[反汇编练习] 160个CrackMe之015

[反汇编练习] 160个CrackMe之015.

本系列文章的目的是从一个没有任何经验的新手的角度(其实就是我自己)，一步步尝试将160个CrackMe全部破解，如果可以，通过任何方式写出一个类似于注册机的东西。

其中，文章中按照如下逻辑编排（解决如下问题）：

1、使用什么环境和工具

2、程序分析

3、思路分析和破解流程

4、注册机的探索

----------------------------------

提醒各位看客: 如果文章中的逻辑看不明白,那你一定是没有亲手操刀!OD中的跳转提示很强大,只要你跟踪了,不用怎么看代码就理解了!

----------------------------------

1、工具和环境：

WinXP SP3 + 52Pojie六周年纪念版OD + PEID + 汇编金手指。

160个CrackMe的打包文件。

下载地址： http://pan.baidu.com/s/1xUWOY 密码: jbnq

注：

1、Win7系统对于模块和程序开启了随机初始地址的功能，会给分析带来很大的负担，所以不建议使用Win7进行分析。

2、以上工具都是在52PoJie论坛下的原版程序，NOD32不报毒，个人承诺绝对不会进行任何和木马病毒相关内容。

2、程序分析：

想要破解一个程序，必须先了解这个程序。所以，在破解过程中，对最初程序的分析很重要，他可以帮助我们理解作者的目的和意图，特别是对于注册码的处理细节，从而方便我们反向跟踪和推导。

和上一节一样，打开CHM，选择第15个blaster99.exe，保存下来。运行程序，程序界面如下：

一看到这种鸟语我就郁闷！但是，信息框我很喜欢！哈哈，你懂得！

PEID查看：Microsoft Visual Basic 5.0 / 6.0

3、思路分析和破解流程

思路就不说了，和之前的大部分都一样。步骤：

1、打开OD，将exe拖进去，F9运行。

2、在Exe中输入伪码123123,点击Registrieren，弹出错误信息框。

3、回到OD，点击暂停按钮(Ctrl+F2)，再点击K图标(Ctrl+K)，这时可以看到堆栈信息。

4、根据经验选中最后一个，右键->Show call，返回到了反汇编窗口。

00402A5A   .  0F84 E7000000 je 00402B47
00402A60   .  8D95 74FFFFFF lea edx,dword ptr ss:[ebp-0x8C]
00402A66   .  8D4D AC       lea ecx,dword ptr ss:[ebp-0x54]
00402A69   .  C785 7CFFFFFF>mov dword ptr ss:[ebp-0x84],00401E70     ;  UNICODE "Error ! Das Passwort ist falsch !"
00402A73   .  C785 74FFFFFF>mov dword ptr ss:[ebp-0x8C],0x8
00402A7D   .  E8 AAE6FFFF   call <jmp.&MSVBVM50.__vbaVarCopy>
00402A82   .  8D95 74FFFFFF lea edx,dword ptr ss:[ebp-0x8C]
00402A88   .  8D4D DC       lea ecx,dword ptr ss:[ebp-0x24]
00402A8B   .  C785 7CFFFFFF>mov dword ptr ss:[ebp-0x84],0x10
00402A95   .  899D 74FFFFFF mov dword ptr ss:[ebp-0x8C],ebx
00402A9B   .  E8 86E6FFFF   call <jmp.&MSVBVM50.__vbaVarMove>
00402AA0   .  8D95 74FFFFFF lea edx,dword ptr ss:[ebp-0x8C]
00402AA6   .  8D4D CC       lea ecx,dword ptr ss:[ebp-0x34]
00402AA9   .  C785 7CFFFFFF>mov dword ptr ss:[ebp-0x84],00401EB8     ;  UNICODE "PASSWORT FALSCH !"
00402AB3   .  C785 74FFFFFF>mov dword ptr ss:[ebp-0x8C],0x8
00402ABD   .  E8 6AE6FFFF   call <jmp.&MSVBVM50.__vbaVarCopy>
00402AC2   .  8D45 84       lea eax,dword ptr ss:[ebp-0x7C]
00402AC5   .  897D 8C       mov dword ptr ss:[ebp-0x74],edi
00402AC8   .  50            push eax
00402AC9   .  8D45 94       lea eax,dword ptr ss:[ebp-0x6C]
00402ACC   .  50            push eax
00402ACD   .  8D45 CC       lea eax,dword ptr ss:[ebp-0x34]
00402AD0   .  50            push eax
00402AD1   .  8D45 DC       lea eax,dword ptr ss:[ebp-0x24]
00402AD4   .  50            push eax
00402AD5   .  8975 84       mov dword ptr ss:[ebp-0x7C],esi
00402AD8   .  897D 9C       mov dword ptr ss:[ebp-0x64],edi
00402ADB   .  8975 94       mov dword ptr ss:[ebp-0x6C],esi
00402ADE   .  E8 37E6FFFF   call <jmp.&MSVBVM50.__vbaI4Var>
00402AE3   .  50            push eax
00402AE4   .  8D45 AC       lea eax,dword ptr ss:[ebp-0x54]
00402AE7   .  50            push eax
00402AE8   .  E8 33E6FFFF   call <jmp.&MSVBVM50.#595>

5、向上浏览代码，发现两个字符串，虽然看不懂，但是应该是一个提示成功，一个提示失败的。

6、继续向上查看je、jg、jmp等跳转，但是发现没有一个跳转用来区分正确和错误的。

7、向上跟踪VB的API看看它在干什么？

00402A22   .  E8 17E7FFFF   call <jmp.&MSVBVM50.__vbaHresultCheckObj>
00402A27   >  FF75 A8       push dword ptr ss:[ebp-0x58]             ;  "123123123"
00402A2A   .  68 DC1D4000   push 00401DDC                            ;  UNICODE "2G83G35Hs2"
00402A2F   .  E8 16E7FFFF   call <jmp.&MSVBVM50.__vbaStrCmp>         ;  // 注册码比较
00402A34   .  F7D8          neg eax
00402A36   .  1BC0          sbb eax,eax
00402A38   .  8D4D A8       lea ecx,dword ptr ss:[ebp-0x58]
00402A3B   .  F7D8          neg eax
00402A3D   .  F7D8          neg eax
00402A3F   .  8985 48FFFFFF mov dword ptr ss:[ebp-0xB8],eax
00402A45   .  E8 EEE6FFFF   call <jmp.&MSVBVM50.__vbaFreeStr>
00402A4A   .  8D4D A4       lea ecx,dword ptr ss:[ebp-0x5C]
00402A4D   .  E8 E0E6FFFF   call <jmp.&MSVBVM50.__vbaFreeObj>
00402A52   .  66:83BD 48FFF>cmp word ptr ss:[ebp-0xB8],0x0
00402A5A   .  0F84 E7000000 je 00402B47

很容易地发现了一个文本比较函数 __vbaStrCmp ，对它下断点，发现了比较的字符串，"2G83G35Hs2" 很可疑，我们试试！

哈哈，成功了！

4、注册机的探索

注册码是固定的："2G83G35Hs2"，不需要继续跟踪啦！哈哈！

BY  笨笨D幸福