【CrackMe】0-爆破之Acid burn

目标程序

来源：适合破解新手的160个crackme练手
程序：1- Acid burn
星级：★(容易)
下载地址： http://pan.baidu.com/s/1xUWOY 密码: jbnq
学习参考- 反汇编练习之160个CrackMe之001

注：
1、Win7系统对于模块和程序开启了随机初始地址的功能，会给分析带来很大的负担，所以不建议使用Win7进行分析。
2、以上工具都是在52PoJie论坛下的原版程序，NOD32不报毒，个人承诺绝对不会进行任何和木马病毒相关内容。

工具环境

操作系统：Windows 10
反汇编工具：吾爱破解专用版Ollydbg

分析臆测

想要破解一个程序，不能直接开手干，得先探探路，所以拿到程序后先运行看看，看下运行效果，了解程序运行情况。

本程序启动后是一个弹出框，搔首弄姿般地跟你说：欢迎来kill，如下：

点击确认后即进入主页面，该程序有两个注册码，左边为Serial/Name,右边为Serial，如下：

点击左边弹出得是一个名称+序列号的注册页面,随便输入信息,错误提示如下:

点击右边弹出的是一个序列号的注册页,随便输入信息,错误提示如下:

爆破法一般是找到错误提示点,然后用JMP或者NOP实现跳转到验证正确的地方,可通过定位到错误信息的调用处或者在弹出错误提示框时暂停找到关键程序处.本程序在注册失败时均有错误提示框,因此可以试试在弹出错误信息时下找到程序关键点.

庖丁解牛

运行OllyDbg程序,然后文件->打开选择我们的目标程序Acid burn.exe,等待程序加载完毕后,选择调试->运行(F9),程序正常运行后,我们先破解左边的,因此打开左边,然后随便输入点信息,点击检查按钮.此时会弹出"Sorry, The serial is in corect!".

注意!!! 不要去点确认,此时我们回到OD(OllyDbg的简称,后续OD均为该简称,不再赘述),选择调试->暂停(F12),使我们的目标程序暂停执行.为了查看程序的运行情况,我们需要查看程序的调用堆栈情况,选择查看->调用堆栈(Alt+K),结果如下:

查看调用堆栈时,我们要重点关注应用程序的信息.在上面的调用堆栈中我们尝试找到最上层的调用信息,双击调用来自的Acid_bur.0042FB32,便会跳转到对应的调用方代码处:

调账到代码调用处,往上看一点点,就看到我们的报错信息了,再上一点还有貌似正确的,那是不是让我们的程序跑到上面就可以了呢,改下试试:

选中行jnz short Acid_bur.0042FB1F然后右键->二进制->用NOP填充,然后再次运行(调试->运行(F9)),效果很好,直接欧啦.

运气不错,一改就成功了.

为了保证本次修改永久有效,需要将修改后的程序直接保存,方法为在我们代码修改的地方选中修改的其中一环->右键->复制到可执行文件->所有修改->全部复制->新弹出框内右键->保存到新文件即可.

右边的序列号的注册页破解与左边的完全一致,不再赘述.

本次小结

本次破解成功的关键是在报错的时候在OD中暂停下来,然后查看调用堆栈,找到报错处和正确的地方,然后修改程序直接运行到成功处即可,入门级的破解,学会使用OD即可,加油!