使用OllyDbg从零开始Cracking 第十三章-硬编码序列号寻踪-Part1
第十三章-硬编码序列号寻踪-Part1我觉得寻找序列号是最难的工作之一,特别是当我们遇到了强力的加密算法的时候,找序列号就更难了,我们先从简单的情况开始,慢慢的延伸到复杂的情况,逐步锻炼我们寻找序列号的能力。这个部分我们专门讨论硬编码序列号,所谓的硬编码序列号就是不依赖于用户名来生成,总是由固定的字符和数字构成的固定不变的字符串,这种序列号通常比较容易找到,因此,我们从这种类型开始介绍,先看几个简单的,然后再看复杂的。我们一共有4个练习的例子,本章是两个简单的例子,下一章是两个复杂点的例子。首先第一个最简单的CrackMe名为Leccion_13_HARDCODED_1(原名称西班牙文,英文名称译为:Lesson_13_Hardcoded_1),我们用OD加载它。作为最简单的硬编码序列号的例子,正确的序列号是作为全局字符串出现在程序中的,我们一起来看一看。想要找到所有的全局字符串,我们在反汇编窗口中单击鼠标右键选择-Search for-All referenced text strings。结果如下:(Mal MuyMAL:西班牙文译为:错误)这里,我们可以看到“FIACA”这个字符串,这个字符串可能就是序列号,但是我们不推荐在右侧的字符串列表中肉眼定位序列号,原因有二:1.我们这个程序,只有两行,但是有的程序,有成千上万行,尝试肉眼逐一查找简直就是疯了,虽然当前这种情况,我们一眼就可以看出来正确的序列号,但是如果有千上万行的话,肉眼看就是不可取的了。2.有些程序故意放置一些假的序列号在字符串列表中,当我们把这个序列号当做正确的序列号就恰恰中了作者的陷阱。较为妥当的做法是检查序列号的正确性。首先通过在反汇编窗口中单击鼠标右键选择-Search for-Name(label) in current module来查看API函数列表。程序中用了一些API函数,其中有几个我们比较熟悉。GetDlgItemTextA获取用户输入的序列号,MessageBoxA提示输入的序列号正确,错误与否。我们给这两个API函数设置断点。单击鼠标右键选择-Toggle breakpoint on import或者在命令栏中输入bp GetDlgItemTextA,bp MessageBoxA。好了,按F9键,运行CrackMe。(Verficar西班牙文译为:验证,Salir译为:取消) 我们在序列号窗口中随便输入一个人名,比如说narvajita。单击Verificar(验证)按钮,可以看到断在了我们刚刚设置的断点处。从堆栈中可以看出我们断在了GetDlgItemTextA处,该函数用于获取用户输入的序列号,并且该函数的Buffer参数是用于存放获取到的序列号的缓冲区首地址,这里,缓冲区的首地址为403010。我们在该参数上单击鼠标右键选择-Follow in Dump定位到缓冲区在数据窗口中的位置。当前缓冲区为空,因为该API函数还没有执行。我们选择主菜单中项Debug-Execute till return执行到函数返回。现在我们到了RET指令处。该函数将用户输入的序列号保存到了缓冲区中。我们按F7键单步返回到主程序中。这里我们可以看到比较和条件跳转指令,两个分支分别为提示MalMuy MAL(错误)的消息框和提示MuyBIEN(正确)的消息框。很明显,401087是其中一个分支。通常我们可以通过修改程序流程来达到爆破的目的,但是这里我们是要找到序列号,所以我们还是一起来看看程序是怎么比较的吧。401066地址处的指令将403010地址处的DWORD内容保存到EBX中,我们在该语句上单击鼠标右键选择-Follow in Dump-Memory address定位403010在数据窗口中的位置。提示窗口中我们可以看到7672616E,在403010开始的内存单元中是倒序存放的,(小端存储我们前面章节已经介绍过),这4个字节是错误的序列号,被保存到EBX中。按F7键单步,来到下一条指令处。这里,我们看到该指令将EBX(包含了我们刚刚输入的错误序列号的前4个字节)的值与403008内存单元中的内容进行比较。跟之前操作一样我们在数据窗口中转到403008处。我们可以看到该指令将”FIACA”的前4个字节与我们输入的序列号的前4个字节进行比较,如果它们是相等的,则零标志位Z被置1,然后跳转到提示”MuyBIEN”(正确)的消息框处,如果不相等的话,就提示”Mal Muy MAL”(错误)的消息框。很明显它们不相等,所以会直接提示”MalMuy MAL”(错误)的消息框。我们按F9键运行。我们断在了MessageBoxA处。从参数我们可以看出是提示”Mal Muy MAL”(错误)。我们按F9键运行起来。正如你所看到的,弹出了错误消息提示框,我们单击”Aceptar”(确定)按钮,然后输入正确的序列号”FIACA”。单击”Verificar”(验证)按钮,并重复上面的步骤,再次到达比较指令为止。跟之前一样,EBX的值与403008内存单元的内容进行比较。根据提示窗口来看,它们是相等的,零标志位置1,我们按F7键单步执行。可以看到零标志位置1,所以JE指令将跳转。跳转到了”Muy BIEN”(正确)的消息框处。我们按F9键运行。根据堆栈窗口中该API函数的参数可以看出将弹出提示正确的消息框。虽然作者忘了修改窗口的标题,但是我们还是找到了正确的序列号,这个硬编码序列号的例子很简单。这个例子是我朋友Redhawk写的,哈哈,他有点懒,连正确提示框的标题都没有改。接下来一个CrackMe的提示框的标题做了修改。我们用OD打开”Leccon 13HARDCODED 2”。这个例子和刚才那个例子非常的相似,但是正确的序列号并不在字符串列表窗口中。并没有”FIACA”,嘿嘿。是的,正确的序列号并不是”FIACA”我们只能来到比较指令处。我们在401064处下个断点,然后运行起来。我们随便输入一个错误的序列号,这里我们输入LUCKY。单击”Verificar”(验证)。我们可以看到断在了我们刚刚设置的断点处,我们在数据窗口中定位40300C内存单元。该指令40300C内存单元中4字节的内容保存到EBX寄存器中。我们按F7键单步。该指令将40204B内存单元中内容保存到EDX寄存器中,我们来看看40204B内存单元的内容是什么。这里存放着4个字节的字符串”9898”,当我们输入的序列号前4个字节与”9898”相等的话,就跳转到正确的消息框处。不相等的话,就提示错误的消息框。我们重启OD输入正确的序列号”9898”。单击”Verificar”(验证)。当前EBX和EDX的值都是38393839,对应字符串”9898”,所以会跳转到提示”Muy BIEN”(正确)的消息框处。 我们可以看到,在这里我朋友把正确提示框的标题改成了”Bravo”(恭喜),哈哈,我们又找到了正确的序列号。接下来的章节,我们将增加难度-两个相对难一点的硬编码序列号的CrackMe。这里给一个练习的小例子,第3个CrackMe,名为”Mielecrackme1.zip”。提供一点思路,关键API函数-lstrcmpA,这个CrackMe会直接进行字符串的比较。你定位到了该函数以后,看看堆栈中函数参数情况。接下来的第14章,我们再来介绍这个两个相对难一点的硬编码的例子,这里,大家先练习一下这第3个CrackMe吧。本系列文章汉化版转载看雪论坛
感谢原作者:RicardoNarvaja(西班牙人) 原作者个人主页:http://www.ricardonarvaja.info/
感谢热心翻译的朋友:1~3章译者:BGCoder4~58章译者:安于此生
全集配套程序下载地址:链接: http://pan.baidu.com/s/1eQzTWfo 密码: vytv
[快捷回复]-感谢楼主热心分享! 学习学习,,,, [吾爱汇编论坛52HB.COM]-支持一下,希望楼主做的更好,加油! 感谢!马上就试试! 正在学习了。。。。。! 感谢楼主,马上尝试一下!
页:
[1]