本文采用了《加密与解密》第4版的3.5.1的示例文件,因为很容易下载到,在这里就不再传源文件了,大家自行寻找下载这个crackme.exe。本文重点给出了如何不运行debugger,只采用cpu 模拟器x86emu 插件,结合IDA进行伪动态调试快速解码到密码。
Step1.打开exe文件(注意exe所在目录不能有中文,否则后面会报错),搜索所有字符串,找到OK字样的
step 2,找到引用的函数,如下, 这个函数就是关键了。将光标定到第一句话, 然后按下alt+f8打开x86emu插件
插件初始值如下
step3. 仔细观察一下,这个函数其实有三个参数,分别是
.text:00401040 hDlg = dword ptr 4
.text:00401040 arg_4 = dword ptr 8
.text:00401040 arg_8 = dword ptr 0Ch
也就是意味着,我们调用这个函数的时候 要往堆栈里面压入这三个参数。所以需要点击插件的push Data按钮,函数压入模拟的参数,具体值是多少并不重要。主要是保持堆栈平衡。
比如压入如上几个值作为参数实际值(中间用空格分开)
点击确定后,可见ESP进行相应的调整。
step4, 往下观察一下,我们如何才能到达OK那一步呢? 我们可以采用最粗暴的方法,因为x86emu在保证stack平衡的前提下,可以任意跳过你想跳过的函数或者不必要的代码,那么我们可以采用step按钮执行如下指令(也可以将光标放在00401071,点击run to cursor达到这一步)
.text:00401040 sub esp, 14h
.text:00401043 xor eax, eax
.text:00401045 mov ecx, dword_403034
.text:0040104B mov dl, byte_403038
.text:00401051 mov [esp+14h+var_B], eax
.text:00401055 mov [esp+14h+var_7], eax
.text:00401059 mov [esp+14h+String], 0
.text:0040105E mov [esp+14h+var_3], al
.text:00401062 mov eax, [esp+14h+arg_4]
.text:00401066 sub eax, 10h
.text:00401069 mov dword ptr [esp+14h+String2], ecx
.text:0040106D mov [esp+14h+var_10], dl
text:00401071 jz loc_401162
执行完毕后对应的窗口内容如下:
到达这里后,我们有必要判断EFLAGS么,其实必要性不大,我们从结构来看,只要一路往下运行,遇到条件转移就忽略,就能最终达到OK的效果。
所以下一步我们点击skip按钮,直接忽略jz
step6, 同理对于如下代码的所有jz和jnz都直接点skip按钮。
.text:00401071 jz loc_401162
.text:00401077 sub eax, 100h
.text:0040107C jz loc_401121
.text:00401082 dec eax
.text:00401083 jnz loc_40116D
.text:00401089 mov eax, [esp+14h+arg_8]
.text:0040108D and eax, 0FFFFh
.text:00401092 sub eax, 3EAh
.text:00401097 jz short loc_401105
.text:00401099 sub eax, 0Bh
.text:0040109C jnz short loc_401116
.text:0040109E mov ecx, [esp+14h+hDlg]
.text:004010A2 lea eax, [esp+14h+String]
step7, 下面来到如下代码,如下代码是调用API去获取对话框输入的,因为这个其实对于我们不重要,因为程序没有真正被运行。所以我们要让x86emu直接忽略掉这个函数的调用过程,方法是将光标放到text:004010B5,然后点击jump to cursor按钮,这样,中间的代码就直接跳过去,不参与模拟过程。
text:004010A6 push 0Bh ; cchMax
.text:004010A8 push eax ; lpString
.text:004010A9 push 3E8h ; nIDDlgItem
.text:004010AE push ecx ; hDlg
.text:004010AF call ds:GetDlgItemTextA
.text:004010B5 lea edx, [esp+14h+String2]
执行完毕后的界面如下了
step8, 下面是关键的部分啦,因为调用了字符串比对函数,我们现在的目的就是看比对的目标字符串是多少?
点击两次step按钮,运行完如下粗体的指令.
.text:004010B5 lea edx, [esp+14h+String2]
.text:004010B9 lea eax, [esp+14h+String]
.text:004010BD push edx ; lpString2
.text:004010BE push eax ; lpString1
.text:004010BF call ds:lstrcmp
.text:004010B9 lea eax, [esp+14h+String]
再次查看x86emu的界面
可见两个字符串指针, EAX=0x0012FFAC, EDX=0x0012FFA4. 这两个里面必定有一个指向的是真实密码,另一个指向的我们输入的值(因为我们没有真正输入,所以这个是无效的)
按下G键,分别跳转到两个地址,我们看内容
可以看到EDX指向的是一个字符串,转换为ASCII就是1899. 因为是little-endian,所以应该反过来是9981. 那么正确的密码应该是9981.
至此为止,我们没有运行这个程序全部,就是模拟了它的片段就得到了密码。可以说是一种新的途径。这个方法对于病毒分析还是更安全的,因为程序没有真正在电脑上运行。而且可以让你对于可以的函数更聚焦,可以自己控制很多系统级的参数,对于没有必要的API就可以直接跳过。
下面试一下我们的破解结果。大功告成。
广告合作:本站广告合作请联系QQ:858582 申请时备注:广告合作(否则不回)
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
暂无评论...
更新日志
2024年11月22日
2024年11月22日
- 张梦弘《大城小爱HQ》头版限量编号[低速原抓WAV+CUE]
- 张敬轩《MY 1ST COLLECTION》2CD[WAV+CUE][1.7G]
- 张玮伽《夜归人HQⅡ》2024头版限量编号[WAV+CUE][523M]
- 证声音乐图书馆《夏至 爵士境地》[320K/MP3][70.37MB]
- 孙露《同名专辑》限量1:1母盘直刻[低速原抓WAV+CUE]
- 【宝丽金唱片】群星《鼓舞飞扬》WAV+CUE
- 莫扎特弗雷德沃夏克肖斯塔科维奇《钢琴五重奏》(DG24-96)FLAC
- 证声音乐图书馆《夏至 爵士境地》[FLAC/分轨][360.16MB]
- 证声音乐图书馆《日落琴声 x 弦乐》[320K/MP3][71.2MB]
- 证声音乐图书馆《日落琴声 x 弦乐》[FLAC/分轨][342.58MB]
- 谢采妘2011《难忘的旋律(Non-StopChaCha)》马来西亚版[WAV+CUE]
- 林翠萍《听见林翠萍,记忆就会醒来》2CD[WAV+CUE]
- 木村好夫《天龍HIFI木吉他、木村好夫精选好歌》日本天龙版[WAV整轨]
- 证声音乐图书馆《日出琴声 x 民谣》[320K/MP3][53.76MB]
- 证声音乐图书馆《日出琴声 x 民谣》[FLAC/分轨][239.29MB]