湖州网站建设官网,附近的招聘工作,安阳县地图,如何在百度上做推广环境#xff1a; Windows xp sp3
工具 exeinfope OllyDBG
查壳 用exeinfope查壳#xff0c;发现是没有壳的。
测试
可以看出是从红色框框里面的内容判断serial是否有效
OD载入#xff0c;字符串搜索可以得到#xff1a;
004011EC . 55 pus…环境 Windows xp sp3
工具 exeinfope OllyDBG
查壳 用exeinfope查壳发现是没有壳的。
测试
可以看出是从红色框框里面的内容判断serial是否有效
OD载入字符串搜索可以得到
004011EC . 55 push ebp
004011ED . 8BEC mov ebp,esp
004011EF . 83C4 FC add esp,-0x4
004011F2 . 8B45 0C mov eax,dword ptr ss:[ebp0xC]
004011F5 . 83F8 10 cmp eax,0x10 ; Switch (cases 1..111)
004011F8 . 75 0D jnz XChafe_2.00401207
004011FA . 6A 00 push 0x0 ; /ExitCode 0; Case 10 (WM_CLOSE) of switch 004011F5
004011FC . E8 6B020000 call jmp.USER32.PostQuitMessage ; \PostQuitMessage
00401201 . 33C0 xor eax,eax
00401203 . C9 leave
00401204 . C2 1000 retn 0x10
00401207 83F8 0F cmp eax,0xF
0040120A . 75 0E jnz XChafe_2.0040121A
0040120C . 8B45 08 mov eax,dword ptr ss:[ebp0x8] ; Case F (WM_PAINT) of switch 004011F5
0040120F . E8 18010000 call Chafe_2.0040132C
00401214 . 33C0 xor eax,eax
00401216 . C9 leave
00401217 . C2 1000 retn 0x10
0040121A 83F8 01 cmp eax,0x1
0040121D . 75 06 jnz XChafe_2.00401225
0040121F . 33C0 xor eax,eax ; Case 1 (WM_CREATE) of switch 004011F5
00401221 . C9 leave
00401222 . C2 1000 retn 0x10
00401225 3D 11010000 cmp eax,0x111
0040122A . 0F85 E7000000 jnz Chafe_2.00401317
00401230 . 8B45 14 mov eax,dword ptr ss:[ebp0x14] ; Case 111 (WM_COMMAND) of switch 004011F5
00401233 . 3B05 60314000 cmp eax,dword ptr ds:[0x403160]
00401239 . 75 1A jnz XChafe_2.00401255
0040123B . 6A 00 push 0x0 ; /Style MB_OK|MB_APPLMODAL
0040123D . 68 96304000 push Chafe_2.00403096 ; |Title About TEXme v2.0
00401242 . 68 A7304000 push Chafe_2.004030A7 ; |Text Small crack-me program written by Chafe/TEX99RULES: Find a serial that matches your name or write a keygenerator. NO PATCHES IS ALLOWED!Released 19/7-99
00401247 . FF75 08 push dword ptr ss:[ebp0x8] ; |hOwner
0040124A . E8 17020000 call jmp.USER32.MessageBoxA ; \MessageBoxA
0040124F . 33C0 xor eax,eax
00401251 . C9 leave
00401252 . C2 1000 retn 0x10
00401255 3B05 58314000 cmp eax,dword ptr ds:[0x403158]
0040125B . 74 0C je XChafe_2.00401269
0040125D . 3B05 54314000 cmp eax,dword ptr ds:[0x403154]
00401263 . 0F85 AE000000 jnz Chafe_2.00401317
00401269 C705 D9124000 544mov dword ptr ds:[0x4012D9],0x584554
00401273 . 6A 00 push 0x0 ; /IsSigned FALSE
00401275 . 8D45 FC lea eax,dword ptr ss:[ebp-0x4] ; |
00401278 . 50 push eax ; |pSuccess
00401279 . 6A 64 push 0x64 ; |ControlID 64 (100.)
0040127B . FF35 50314000 push dword ptr ds:[0x403150] ; |hWnd NULL
00401281 . E8 BC010000 call jmp.USER32.GetDlgItemInt ; \GetDlgItemInt
00401286 . 837D FC 00 cmp dword ptr ss:[ebp-0x4],0x0
0040128A . 74 5F je XChafe_2.004012EB
0040128C . 50 push eax
0040128D . 6A 14 push 0x14 ; /Count 14 (20.)
0040128F . 68 6C314000 push Chafe_2.0040316C ; |Buffer Chafe_2.0040316C
00401294 . FF35 54314000 push dword ptr ds:[0x403154] ; |hWnd NULL
0040129A . E8 AF010000 call jmp.USER32.GetWindowTextA ; \GetWindowTextA
0040129F . 85C0 test eax,eax
004012A1 . 74 48 je XChafe_2.004012EB
004012A3 . A1 0B304000 mov eax,dword ptr ds:[0x40300B] ; 这里初始化
004012A8 . BB 6C314000 mov ebx,Chafe_2.0040316C
004012AD 0303 add eax,dword ptr ds:[ebx] ; 这里是将name的内容加进去具体怎么加可以单步跟踪看一看
004012AF . 43 inc ebx
004012B0 . 81FB 7C314000 cmp ebx,Chafe_2.0040317C ; 判断是否到达这个位置
004012B6 .^ 75 F5 jnz XChafe_2.004012AD
004012B8 . 5B pop ebx
004012B9 . 03C3 add eax,ebx ; 加上serial的值
004012BB . 3105 D9124000 xor dword ptr ds:[0x4012D9],eax
004012C1 . C1E8 10 shr eax,0x10
004012C4 . 66:2905 D9124000 sub word ptr ds:[0x4012D9],ax
004012CB . BE EC114000 mov esi,Chafe_2.004011EC
004012D0 . B9 3E000000 mov ecx,0x3E
004012D5 . 33DB xor ebx,ebx
004012D7 . EB 04 jmp XChafe_2.004012DD
004012D9 54 push esp
004012DA 45 db 45 ; CHAR E
004012DB 58 db 58 ; CHAR X
004012DC 00 db 00
004012DD AD lods dword ptr ds:[esi] ; 从4012CB可以看出esi的内容
004012DE . 33D8 xor ebx,eax
004012E0 . 49 dec ecx
004012E1 .^ 75 FA jnz XChafe_2.004012DD
004012E3 . 81FB FBCFFCAF cmp ebx,0xAFFCCFFB ; 这个比较要相等才行
004012E9 .^ 74 EE je XChafe_2.004012D9
004012EB 68 59304000 push Chafe_2.00403059 ; /Text Your serial is not valid.
004012F0 . FF35 5C314000 push dword ptr ds:[0x40315C] ; |hWnd NULL
004012F6 . E8 7D010000 call jmp.USER32.SetWindowTextA ; \SetWindowTextA
004012FB . 33C0 xor eax,eax
004012FD . C9 leave
004012FE . C2 1000 retn 0x10
00401301 . 68 73 30 40 00 ascii hs0,0
00401306 . FF35 5C314000 push dword ptr ds:[0x40315C] ; |hWnd NULL
0040130C . E8 67010000 call jmp.USER32.SetWindowTextA ; \SetWindowTextA
00401311 . 33C0 xor eax,eax
00401313 . C9 leave
00401314 . C2 1000 retn 0x10
一下子可以找到是[004012EB]这个位置使得显示serial的内容不正确而显示serial正确的内容却没有在下面的的函数显示出来而[00401301]这个位置却是在显示
00401301 . 68 73 30 40 00 ascii hs0,0
可以在内存窗口跟踪[00403073]看到了这个
00403073 59 45 53 21 20 59 6F 75 YES! You
0040307B 20 66 6F 75 6E 64 20 79 found y
00403083 6F 75 72 20 73 65 72 69 our seri
0040308B 61 6C 21 21 al!!可以看出只要跳转跳到[00401301]就可以显示正确内容。 往上查看后却发现并没有一个跳转是跳到[00401301]的而且[004012D9]-[0012DC]是一些数据。 细心一点可以看到
004012C4 . 66:2905 D9124000 sub word ptr ds:[0x4012D9],ax
这里会更改[004012D9]的内容于是可以猜测 在执行[004012C4]后[004012D9]的内容发生改变并在[004012D9]处出现一个jmp并且跳向[00401301]
分析前面指令的内容可以知道 1.程序将eax初始化为特定的值后将输入的name加到eax中 2.然后将eax的值加上serial的值,结果保存在eax 3.将eax的值和[004012D9]位置的值进行异或运算结果保存在[00401D9] 4.最后再用[004012D9]的值减去eax右移16位后的值。
如果忽略了[004012E1]处的判断会发现即使[004012D9]处的指令是跳到[00401301]处也没用因为[004012D9]的指令并不会执行。所以要使得ebx的值为0xAFFCCFFB而这个值是将[004011EC]处开始每4个字节的内容赋值到eax不断的与ebx异或得出的。
要注意到的是输入的内容会改变[004012D9]的内容而[004012D9]的内容会影响后面异或的结果。所以可以 根据异或的结果即0xAFFCCFFB来推算出[004012D9]的内容即第4步的结果又根据得出的内容推算出serial的值。
我自己算出[004012D9]的内容应该为 0x585426EB 恰好
EB 26 是 jmp X00401301
所以可以容易得出注册机 char s[50];unsigned int *temp;unsigned int sum 0x58455443;unsigned int result 0x585426EB;unsigned int x 0x584554;unsigned int bian,k;memset(s,0,sizeof(s));scanf(%s,s);//求第一步结果即将name加到eax for(int i0;i16;i){temp (unsigned int*)s[i];sum *temp;}//求第二、三步结果 for(unsigned int i0;i0xFF;i){unsigned int j;bian 0x5800; //注意到[004012C4]有个sub而sub的其中一个值是(sumseria)16的值k 0;bian bian | i;k bian result ; //算出异或后的结果k ^ x; //算出异或前的结果j k 16;if(j bian) //这里要保证加上的bian的值和(sumseria)16的值相同{printf(serial: %u,k-sum);} }
最后会发现最后减掉的值为0x580C测试了多组数据都是这个值。其中的原理没找到。
