环境:windows xp

工具:
1、OllyDBG
2、exeinfo
3、IDA

0x00 查壳

加了UPX壳,那么就要脱壳了。可以使用单步法来脱壳。

UPX壳还是比较简单的,开头pushad,找个popad,然后就是jmp了。

然后就可以用OD来脱壳了。

0x01 分析
先运行一下程序,看看有什么东西。

随便输入些东西进去,弹出了提示输入错误的消息框。

OD载入,F9运行程序。然后随便输入点东西,弹出上面找个消息框。在OD中按F12暂停,Alt+F9运行到用户代码,然后点击消息框的确定。

程序停在这里

单步执行到函数返回。

记下这个401E86,然后在IDA打开这个脱壳后的程序。等待IDA分析完后,按G跳转,输入这个401E86

跳转完后就可以按F5进行分析了。

程序的流程主要如下:
一、程序根据输入的用户名进行处理:
(1)将输入的内容翻转再拼接一起,如输入:gnubd,将得到gnubddbung
(2)读取HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion下的ProductIDRegisteredOwner的值,并且拼接到第(1)步的结果后面。

二、然后再进行类似md5值的计算:
用 smd5(input_username_2) 表示结果。
程序再对输入的序列号进行运行,用 calc(input_serial) 表示结果。
由于smd5(input_username_2)的结果是4个DWORD,即smd5_result[4],所以第57行处要求用户的输入也是4个DWORD,所以这里对输入的内容进行了限制,为0-9,A-F,a-f这样。
calc(input_serial)的结果也是4个DWORD,即calc_result[4],接下来就是第68行处进行smd5_resultcalc_result 比较,全部相等就输出通过。

首先来分析一下这个smd5,我这里有个md5算法笔记,可以先看看普通md5的算法是怎样的。

看完之后比较这个程序的,可以发现是第54行处存在差异。填充后的消息在计算长度的时候把0x80也算上了,这样使得计算出来的值与普通的md5值不同,这个写出代码的难度不大,找个md5源码改一下就行了。

三、接下来看一看calc函数,也就是地址sub_401B90处的函数。

int __cdecl sub_401B90(int input_0, int constValue)
{int result; // eax@1int v3; // ebx@1unsigned int first; // esi@1unsigned int second; // edi@1unsigned __int64 v6; // rax@2int v7; // esi@2int v8; // edi@2unsigned __int64 v9; // rax@2result = input_0;v3 = constValue;first = *(_DWORD *)input_0; //输入的第一个值second = *(_DWORD *)(input_0 + 4);//输入的第二个值if ( constValue ){do{v6 = 2 * __PAIR__(second, first);         // 这里注意可能存在 first<<1 发生进位,而 second<<1 丢失第31位LODWORD(v6) = ((unsigned __int8)(2 * first) | (second >> 31)) & 4;v7 = v6 | (second >> 31);v8 = HIDWORD(v6);                         // second<<1 | first>>31v9 = (unsigned __int64)(unsigned int)v6 << 11;// 第3位移动到了第14位LODWORD(v9) = v7 & 0x2000 ^ v9;v9 <<= 18;                                // 第14位移动到32位LODWORD(v9) = v7 & 0x80000000 ^ v9;v9 *= 2i64;                               // 将结果移动到了高32位的最后1位first = v9 ^ v7;second = HIDWORD(v9) ^ v8;--v3;}while ( v3 );result = input_0;}*(_DWORD *)result = first;*(_DWORD *)(result + 4) = second;return result;
}

因为上面是由ida分析得到的,v6和v9这些事int64类型的变量,分析起来可能比较难,所以为了简单理解,我将其拆分,v6的高32位为v6_h,v6低32位为v6_l,v9同理。

    do{v6_l = first<<1;         v6_h = second<<1 | first>>31;v6_l = first<<1 & 4 ; // 因为有个&4,所以找个second>>31可以忽略了,不影响结果v7 = v6_l | (second >> 31); // first<<1 | (second >> 31)v8 = v6_h;          // second<<1 | (first >> 31)v9_l = v6_l << 11; // (first<<1 & 4)<<11v9_h = v6_l >> 21; // 0v9_l = v7 & 0x2000 ^ v9; // (first<<1 & 0x2000)^(first<<1 & 4)<<11v9_l <<= 18; // ((first<<1 & 0x2000)^(first<<1 & 4)<<11)<<18v9_h <<= 18; //0v9_l = v7 & 0x80000000 ^ v9;  //(first<<1 & 0x80000000) ^((first<<1 & 0x2000)^(first<<1 & 4)<<11)<<18                                     v9_h = v9_l>>31; // & 0x80000000 后就只剩下最高1位了,左移1位就进入到了高32位的最低1位v9_l <<= 1; // & 0x80000000 后就只剩下最高1位了,左移1位就溢出了,变回0first = v9_l ^ v7; // 0 ^ (first<<1 | (second >> 31)) second = v9_h ^ v8;// ((first<<1 & 0x80000000) ^((first<<1 & 0x2000)^(first<<1 & 4)<<11)<<18)>>31 ^ (second<<1 | (first >> 31))--v3;}while ( v3 );

将输入的serial设为first,那么第一轮运算的结果为first_1,second_1,根据上面可得:

first_1 = v9_l ^ v7; // 0 ^ (first<<1 | (second >> 31))second_1 = v9_h ^ v8;// ((first<<1 & 0x80000000) ^((first<<1 & 0x2000)^(first<<1 & 4)<<11)<<18)>>31 ^ (second<<1 | (first >> 31))

用first.1表示first的第1位,first.32表示first第32位,
即:first.1 = first & 1,first.3 = first & 0x80000000。
根据上面可以逆推得到:

first = first_1>>1 | ((first_1.32 ^ first_1.14 ^ first_1.3^ second_1)&1)
second = first<<31 | (second_1>>1);

这个逆推得到的函数称为 rcalc,
所以只需将 rcalc(smd5(input_username)) 计算出来就好了。

160 - 52 egis.1相关推荐

  1. sparkmllib scala GBDT Demo

    定义 GBDT(Gradient Boosting Decision Tree)是一种迭代的决策树算法,由多棵决策树组成,所有树的结论累加起来作为最终答案.GBDT是boosting算法的一种,按照b ...

  2. Sparkmllib scala svm demo

    简介: 支持向量机(Support Vector Machine, SVM)是一类按监督学习(supervised learning)方式对数据进行二元分类的广义线性分类器(generalized l ...

  3. R语言入门2---R语言基础绘图

     今天这篇文章主要来讲讲 R语言基础绘图, 而R语言中最简单的一个绘图函数就是plot,所以我们从plot函数讲起.  首先导入数据,数据我也直接贴出来 > read.csv('height-w ...

  4. [scikit-learn 机器学习] 3. K-近邻算法分类和回归

    文章目录 1. KNN模型 2. KNN分类 3. 使用sklearn KNN分类 4. KNN回归 本文为 scikit-learn机器学习(第2版)学习笔记 K 近邻法(K-Nearest Nei ...

  5. OpenCV图像特征SIFT

    文章目录 图像尺度空间 多分辨率金字塔 多分辨率金字塔DOG DoG空间极值检测 关键点的精确定位 消除边界响应 SIFT算法特征点 特征点的主方向 生成特征描述 OpenCV中SIFT算法的使用 图 ...

  6. 用matlab画同心圆,求同心圆的同心度

    hi 椭圆的最小二乘拟合 只需要将X换成你的边界坐标即可 x = [59 136 58 137 57 137 56 137 55 138 54 139 53 140 52 141 51 142 51 ...

  7. matlab 椭圆方程拟合

    拟合椭圆首先要知道各个点的坐标,然和带入如下公式: x = [59 136 58 137 57 137 56 137 55 138 54 139 53 140 52 141 51 142 51 143 ...

  8. 关不上的窗徘徊在爱与痛的边缘

    <关不上的窗> 怕听见寒风扰乱了叶落 在寂寞阴暗章句中的巷弄 怕听见孤单在隐忍的夜晚 是被爱刺痛戳记着的胸膛 我是心门上了锁的一扇窗 任寒风来来去去关不上 这些年无法修补的风霜 看来格外的 ...

  9. 三剑客 文本处理awk

    文本处理 awk 目录 一.awk 简介 二.awk 的两种形式语法格式 awk 工作原理 格式化输出: print 函数 printf 函数 三.awk 模式和动作 awk 示例: 四.awk 脚本 ...

最新文章

  1. Python使用numpy中trim_zeros函数去除首尾0值的语法
  2. Android面试题收集
  3. 新一代 Python 包管理工具来了!
  4. SQL Editor and reconnect【mysql(workbench)更新数据时候的一个异常】【Error Code:1175】
  5. java 数据包含_如何高效判断java数组是否包含某个值
  6. WIN10自带远程桌面实现多用户登录
  7. 中文乱码翻译器在线翻译_如何将芬兰语翻译成中文?这两种方法你得会
  8. Linux操作系统的VI命令
  9. Machine Learning Basics(要点)
  10. stl_algorithm算法之排序算法
  11. Oculus消费者版在路上,留给“山寨”VR的时间有多少?
  12. Web全栈工程师应该会什么?
  13. Python下载所有XKCD漫画
  14. 移动硬盘提示格式化的处理
  15. 计算某年某月某日是星期几(基姆拉尔森计算公式)
  16. Power Query批量合并Excel文件
  17. 发酵罐设计软件测试,发酵罐设计的心得体会
  18. win10系统老显卡(AMD Radeon HD 8500M)驱动错误
  19. JSP图书借阅管理系统
  20. H5-ffmpeg.js压缩视频

热门文章

  1. matlab13节点线路模型,13节点配电网的建模与仿真.doc
  2. 各大银行对应的字段(仅做参考)
  3. 【工具使用】Xray与Burp联动--流量转发插件Passive Scan Client
  4. php order by where,无合适where条件过滤时尽量选择order by后的字段以驱动表进行查询...
  5. activiti mysql 版本_Mysql8.0.17版本不能自动创建activiti表的坑
  6. 关于form标签,你该知道
  7. 接口自动化测试持续集成--Soapui接口功能测试参数化
  8. 牛客网NOIP赛前集训营-提高组(第六场)B-选择题[背包]
  9. 本地搭建WordPress (XAMPP环境)
  10. 图像二维离散傅里叶变换、幅度谱、相位谱