11]; ??? i = 0; ??? while (i < 10) ?? ?{ ??????? byte dl = (byte)nameCheck[i]; ??????? dl += 5; ??????? if (dl > 0x5A) dl -= 0x0d; ??????? dl ^= 0x0c; ??????? if (dl < 0x41) ??????? { ??????????? dl = 0x4B; ??????????? dl += i; ??????? } ??????? if (dl > 0x5A) ??????? { ??????????? dl = 0x4B; ??????????? dl -= i; ??????? } ??????? serial[i] = (char)dl; ??????? i++; ??? } ??? Console.WriteLine(serial); }
效果:
2. 057-bbbs-crackme04
算法难度:??
爆破难度:?
反调试:?
信息收集
运行情况:
虚拟机打开提示反调试
查壳与脱壳:
有壳,壳拖完了还是看不到导入函数名称,算了,直接带壳调试
调试分析
反调试?
没错,这里我就是要打一个问号,我还以为用了啥反调试,搞得我不知道是咋回事,程序就是跑不起来,最后发现,这tm就是硬编码的弹窗有调试器然后退出进程,把那个函数nop掉即可
首先是放在调试器里跑,不管壳,直接跑,跑到弹窗,然后点击暂停,找到弹窗函数调用的地方:
在网上追一层,找到最上面的函数头:是我们熟悉的窗口过程函数,这里是eax保存的是消息码
在cmp eax,133这一行下断点,然后不断运行断下观察,在eax的值为多少之后程序弹窗,过程就不演示了,结果是eax=47时弹的窗
再次运行,从eax=47这个分支跟下去,单步跟踪,找到跑飞的地方:
程序在这里的int 2b之后,立马就跑飞了,这里进入内核系统调用了,不知道返回到哪里了,这里在执行该指令之前,在内存布局视图中直接给代码段下断点,然后执行:
发现程序停在了刚刚会弹窗提示反调试的函数前面!!这个弹窗call的功能只有一个就是弹窗并退出进程
所以这里想要不弹窗正常启动软件,就需要把这个call给nop掉!然后跑起来就能进入程序界面了:
注册算法分析
直接就动态分析吧,这次
老样子,找窗口函数里控制码是111,参数为3eb的分支:
逻辑简单明了,获取UserId,获取Password,然后一个call,非0表示成功
跟进call看看,接下来就用IDA来分析:
首先是判断输入情况,UserId不能为空,Pasword长度为8位
接下来用UserId计算一个值,用Password计算一个值(atoi),然后异或一个固定值,最后进行比较
注册机
注册码生成算法:
#include int main() { ??? char UserId[100] = { 0 }; ??? std::cin >> UserId; ??? unsigned int check = 0x12345678; ??? for (size_t i = 0; i < strlen(UserId); i++) ??????? check = ((check * 2) | (check >> 7)) ^ UserId[i]; ??? check ^= 0xDDDDDDD0; ??? std::cout << std::hex << check; }
效果:
3. 058-CZG-crackme1
算法难度:???
爆破难度:?
信息收集
运行情况:
查壳与脱壳:
无壳
调试分析
直接IDA打开,找到窗口函数,0x111,3eb分支:
首先是获取输入的两个值
然后这里使用UserName计算了一个数组出来
然后就是计算比较环节,这里很奇怪,这里把数组的地址转成十进制,变成字符串,然后去计算校验码,合着刚刚算的一大堆没用是吧!!!
校验码的计算:
首先是第一段循环:循环100h次,计算一个数组,数组有100h字节
然后是第二段循环:
给eax赋初值FFFFFFFFh,然后取一个字节,和ff异或,然后eax右移8位,和数组中的一个4字节异或
emmm,256个成员的数组,全F的初值,每次循环位移8位,这不就是CRC32算法嘛
注册机
程序跑起来之后,在生成crc32的数组之后断下来,复制出来直接用,就不用再手动计算数组了
注册码生成算法:
#define? _CRT_SECURE_NO_WARNINGS #include unsigned char arr1[8] = { ??? 0x63, 0x72, 0x61, 0x63, 0x6B, 0x6D, 0x65, 0x00 }; unsigned char arr2[67] = { ?? ?0x36, 0x35, 0x37, 0x75, 0x74, 0x68, 0x75, 0x74, 0x64, 0x75, 0x65, 0x68, 0x64, 0x68, 0x64, 0x68, ??? 0x64, 0x2C, 0x6C, 0x6A, 0x68, 0x67, 0x73, 0x34, 0x73, 0x67, 0x66, 0x34, 0x73, 0x35, 0x73, 0x35, ??? 0x67, 0x73, 0x35, 0x73, 0x67, 0x35, 0x67, 0x34, 0x35, 0x73, 0x34, 0x67, 0x35, 0x64, 0x67, 0x79, ??? 0x73, 0x68, 0x73, 0x74, 0x65, 0x5D, 0x5B, 0x67, 0x66, 0x5D, 0x66, 0x67, 0x5D, 0x66, 0x5D, 0x64, ??? 0x5D, 0x00, 0x00 }; //------------------------------------------------------------ //-----------?????? Created with 010 Editor??????? ----------- //------???????? www.sweetscape.com/010editor/????????? ------ // // File??? : Untitled1 // Address : 0 (0x0) // Size??? : 1024 (0x400) //------------------------------------------------------------ unsigned char hexData[1024] = { ??? 0x00, 0x00, 0x00, 0x00, 0x96, 0x30, 0x07, 0x77, 0x2C, 0x61, 0x0E, 0xEE, 0xBA, 0x51, 0x09, 0x99, ??? 0x19, 0xC4, 0x6D, 0x07, 0x8F, 0xF4, 0x6A, 0x70, 0x35, 0xA5, 0x63, 0xE9, 0xA3, 0x95, 0x64, 0x9E, ??? 0x32, 0x88, 0xDB, 0x0E, 0xA4, 0xB8, 0xDC, 0x79, 0x1E, 0xE9, 0xD5, 0xE0, 0x88, 0xD9, 0xD2, 0x97, ??? 0x2B, 0x4C, 0xB6, 0x09, 0xBD, 0x7C, 0xB1, 0x7E, 0x07, 0x2D, 0xB8, 0xE7, 0x91, 0x1D, 0xBF, 0x90, ??? 0x64, 0x10, 0xB7, 0x1D, 0xF2, 0x20, 0xB0, 0x6A, 0x48, 0x71, 0xB9, 0xF3, 0xDE, 0x41, 0xBE, 0x84, ??? 0x7D, 0xD4, 0xDA, 0x1A, 0xEB, 0xE4, 0xDD, 0x6D, 0x51, 0xB5, 0xD4, 0xF4, 0xC7, 0x85, 0xD3, 0x83, ??? 0x56, 0x98, 0x6C, 0x13, 0xC0, 0xA8, 0x6B, 0x64, 0x7A, 0xF9, 0x62, 0xFD, 0xEC, 0xC9, 0x65, 0x8A, ??? 0x4F, 0x5C, 0x01, 0x14, 0xD9, 0x6C, 0x06, 0x63, 0x63, 0x3D, 0x0F, 0xFA, 0xF5, 0x0D, 0x08, 0x8D, ??? 0xC8, 0x20, 0x6E, 0x3B, 0x5E, 0x10, 0x69, 0x4C, 0xE4, 0x41, 0x60, 0xD5, 0x72, 0x71, 0x67, 0xA2, ??? 0xD1, 0xE4, 0x03, 0x3C, 0x47, 0xD4, 0x04, 0x4B, 0xFD, 0x85, 0x0D, 0xD2, 0x6B, 0xB5, 0x0A, 0xA5, ??? 0xFA, 0xA8, 0xB5, 0x35, 0x6C, 0x98, 0xB2, 0x42, 0xD6, 0xC9, 0xBB, 0xDB, 0x40, 0xF9, 0xBC, 0xAC, ??? 0xE3, 0x6C, 0xD8, 0x32, 0x75, 0x5C, 0xDF, 0x45, 0xCF, 0x0D, 0xD6, 0xDC, 0x59, 0x3D, 0xD1, 0xAB, ??? 0xAC, 0x30, 0xD9, 0x26, 0x3A, 0x00, 0xDE, 0x51, 0x80, 0x51, 0xD7, 0xC8, 0x16, 0x61, 0xD0, 0xBF, ??? 0xB5, 0xF4, 0xB4, 0x21, 0x23, 0xC4, 0xB3, 0x56, 0x99, 0x95, 0xBA, 0xCF, 0x0F, 0xA5, 0xBD, 0xB8, ??? 0x9E, 0xB8, 0x02, 0x28, 0x08, 0x88, 0x05, 0x5F, 0xB2, 0xD9, 0x0C, 0xC6, 0x24, 0xE9, 0x0B, 0xB1, ??? 0x87, 0x7C, 0x6F, 0x2F, 0x11, 0x4C, 0x68, 0x58, 0xAB, 0x1D, 0x61, 0xC1, 0x3D, 0x2D, 0x66, 0xB6, ??? 0x90, 0x41, 0xDC, 0x76, 0x06, 0x71, 0xDB, 0x01, 0xBC, 0x20, 0xD2, 0x98, 0x2A, 0x10, 0xD5, 0xEF, ??? 0x89, 0x85, 0xB1, 0x71, 0x1F, 0xB5, 0xB6, 0x06, 0xA5, 0xE4, 0xBF, 0x9F, 0x33, 0xD4, 0xB8, 0xE8, ??? 0xA2, 0xC9, 0x07, 0x78, 0x34, 0xF9, 0x00, 0x0F, 0x8E, 0xA8, 0x09, 0x96, 0x18, 0x98, 0x0E, 0xE1, ??? 0xBB, 0x0D, 0x6A, 0x7F, 0x2D, 0x3D, 0x6D, 0x08, 0x97, 0x6C, 0x64, 0x91, 0x01, 0x5C, 0x63, 0xE6, ??? 0xF4, 0x51, 0x6B, 0x6B, 0x62, 0x61, 0x6C, 0x1C, 0xD8, 0x30, 0x65, 0x85, 0x4E, 0x00, 0x62, 0xF2, ??? 0xED, 0x95, 0x06, 0x6C, 0x7B, 0xA5, 0x01, 0x1B, 0xC1, 0xF4, 0x08, 0x82, 0x57, 0xC4, 0x0F, 0xF5, ??? 0xC6, 0xD9, 0xB0, 0x65, 0x50, 0xE9, 0xB7, 0x12, 0xEA, 0xB8, 0xBE, 0x8B, 0x7C, 0x88, 0xB9, 0xFC, ??? 0xDF, 0x1D, 0xDD, 0x62, 0x49, 0x2D, 0xDA, 0x15, 0xF3, 0x7C, 0xD3, 0x8C, 0x65, 0x4C, 0xD4, 0xFB, ??? 0x58, 0x61, 0xB2, 0x4D, 0xCE, 0x51, 0xB5, 0x3A, 0x74, 0x00, 0xBC, 0xA3, 0xE2, 0x30, 0xBB, 0xD4, ??? 0x41, 0xA5, 0xDF, 0x4A, 0xD7, 0x95, 0xD8, 0x3D, 0x6D, 0xC4, 0xD1, 0xA4, 0xFB, 0xF4, 0xD6, 0xD3, ??? 0x6A, 0xE9, 0x69, 0x43, 0xFC, 0xD9, 0x6E, 0x34, 0x46, 0x88, 0x67, 0xAD, 0xD0, 0xB8, 0x60, 0xDA, ??? 0x73, 0x2D, 0x04, 0x44, 0xE5, 0x1D, 0x03, 0x33, 0x5F, 0x4C, 0x0A, 0xAA, 0xC9, 0x7C, 0x0D, 0xDD, ??? 0x3C, 0x71, 0x05, 0x50, 0xAA, 0x41, 0x02, 0x27, 0x10, 0x10, 0x0B, 0xBE, 0x86, 0x20, 0x0C, 0xC9, ??? 0x25, 0xB5, 0x68, 0x57, 0xB3, 0x85, 0x6F, 0x20, 0x09, 0xD4, 0x66, 0xB9, 0x9F, 0xE4, 0x61, 0xCE, ??? 0x0E, 0xF9, 0xDE, 0x5E, 0x98, 0xC9, 0xD9, 0x29, 0x22, 0x98, 0xD0, 0xB0, 0xB4, 0xA8, 0xD7, 0xC7, ??? 0x17, 0x3D, 0xB3, 0x59, 0x81, 0x0D, 0xB4, 0x2E, 0x3B, 0x5C, 0xBD, 0xB7, 0xAD, 0x6C, 0xBA, 0xC0, ??? 0x20, 0x83, 0xB8, 0xED, 0xB6, 0xB3, 0xBF, 0x9A, 0x0C, 0xE2, 0xB6, 0x03, 0x9A, 0xD2, 0xB1, 0x74, ??? 0x39, 0x47, 0xD5, 0xEA, 0xAF, 0x77, 0xD2, 0x9D, 0x15, 0x26, 0xDB, 0x04, 0x83, 0x16, 0xDC, 0x73, ??? 0x12, 0x0B, 0x63, 0xE3, 0x84, 0x3B, 0x64, 0x94, 0x3E, 0x6A, 0x6D, 0x0D, 0xA8, 0x5A, 0x6A, 0x7A, ??? 0x0B, 0xCF, 0x0E, 0xE4, 0x9D, 0xFF, 0x09, 0x93, 0x27, 0xAE, 0x00, 0x0A, 0xB1, 0x9E, 0x07, 0x7D, ??? 0x44, 0x93, 0x0F, 0xF0, 0xD2, 0xA3, 0x08, 0x87, 0x68, 0xF2, 0x01, 0x1E, 0xFE, 0xC2, 0x06, 0x69, ??? 0x5D, 0x57, 0x62, 0xF7, 0xCB, 0x67, 0x65, 0x80, 0x71, 0x36, 0x6C, 0x19, 0xE7, 0x06, 0x6B, 0x6E, ??? 0x76, 0x1B, 0xD4, 0xFE, 0xE0, 0x2B, 0xD3, 0x89, 0x5A, 0x7A, 0xDA, 0x10, 0xCC, 0x4A, 0xDD, 0x67, ??? 0x6F, 0xDF, 0xB9, 0xF9, 0xF9, 0xEF, 0xBE, 0x8E, 0x43, 0xBE, 0xB7, 0x17, 0xD5, 0x8E, 0xB0, 0x60, ??? 0xE8, 0xA3, 0xD6, 0xD6, 0x7E, 0x93, 0xD1, 0xA1, 0xC4, 0xC2, 0xD8, 0x38, 0x52, 0xF2, 0xDF, 0x4F, ??? 0xF1, 0x67, 0xBB, 0xD1, 0x67, 0x57, 0xBC, 0xA6, 0xDD, 0x06, 0xB5, 0x3F, 0x4B, 0x36, 0xB2, 0x48, ??? 0xDA, 0x2B, 0x0D, 0xD8, 0x4C, 0x1B, 0x0A, 0xAF, 0xF6, 0x4A, 0x03, 0x36, 0x60, 0x7A, 0x04, 0x41, ??? 0xC3, 0xEF, 0x60, 0xDF, 0x55, 0xDF, 0x67, 0xA8, 0xEF, 0x8E, 0x6E, 0x31, 0x79, 0xBE, 0x69, 0x46, ??? 0x8C, 0xB3, 0x61, 0xCB, 0x1A, 0x83, 0x66, 0xBC, 0xA0, 0xD2, 0x6F, 0x25, 0x36, 0xE2, 0x68, 0x52, ??? 0x95, 0x77, 0x0C, 0xCC, 0x03, 0x47, 0x0B, 0xBB, 0xB9, 0x16, 0x02, 0x22, 0x2F, 0x26, 0x05, 0x55, ??? 0xBE, 0x3B, 0xBA, 0xC5, 0x28, 0x0B, 0xBD, 0xB2, 0x92, 0x5A, 0xB4, 0x2B, 0x04, 0x6A, 0xB3, 0x5C, ??? 0xA7, 0xFF, 0xD7, 0xC2, 0x31, 0xCF, 0xD0, 0xB5, 0x8B, 0x9E, 0xD9, 0x2C, 0x1D, 0xAE, 0xDE, 0x5B, ??? 0xB0, 0xC2, 0x64, 0x9B, 0x26, 0xF2, 0x63, 0xEC, 0x9C, 0xA3, 0x6A, 0x75, 0x0A, 0x93, 0x6D, 0x02, ??? 0xA9, 0x06, 0x09, 0x9C, 0x3F, 0x36, 0x0E, 0xEB, 0x85, 0x67, 0x07, 0x72, 0x13, 0x57, 0x00, 0x05, ??? 0x82, 0x4A, 0xBF, 0x95, 0x14, 0x7A, 0xB8, 0xE2, 0xAE, 0x2B, 0xB1, 0x7B, 0x38, 0x1B, 0xB6, 0x0C, ??? 0x9B, 0x8E, 0xD2, 0x92, 0x0D, 0xBE, 0xD5, 0xE5, 0xB7, 0xEF, 0xDC, 0x7C, 0x21, 0xDF, 0xDB, 0x0B, ??? 0xD4, 0xD2, 0xD3, 0x86, 0x42, 0xE2, 0xD4, 0xF1, 0xF8, 0xB3, 0xDD, 0x68, 0x6E, 0x83, 0xDA, 0x1F, ??? 0xCD, 0x16, 0xBE, 0x81, 0x5B, 0x26, 0xB9, 0xF6, 0xE1, 0x77, 0xB0, 0x6F, 0x77, 0x47, 0xB7, 0x18, ??? 0xE6, 0x5A, 0x08, 0x88, 0x70, 0x6A, 0x0F, 0xFF, 0xCA, 0x3B, 0x06, 0x66, 0x5C, 0x0B, 0x01, 0x11, ??? 0xFF, 0x9E, 0x65, 0x8F, 0x69, 0xAE, 0x62, 0xF8, 0xD3, 0xFF, 0x6B, 0x61, 0x45, 0xCF, 0x6C, 0x16, ??? 0x78, 0xE2, 0x0A, 0xA0, 0xEE, 0xD2, 0x0D, 0xD7, 0x54, 0x83, 0x04, 0x4E, 0xC2, 0xB3, 0x03, 0x39, ??? 0x61, 0x26, 0x67, 0xA7, 0xF7, 0x16, 0x60, 0xD0, 0x4D, 0x47, 0x69, 0x49, 0xDB, 0x77, 0x6E, 0x3E, ??? 0x4A, 0x6A, 0xD1, 0xAE, 0xDC, 0x5A, 0xD6, 0xD9, 0x66, 0x0B, 0xDF, 0x40, 0xF0, 0x3B, 0xD8, 0x37, ??? 0x53, 0xAE, 0xBC, 0xA9, 0xC5, 0x9E, 0xBB, 0xDE, 0x7F, 0xCF, 0xB2, 0x47, 0xE9, 0xFF, 0xB5, 0x30, ??? 0x1C, 0xF2, 0xBD, 0xBD, 0x8A, 0xC2, 0xBA, 0xCA, 0x30, 0x93, 0xB3, 0x53, 0xA6, 0xA3, 0xB4, 0x24, ??? 0x05, 0x36, 0xD0, 0xBA, 0x93, 0x06, 0xD7, 0xCD, 0x29, 0x57, 0xDE, 0x54, 0xBF, 0x67, 0xD9, 0x23, ??? 0x2E, 0x7A, 0x66, 0xB3, 0xB8, 0x4A, 0x61, 0xC4, 0x02, 0x1B, 0x68, 0x5D, 0x94, 0x2B, 0x6F, 0x2A, ??? 0x37, 0xBE, 0x0B, 0xB4, 0xA1, 0x8E, 0x0C, 0xC3, 0x1B, 0xDF, 0x05, 0x5A, 0x8D, 0xEF, 0x02, 0x2D }; int main() { ??? char name[100] = { 0 }; ??? std::cin >> name; ??? int len = strlen("plmm: 0xAAAAAAAA"); ??? //?没用!!!! ??? //char str[100] = { 0 }; ??? //for (size_t i = 0; i < 6; i++) ??? //{ ??? //? char tmp = arr1[i] & arr2[i]; ??? //? name[i] = tmp; ??? //? name[i] &= arr1[i]; ??? //? name[i] ^= arr2[i]; ??? //? name[i] += i; ??? //? str[i] = name[i]; ??? //} ??? const char* str1 = "4339744"; ??? unsigned int eax = 0xFFFFFFFF; ??? for (int i = 0; i < 6; i++) ??? { ??????? unsigned char edx = str1[i]; ??????? edx ^= eax; ??????? eax >>= 8; ??????? eax ^= *(unsigned int*)(hexData +edx*4); ??? } ??? eax ^= 0xffffffff; ??? char check_code[100] = { 0 }; ??? sprintf(check_code,"plmm: 0x%08X",eax); ??? std::cout << check_code; }
效果:
总结
应该是代码写错了,按理说应该是用Name生成一个数组,然后用生成的这个数组计算crc,程序员写成了用生成数组的地址计算crc,一下子变成硬编码了
4. 059-Dope2112.1
算法难度:???(跳转表)
爆破难度:?
信息收集
运行情况:
查壳与脱壳:
调试分析
老版本delphi程序
输入错误信息,看提示:
通过x86dbg去搜索字符串,找到这个校验函数:sub_421B84,去IDA里搜索这个位置,然后同时用DelphiDecompiler打开这个程序辅助分析
首先是处理一下输入,用户名需要大于等于6字符,然后全部变成小写
然后是进入循环了,取一个字节,减去'a',然后以此为索引去跳转,这就是switch-case语句的跳转表的形式,每个分支都有不同的处理
跳转分支里的内容是赋值,然后出来之后就是把赋值的值累加到1字节里,总共循环6次
再往下就是常规的字符串拼接和对比了:
注册机
注册码生成算法:
#include #include #include using namespace std; int main() { ??? string? name=""; ??? string serial=""; ??? int len; ??? std::cin >> name; ??? len = name.length(); ??? transform(name.begin(), name.end(), name.begin(), ::tolower); ??? uint8_t dl; ??? uint8_t bl=0; ??? for (int i = 0; i != 6; ++i) ??? { ??? ????switch (name[i]) ??????? { ??????? case 'a': ??????????? dl = 24; ??????????? break; ??????? case 'b': ??????????? dl = 37; ??????????? break; ??????? case 'c': ??????????? dl = 66; ??????????? break; ??????? case 'd': ??????????? dl = 12; ??????????? break; ??????? case 'e': ??????????? dl = 13; ??????????? break; ??????? case 'f': ??????????? dl = 6; ??????????? break; ??????? case 'g': ??????????? dl = 54; ??????????? break; ??????? case 'h': ??????????? dl = 43; ??????????? break; ??????? case 'i': ??????????? dl = 23; ??????????? break; ??????? case 'j': ??????????? dl = 47; ??????????? break; ??????? case 'k': ??????????? dl = 19; ??????????? break; ??????? case 'l': ??????????? dl = -126; ??????????? break; ??????? case 'm': ??????????? dl = -101; ??????????? break; ??????? case 'n': ??????????? dl = -110; ??????????? break; ??????? case 'o': ??????????? dl = 3; ??????????? break; ??????? case 'p': ??????????? dl = 99; ??????????? break; ??????? case 'q': ??????????? dl = 33; ??????????? break; ?? ?????case 'r': ??????????? dl = 66; ??????????? break; ??????? case 's': ??????????? dl = 92; ??????????? break; ??????? case 't': ??????????? dl = 41; ??????????? break; ??????? case 'u': ??????????? dl = -57; ??????????? break; ??????? case 'v': ??????? ????dl = 102; ??????????? break; ??????? case 'w': ??????????? dl = 88; ??????????? break; ??????? case 'x': ??????????? dl = 10; ??????????? break; ??????? case 'y': ??????????? dl = 40; ??????????? break; ??????? case 'z': ??????????? dl = 80; ????????? ??break; ??????? default: ??????????? dl = 93; ??????????? break; ??????? } ??????? bl += dl; ??? } ??? cout << (int)bl << "-" << len * 0x4a7e; }
效果:
5. 060-snake
算法难度:?????
爆破难度:?
信息收集
运行情况:
查壳与脱壳:
调试分析
Check按钮事件
老样子,IDA打开,找到Check按钮的事件分支:
首先是获取Name和Serial,为空会提示
然后一个call验证Serial合法性,不行就弹窗提示
这个call的内容如下:判断内容要由数字和大写字母组成
再往下就是三个call和弹窗提示验证是否成功了:
验证过程--第1个Call
验证过程主要是3个call
首先是第一个call:
内容较少,简单来说就是填充数组
填充16个FF,然后填充16*16个00,然后再填充16个FF
验证过程--第2个Call
第2个Call内容多点
首先是对输入的Name进行处理,累加每一个字符,得到一个累加值,保存到dl
接下来生成CC,通过累加值dl和取出来的字节进行异或,得到数组索引,该位置是0就往该位置填充CC,计数CC的数量
累加值异或字节,然后用过的累加值再减去字节值,来使得CC随机分布,但最终取决于输入的Name
再往下就是填充DD,总共填充一个,接着用刚刚填充CC的位置计算方法进行
再往后就是填充99:
直接用计算到最后的dl作为索引进行,如果是00,就填充为99,否则就往前挪一格再次判断,最后保存99的地址
使用字符串selph生成一个地图看看:
验证过程--第3个Call
到这里已经很明显的感觉到了,16*16的地图,生成了很多CC,然后有一个DD,一个99,再加上程序名snake,这就是一个贪吃蛇啊
第一个call开辟空间,第二个call布置场地,第三个call理所应当就是开始游戏了!
首先获取当前位置和序列号,通过序列号的输入来进行移动
首先是判断输入是否是数字,是数字则直接进行移动,这里的移动是通过加减数组的索引进行的
判断方式是这样进行的:取数字的后两位:
– 00:向下一格
– 01:向上一格
– 10:向左一格
– 11:向右一格
如果数字不只是后两位有值,则执行完用前两位再次走一遍判断,比如9,就是1001,就是上左移动一格,如果输入的是大写字母的话,也是类似的,具体可见反汇编这一段的计算过程
计算完移动方向之后,该进行移动判断了:
如果下一个位置是0,或者CC,都跳转去执行,如果是99则返回0失败,如果是DD且没吃完CC,也返回0失败,如果是CC吃完了,就是返回1成功
首先看如果下一个位置是00怎么处理:
调用一个call,就是走格子用的,然后判断是否有高2位,有的话再按高2位走一遍,没有的话,获取下一个字符进入下一个循环
接下来看看这个走格子的call:
首先是获取当前格子的新位置,起始位置,把新位置写入99,把当前位置写入00
然后edi+4进行判断,edi里装的是个数组,数组成员是当前蛇的身子的位置,当长度大于1的时候,edi+4就是第二个位置,有值的时候,把刚刚写入0的位置作为新位置,把身子的位置作为当前位置,再次进行相同的操作
视觉效果就是,身子跟着头一起移动了
回到刚刚的循环里,如果移动遇到了CC则再次执行这个移动的函数,同时给count计数-1,这个count变量保存的是当前场上CC的数量
然后把这个函数清零的位置变成99,也就是让蛇身子最后一个位置本来清零了,结果又填充回99,同时把新的位置加入到身子数组里
到这里,整个程序的逻辑分析完整了,就是贪吃蛇,吃完所有CC走到DD即可验证通过
注册机
注册码生成算法:
#include #include using namespace std; uint8_t areas[18][16] = {0}; uint8_t countCC = 0; uint8_t snake[10][2] = {0}; uint8_t pos[10][2] = { 0 }; void GenerateAreas(string str) { ??? //?场地生成 ??? memset(&areas[0], 0xFF, 0x10); ??? memset(&areas[1], 0, 0x100); ??? memset(&areas[17], 0xFF, 0x10); ??? //?填充CC ??? uint8_t* areasBegin = (uint8_t*)&areas[1]; ??? uint8_t sum = 0; ??? uint8_t tmp = 0; ??? for (auto var : str) sum += var; ??? for (auto var : str) { ??????? tmp = var ^ sum; ??????? sum -= tmp; ??????? *(areasBegin + tmp) = 0xCC; ??????? //?保存坐标 ??????? pos[countCC][0] = tmp / 16; ??????? pos[countCC][1] = tmp % 16; ??????? countCC++; ??? } ??? //?填充DD ??? sum ^= tmp; ??? for (; *(areasBegin + (tmp -= sum)) == 0xCC; sum--); ??? *(areasBegin + tmp) = 0xDD; ??? pos[countCC][0] = tmp / 16; ??? pos[countCC][1] = tmp % 16;; ??? //?填充99 ??? tmp = sum; ??? for (; *(areasBegin + tmp) == 0xCC || *(areasBegin + tmp) == 0xDD; tmp--); ??? *(areasBegin + tmp) = 0x99; ??? snake[0][0] = tmp / 16; ??? snake[0][1] = tmp % 16; ??? countCC++; } int main() { ??? GenerateAreas("selph"); ??? //?生成注册码:长度短的情况下,不用考虑自己咬到自己 ??? uint8_t x = snake[0][0]; ??? uint8_t y = snake[0][1]; ??? for (int i = 0; i ??????? uint8_t xCC = pos[i][0]; ??????? uint8_t yCC = pos[i][1]; ??????? if (yCC - y >= 0) for (int i = 0; i < yCC - y; i++)cout << "3"; ??????? else for (int i = 0; i < y - yCC; i++)cout << "2"; ??????? if (xCC - x >= 0) for (int i = 0; i < xCC - x; i++)cout << "0"; ??????? else for (int i = 0; i < x - xCC; i++)cout << "1"; ??????? x = xCC; ??????? y = yCC; ??? } }
效果:
selph 33333333333333311222222200000031111333111111222200000000000
总结
有趣的验证方式,通过输入的用户名生成贪吃蛇地图,通过密码来进行移动,吃完豆子CC,走到终点DD算验证通过,很有趣的一次逆向体验
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。