160 - 24 Chafe.2
环境:
Windows xp sp3
工具
exeinfope
OllyDBG
查壳
用exeinfope查壳,发现是没有壳的。
测试
可以看出是从红色框框里面的内容判断serial是否有效
OD载入,字符串搜索可以得到:
004011EC . 55 push ebp
004011ED . 8BEC mov ebp,esp
004011EF . 83C4 FC add esp,-0x4
004011F2 . 8B45 0C mov eax,dword ptr ss:[ebp+0xC]
004011F5 . 83F8 10 cmp eax,0x10 ; Switch (cases 1..111)
004011F8 . 75 0D jnz XChafe_2.00401207
004011FA . 6A 00 push 0x0 ; /ExitCode = 0; Case 10 (WM_CLOSE) of switch 004011F5
004011FC . E8 6B020000 call <jmp.&USER32.PostQuitMessage> ; \PostQuitMessage
00401201 . 33C0 xor eax,eax
00401203 . C9 leave
00401204 . C2 1000 retn 0x10
00401207 > 83F8 0F cmp eax,0xF
0040120A . 75 0E jnz XChafe_2.0040121A
0040120C . 8B45 08 mov eax,dword ptr ss:[ebp+0x8] ; Case F (WM_PAINT) of switch 004011F5
0040120F . E8 18010000 call Chafe_2.0040132C
00401214 . 33C0 xor eax,eax
00401216 . C9 leave
00401217 . C2 1000 retn 0x10
0040121A > 83F8 01 cmp eax,0x1
0040121D . 75 06 jnz XChafe_2.00401225
0040121F . 33C0 xor eax,eax ; Case 1 (WM_CREATE) of switch 004011F5
00401221 . C9 leave
00401222 . C2 1000 retn 0x10
00401225 > 3D 11010000 cmp eax,0x111
0040122A . 0F85 E7000000 jnz Chafe_2.00401317
00401230 . 8B45 14 mov eax,dword ptr ss:[ebp+0x14] ; Case 111 (WM_COMMAND) of switch 004011F5
00401233 . 3B05 60314000 cmp eax,dword ptr ds:[0x403160]
00401239 . 75 1A jnz XChafe_2.00401255
0040123B . 6A 00 push 0x0 ; /Style = MB_OK|MB_APPLMODAL
0040123D . 68 96304000 push Chafe_2.00403096 ; |Title = "About TEXme v2.0"
00401242 . 68 A7304000 push Chafe_2.004030A7 ; |Text = "Small crack-me program written by Chafe/TEX99RULES: Find a serial that matches your name or write a keygenerator. NO PATCHES IS ALLOWED!Released 19/7-99"
00401247 . FF75 08 push dword ptr ss:[ebp+0x8] ; |hOwner
0040124A . E8 17020000 call <jmp.&USER32.MessageBoxA> ; \MessageBoxA
0040124F . 33C0 xor eax,eax
00401251 . C9 leave
00401252 . C2 1000 retn 0x10
00401255 > 3B05 58314000 cmp eax,dword ptr ds:[0x403158]
0040125B . 74 0C je XChafe_2.00401269
0040125D . 3B05 54314000 cmp eax,dword ptr ds:[0x403154]
00401263 . 0F85 AE000000 jnz Chafe_2.00401317
00401269 > C705 D9124000 544>mov dword ptr ds:[0x4012D9],0x584554
00401273 . 6A 00 push 0x0 ; /IsSigned = FALSE
00401275 . 8D45 FC lea eax,dword ptr ss:[ebp-0x4] ; |
00401278 . 50 push eax ; |pSuccess
00401279 . 6A 64 push 0x64 ; |ControlID = 64 (100.)
0040127B . FF35 50314000 push dword ptr ds:[0x403150] ; |hWnd = NULL
00401281 . E8 BC010000 call <jmp.&USER32.GetDlgItemInt> ; \GetDlgItemInt
00401286 . 837D FC 00 cmp dword ptr ss:[ebp-0x4],0x0
0040128A . 74 5F je XChafe_2.004012EB
0040128C . 50 push eax
0040128D . 6A 14 push 0x14 ; /Count = 14 (20.)
0040128F . 68 6C314000 push Chafe_2.0040316C ; |Buffer = Chafe_2.0040316C
00401294 . FF35 54314000 push dword ptr ds:[0x403154] ; |hWnd = NULL
0040129A . E8 AF010000 call <jmp.&USER32.GetWindowTextA> ; \GetWindowTextA
0040129F . 85C0 test eax,eax
004012A1 . 74 48 je XChafe_2.004012EB
004012A3 . A1 0B304000 mov eax,dword ptr ds:[0x40300B] ; 这里初始化
004012A8 . BB 6C314000 mov ebx,Chafe_2.0040316C
004012AD > 0303 add eax,dword ptr ds:[ebx] ; 这里是将name的内容加进去,具体怎么加可以单步跟踪看一看
004012AF . 43 inc ebx
004012B0 . 81FB 7C314000 cmp ebx,Chafe_2.0040317C ; 判断是否到达这个位置
004012B6 .^ 75 F5 jnz XChafe_2.004012AD
004012B8 . 5B pop ebx
004012B9 . 03C3 add eax,ebx ; 加上serial的值
004012BB . 3105 D9124000 xor dword ptr ds:[0x4012D9],eax
004012C1 . C1E8 10 shr eax,0x10
004012C4 . 66:2905 D9124000 sub word ptr ds:[0x4012D9],ax
004012CB . BE EC114000 mov esi,Chafe_2.004011EC
004012D0 . B9 3E000000 mov ecx,0x3E
004012D5 . 33DB xor ebx,ebx
004012D7 . EB 04 jmp XChafe_2.004012DD
004012D9 > 54 push esp
004012DA 45 db 45 ; CHAR 'E'
004012DB 58 db 58 ; CHAR 'X'
004012DC 00 db 00
004012DD > AD lods dword ptr ds:[esi] ; 从4012CB可以看出esi的内容
004012DE . 33D8 xor ebx,eax
004012E0 . 49 dec ecx
004012E1 .^ 75 FA jnz XChafe_2.004012DD
004012E3 . 81FB FBCFFCAF cmp ebx,0xAFFCCFFB ; 这个比较要相等才行
004012E9 .^ 74 EE je XChafe_2.004012D9
004012EB > 68 59304000 push Chafe_2.00403059 ; /Text = "Your serial is not valid."
004012F0 . FF35 5C314000 push dword ptr ds:[0x40315C] ; |hWnd = NULL
004012F6 . E8 7D010000 call <jmp.&USER32.SetWindowTextA> ; \SetWindowTextA
004012FB . 33C0 xor eax,eax
004012FD . C9 leave
004012FE . C2 1000 retn 0x10
00401301 . 68 73 30 40 00 ascii "hs0@",0
00401306 . FF35 5C314000 push dword ptr ds:[0x40315C] ; |hWnd = NULL
0040130C . E8 67010000 call <jmp.&USER32.SetWindowTextA> ; \SetWindowTextA
00401311 . 33C0 xor eax,eax
00401313 . C9 leave
00401314 . C2 1000 retn 0x10一下子可以找到是[004012EB]这个位置使得显示serial的内容不正确,而显示serial正确的内容却没有在下面的的函数显示出来,而[00401301]这个位置却是在显示
00401301 . 68 73 30 40 00 ascii "hs0@",0可以在内存窗口跟踪[00403073],看到了这个:
00403073 59 45 53 21 20 59 6F 75 YES! You
0040307B 20 66 6F 75 6E 64 20 79 found y
00403083 6F 75 72 20 73 65 72 69 our seri
0040308B 61 6C 21 21 al!!
可以看出只要跳转跳到[00401301]就可以显示正确内容。
往上查看后却发现并没有一个跳转是跳到[00401301]的,而且[004012D9]-[0012DC]是一些数据。
细心一点可以看到:
004012C4 . 66:2905 D9124000 sub word ptr ds:[0x4012D9],ax这里会更改[004012D9]的内容,于是可以猜测:
在执行[004012C4]后,[004012D9]的内容发生改变,并在[004012D9]处出现一个jmp,并且跳向[00401301]
分析前面指令的内容,可以知道:
1.程序将eax初始化为特定的值后,将输入的name加到eax中
2.然后将eax的值加上serial的值,结果保存在eax
3.将eax的值和[004012D9]位置的值进行异或运算,结果保存在[00401D9]
4.最后再用[004012D9]的值减去eax右移16位后的值。
如果忽略了[004012E1]处的判断,会发现即使[004012D9]处的指令是跳到[00401301]处也没用,因为[004012D9]的指令并不会执行。所以要使得ebx的值为0xAFFCCFFB,而这个值是将[004011EC]处开始,每4个字节的内容赋值到eax,不断的与ebx异或得出的。
要注意到的是输入的内容会改变[004012D9]的内容,而[004012D9]的内容会影响后面异或的结果。所以可以
根据异或的结果即0xAFFCCFFB来推算出[004012D9]的内容(即第4步的结果),又根据得出的内容推算出serial的值。
我自己算出[004012D9]的内容应该为 0x585426EB
恰好
EB 26 是 jmp X00401301 所以可以容易得出注册机:
char s[50];unsigned int *temp;unsigned int sum = 0x58455443;unsigned int result = 0x585426EB;unsigned int x = 0x584554;unsigned int bian,k;memset(s,0,sizeof(s));scanf("%s",s);//求第一步结果,即将name加到eax for(int i=0;i<16;i++){temp = (unsigned int*)&s[i];sum += *temp;}//求第二、三步结果 for(unsigned int i=0;i<=0xFF;i++){unsigned int j;bian = 0x5800; //注意到[004012C4]有个sub,而sub的其中一个值是(sum+seria)>>16的值k = 0;bian = bian | i;k = bian + result ; //算出异或后的结果k ^= x; //算出异或前的结果j = k >> 16;if(j == bian) //这里要保证加上的bian的值和(sum+seria)>>16的值相同{printf("serial: %u",k-sum);} }最后会发现最后减掉的值为0x580C,测试了多组数据都是这个值。其中的原理没找到。
160 - 24 Chafe.2相关推荐
- 160 - 23 Chafe.1
环境 Windows xp sp3 工具 exeinfope ollydbg 查壳 用exeinfoe查壳 测试 可以从左下角状态栏看出serial是无效的 直接OD载入字符串搜索 00401274 ...
- 华为交换机配置基本命令
H3C交换机配置命令大全 华为交换机配置基本命令 H3C交换机 ################################################ Dis cur 查看当前配置 [h ...
- 超级干货:3个性能监控和优化命令详解
小编为大家整理出了三个有关性能监控和优化命令详细讲解,别看只有三个,但不影响他噎啊,本篇文章很长,涉及top命令.free命令和vmstat命令,真的是很详细的讲解,希望能帮到大家,另外还有两条相关的 ...
- 每天一个linux命令(46):vmstat命令
vmstat是Virtual Meomory Statistics(虚拟内存统计)的缩写,可对操作系统的虚拟内存.进程.CPU活动进行监控.他是对系统的整体情况进行统计,不足之处是无法对某个进程进行深 ...
- Linux基础命令(3)
十二 lsof命令简介 lsof(list open files) 是一个列出当前系统打开文件的工具.在linux环境下,任何事物都以文件的形式存在,通过文件不仅仅可以访问常规数据,还可以访问网络连接 ...
- linux vga 分辨率低,vga输出 1440x900 分辨率问题
我先前也有改過VGA , 強迫輸出 1024x768 or 1280x720 如下 .. 另外PAD版本可以用VGA嗎 ? 我有VGA需求在PAD板上改 const struct fb_videomo ...
- python画玫瑰花的代码_python绘制玫瑰的实现代码
今天为大家介绍一个Python绘制一朵漂亮的玫瑰花,用python的turtle库这个绘画库是非常简单的,但是还是需要你测试路径方向,慢慢调试,下面的代码具有一定的参考价值 利用python绘制一朵玫 ...
- 用python画玫瑰花代码-python绘制玫瑰的实现代码
今天为大家介绍一个Python绘制一朵漂亮的玫瑰花,用python的turtle库这个绘画库是非常简单的,但是还是需要你测试路径方向,慢慢调试,下面的代码具有一定的参考价值 利用python绘制一朵玫 ...
- Linux集群系统Heartbeat
1.理论部分 1.1.群集的分类 我们用到的集群系统主要就2种: 高可用(High Availability)HA集群, 使用Heartbeat实现;也会称为"双机热备", &qu ...
最新文章
- SAP S4HANA 使用BP创建供应商报错 - You cannot create a vendor with grouping G001 - 对策
- 关于CSS中的字体尺寸设置 em rem等
- Java实战应用50篇(二)-SSM框架中的设计模式:动态代理
- Android中隐藏光标
- struts2工作原理
- 2013年上半年全国高等学校(安徽考区)计算机水平考试试卷,2013年上半年全国高等学校(安徽考区)计算机水平考试试卷...
- java+jsp+网页制作,java+jsp+mysql网页制作总结(2)
- Android 安装详解---Mr.Zhang
- Python常用的几种数据结构-链表,数组,字典
- 一文读懂蓝牙低功耗BLE的应用市场
- kuangbin棋盘问题
- 在线视频下载网址合集
- 人脸识别访客系统解决方案
- 深入理解Amazon Alexa Skill(三)
- 一文掌握多分类logistic回归
- 裸金属服务器与云服务器的差别是什么?
- InfluxDB+Grafana Alert功能Email+webhook
- 浅谈叠片过滤器设计选型与技术要求
- - Statement
- 网络舆情分析的三个步骤及具体实施方案