新160个crackme - 087-d4ph1-crackme2

运行分析

• 需破解Name和Serial
  

---

PE分析

• ASM程序，32位，无壳
  

---

静态分析&动态调试

• ida找到关键字符串
  

---

1. INT_PTR __stdcall DialogFunc(HWND hDlg, UINT a2, WPARAM a3, LPARAM a4)
2. {
3.   HICON IconA; // eax
4.   int v5; // edi
5.   unsigned int v6; // ebx
6.   char v7; // al
7.   int v8; // ecx
8.   char v9; // al
9.   int v10; // ecx
10.   int v11; // ecx
11.   int v12; // eax
12.   int v13; // ebx
13.   int v14; // edi
14.   int v15; // esi
15.   int v16; // ebp
16.   int v17; // ebx
17.   int v18; // esi
18.   unsigned int v19; // ecx
19.   unsigned int v20; // edx
20.   unsigned int v21; // eax
21.   int v22; // ecx
22.   int v23; // esi
23.   int v24; // edx
24.   char v25; // al
25.   int v26; // esi
26.   char v27; // al
27.   char Name_i; // [esp-Ch] [ebp-Ch]
28.   unsigned int v30; // [esp-8h] [ebp-8h]
29.   unsigned int Name_len; // [esp-4h] [ebp-4h]
31.   switch ( a2 )
32.   {
33.     case 0x110u:
34.       GetDlgItem(hDlg, 1002);
35.       GetDlgItem(hDlg, 1003);
36.       IconA = LoadIconA(hInstance, (LPCSTR)0x68);
37.       SendMessageA(hDlg, 0x80u, 0, (LPARAM)IconA);
38.       break;
39.     case 0x10u:
40.       SendMessageA(hDlg, 0x111u, 0x3EEu, 0);
41.       break;
42.     case 0x111u:
43.       switch ( (_WORD)a3 )
44.       {
45.         case 0x3EE:
46.           PostQuitMessage(0);
47.           break;
48.         case 0x3EF:
49.           MessageBoxA(0, Text, Caption, 0x40u);
50.           break;
51.         case 0x3ED:
52.           Name_len = SendDlgItemMessageA(hDlg, 1002, 0xDu, 0x40u, (LPARAM)Name);
53.           sub_401032();
54.           Name_len_ = Name_len;
55.           if ( Name_len <= 4 )
56.           {
57.             if ( !Name_len )
58.             {
59.               MessageBoxA(0, aNoNameDetected, Caption, 0x10u);
60.               return 1;
61.             }
62.           }
63.           else if ( Name_len < 33 )             // Name长度小于33
64.           {
65.             v5 = 0;
66.             v6 = 2 * Name_len_;
67.             do                                  // 循环1：将Name[i]//16和Name[i]%16的数拼接得到Name_encode_1，若得到结果不是数字则+7
68.             {
69.               Name_i = Name[v5];
70.               v7 = plus_0_or_7((unsigned __int16)Name_i / 16u);
71.               Name_encode_1[v8] = v7;
72.               v9 = plus_0_or_7((unsigned __int16)Name_i % 16u);
73.               Name_encode_1[v10] = v9;
74.               ++v5;
75.             }
76.             while ( v10 + 1 < v6 );
77.             v11 = 0;
78.             v12 = 0;
79.             v13 = 0;
80.             v14 = 0;
81.             v15 = 1;
82.             v16 = 0;
83.             n = 0;
84.             do                                  // 循环2：对Name_encode_1进行计算取得Name_encode_2
85.             {
86.               LOBYTE(v12) = Name_encode_1[v16 + v11];
87.               LOBYTE(v13) = Name_encode_1_1[v16 + v11];
88.               if ( v12 == v13 )
89.               {
90.                 ++v15;
91.                 ++n;
92.                 ++v16;
93.                 if ( n != 1 )
94.                 {
95.                   v14 -= 2;
96.                   ++v15;
97.                 }
98.               }
99.               else
100.               {
101.                 if ( (unsigned __int8)n > 1u )
102.                   v14 -= 2;
103.                 n = 0;
104.                 v15 = 1;
105.               }
106.               *(_WORD *)((char *)&Name_encode_2 + v14) = ((_WORD)v12 << 8) + v15;
107.               v14 += 2;
108.               ++v11;
109.             }
110.             while ( Name_encode_1[v16 + v11] );
111.             sub_401097();
112.             SendDlgItemMessageA(hDlg, 1003, 0xDu, 0x40u, (LPARAM)Serial);
113.             HIWORD(v17) = 0;
114.             v18 = 1;
115.             v19 = 1;
116.             do                                  // 循环3：提取Name和Name_encode_2进行计算，得到Name_encode_3
117.             {
118.               LOWORD(v17) = *(_WORD *)(v18 + 0x40321B);// 提取Name_encode_1
119.               v20 = (v17 + *(char *)(v19 + 0x403157) - v19) % v19;
120.               v21 = (v17 + *(char *)(v19 + 0x403157) - v19) / v19 - Name_len_4;
121.               v17 += v19;
122.               Name_encode_3[v19] = v17 ^ (v20 + v21);
123.               if ( ++v18 >= Name_len_4 )
124.                 v18 = 1;
125.               ++v19;
126.             }
127.             while ( v19 <= Name_len_ );
128.             v22 = 0;
129.             v23 = 0;
130.             v24 = 2 * Name_len_;
131.             do                                  // 循环4：提取通过Name_encode_3每一位进行计算，得到Name_encode
132.             {
133.               v30 = Name_encode_3_1[v22];
134.               v25 = ((v30 >> 4) & 0xF) + 48;
135.               if ( v25 > 57 )
136.                 v25 = ((v30 >> 4) & 0xF) + 55;
137.               Name_encode[v23] = v25;
138.               v26 = v23 + 1;
139.               v27 = (v30 & 0xF) + 48;
140.               if ( v27 > 57 )
141.                 v27 = (v30 & 0xF) + 55;
142.               ++v22;
143.               Name_encode[v26] = v27;
144.               v23 = v26 + 1;
145.             }
146.             while ( v23 != v24 );
147.             if ( (unsigned __int8)cmp(0) )      // 比较Name_encode和Serial是否相等
148.               MessageBoxA(0, aTheSerialYouEn, Caption, 0x10u);
149.             else
150.               MessageBoxA(0, aWowYouDidItNow, aCrackedSuccess, 0x30u);// 成功
151.             return 1;
152.           }
153.           MessageBoxA(0, aNameIsNotValid, Caption, 0x10u);
154.           break;
155.       }
156.       break;
157.     default:
158.       return 0;
159.   }
160.   return 1;
161. }

复制代码

• 进行动调调试，注释如上，一共4个循环盘算，得到Name_encode，最后Name_encode必要等于Serial
  

---

算法分析

1. Name = 'concealbear'
3. # 第一个循环
4. def plus_0_or_7(a1):
5.     result = (a1 & 0xF) + 0x30
6.     if (result > 0x39):
7.         result += 7;
8.     return result;
10. Name_encode_1 = []
11. for i in range(len(Name)):
12.     Name_encode_1.append(plus_0_or_7(ord(Name[i]) // 16))
13.     Name_encode_1.append(plus_0_or_7(ord(Name[i]) % 16))
14. Name_encode_1.append(0)
16. # 第二个循环
17. Name_encode_2 = [0] * len(Name_encode_1) * 2
18. v11 = 0;
19. v12 = 0;
20. v13 = 0;
21. v14 = 0;
22. v15 = 1;
23. v16 = 0;
24. n = 0;
25. for i in range(0,10000):
26.   v12 = Name_encode_1[v16 + v11];
27.   v13 = Name_encode_1[v16 + v11 + 1];
29.   if ( v12 == v13 ):
30.     ++v15;
31.     ++n;
32.     ++v16;
33.     if ( n != 1 ):
34.       v14 -= 2;
35.       ++v15;
36.   else:
37.     if ( n > 1):
38.       v14 -= 2;
39.     n = 0;
40.     v15 = 1;
41.   Name_encode_2[v14] = int(hex((v12 << 8) + v15)[4:],16);
42.   Name_encode_2[v14 + 1] = int(hex((v12 << 8) + v15)[2:4],16);
43.   v14 += 2;
44.   v11 += 1
45.   if v13:
46.       pass
47.   else:
48.       break
51. # 循环3
52. Name_encode_3 = [0] * len(Name) * 2
53. v18 = 1;
54. v19 = 1;
55. for v19 in range(1,len(Name) + 1):
56.     v17 = int(hex(Name_encode_2[v18])[2:].zfill(2) + hex(Name_encode_2[v18-1])[2:].zfill(2),16);
57.     v20 = (v17 + ord(Name[v19-1]) - v19) % v19;
58.     v21 = (v17 + ord(Name[v19-1]) - v19) // v19 - (len(Name) * 4);
59.     v17 += v19;
60.     Name_encode_3[v19] = (v17 ^ (v20 + v21))&0xff;
61.     v18 += 1
62.     if ( v18 >= (len(Name) * 4) ):
63.         v18 = 1;
65. # 循环4
66. Name_encode = [0] * len(Name) * 2
67. v22 = 0;
68. v23 = 0;
69. for v22 in range(len(Name)):
70.     v30 = Name_encode_3[v22+1];
71.     v25 = ((v30 >> 4) & 0xF) + 48;
72.     if ( v25 > 57 ):
73.         v25 = ((v30 >> 4) & 0xF) + 55;
74.     Name_encode[v23] = v25;
75.     v26 = v23 + 1;
76.     v27 = (v30 & 0xF) + 48;
77.     if ( v27 > 57 ):
78.         v27 = (v30 & 0xF) + 55;
79.     Name_encode[v26] = v27;
80.     v23 = v26 + 1;
82. Serial = "".join([chr(i)for i in Name_encode])
84. print(Name + '的Serial为：\n' + Serial)

复制代码

• 验证乐成
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。