160 - 24 Chafe.2

環境：
Windows xp sp3

工具
exeinfope
OllyDBG

查殼
用exeinfope查殼，發現是沒有殼的。

測試

可以看出是從紅色框框里面的內容判斷serial是否有效

OD載入，字符串搜索可以得到：

004011EC     .  55                push ebp
004011ED     .  8BEC              mov ebp,esp
004011EF     .  83C4 FC           add esp,-0x4
004011F2     .  8B45 0C           mov eax,dword ptr ss:[ebp+0xC]
004011F5     .  83F8 10           cmp eax,0x10                             ;  Switch (cases 1..111)
004011F8     .  75 0D             jnz XChafe_2.00401207
004011FA     .  6A 00             push 0x0                                 ; /ExitCode = 0; Case 10 (WM_CLOSE) of switch 004011F5
004011FC     .  E8 6B020000       call <jmp.&USER32.PostQuitMessage>       ; \PostQuitMessage
00401201     .  33C0              xor eax,eax
00401203     .  C9                leave
00401204     .  C2 1000           retn 0x10
00401207     >  83F8 0F           cmp eax,0xF
0040120A     .  75 0E             jnz XChafe_2.0040121A
0040120C     .  8B45 08           mov eax,dword ptr ss:[ebp+0x8]           ;  Case F (WM_PAINT) of switch 004011F5
0040120F     .  E8 18010000       call Chafe_2.0040132C
00401214     .  33C0              xor eax,eax
00401216     .  C9                leave
00401217     .  C2 1000           retn 0x10
0040121A     >  83F8 01           cmp eax,0x1
0040121D     .  75 06             jnz XChafe_2.00401225
0040121F     .  33C0              xor eax,eax                              ;  Case 1 (WM_CREATE) of switch 004011F5
00401221     .  C9                leave
00401222     .  C2 1000           retn 0x10
00401225     >  3D 11010000       cmp eax,0x111
0040122A     .  0F85 E7000000     jnz Chafe_2.00401317
00401230     .  8B45 14           mov eax,dword ptr ss:[ebp+0x14]          ;  Case 111 (WM_COMMAND) of switch 004011F5
00401233     .  3B05 60314000     cmp eax,dword ptr ds:[0x403160]
00401239     .  75 1A             jnz XChafe_2.00401255
0040123B     .  6A 00             push 0x0                                 ; /Style = MB_OK|MB_APPLMODAL
0040123D     .  68 96304000       push Chafe_2.00403096                    ; |Title = "About TEXme v2.0"
00401242     .  68 A7304000       push Chafe_2.004030A7                    ; |Text = "Small crack-me program written by Chafe/TEX99RULES: Find a serial that matches your name or write a keygenerator. NO PATCHES IS ALLOWED!Released 19/7-99"
00401247     .  FF75 08           push dword ptr ss:[ebp+0x8]              ; |hOwner
0040124A     .  E8 17020000       call <jmp.&USER32.MessageBoxA>           ; \MessageBoxA
0040124F     .  33C0              xor eax,eax
00401251     .  C9                leave
00401252     .  C2 1000           retn 0x10
00401255     >  3B05 58314000     cmp eax,dword ptr ds:[0x403158]
0040125B     .  74 0C             je XChafe_2.00401269
0040125D     .  3B05 54314000     cmp eax,dword ptr ds:[0x403154]
00401263     .  0F85 AE000000     jnz Chafe_2.00401317
00401269     >  C705 D9124000 544>mov dword ptr ds:[0x4012D9],0x584554
00401273     .  6A 00             push 0x0                                 ; /IsSigned = FALSE
00401275     .  8D45 FC           lea eax,dword ptr ss:[ebp-0x4]           ; |
00401278     .  50                push eax                                 ; |pSuccess
00401279     .  6A 64             push 0x64                                ; |ControlID = 64 (100.)
0040127B     .  FF35 50314000     push dword ptr ds:[0x403150]             ; |hWnd = NULL
00401281     .  E8 BC010000       call <jmp.&USER32.GetDlgItemInt>         ; \GetDlgItemInt
00401286     .  837D FC 00        cmp dword ptr ss:[ebp-0x4],0x0
0040128A     .  74 5F             je XChafe_2.004012EB
0040128C     .  50                push eax
0040128D     .  6A 14             push 0x14                                ; /Count = 14 (20.)
0040128F     .  68 6C314000       push Chafe_2.0040316C                    ; |Buffer = Chafe_2.0040316C
00401294     .  FF35 54314000     push dword ptr ds:[0x403154]             ; |hWnd = NULL
0040129A     .  E8 AF010000       call <jmp.&USER32.GetWindowTextA>        ; \GetWindowTextA
0040129F     .  85C0              test eax,eax
004012A1     .  74 48             je XChafe_2.004012EB
004012A3     .  A1 0B304000       mov eax,dword ptr ds:[0x40300B]          ;  這里初始化
004012A8     .  BB 6C314000       mov ebx,Chafe_2.0040316C
004012AD     >  0303              add eax,dword ptr ds:[ebx]               ;  這里是將name的內容加進去，具體怎么加可以單步跟蹤看一看
004012AF     .  43                inc ebx
004012B0     .  81FB 7C314000     cmp ebx,Chafe_2.0040317C                 ;  判斷是否到達這個位置
004012B6     .^ 75 F5             jnz XChafe_2.004012AD
004012B8     .  5B                pop ebx
004012B9     .  03C3              add eax,ebx                              ;  加上serial的值
004012BB     .  3105 D9124000     xor dword ptr ds:[0x4012D9],eax
004012C1     .  C1E8 10           shr eax,0x10
004012C4     .  66:2905 D9124000  sub word ptr ds:[0x4012D9],ax
004012CB     .  BE EC114000       mov esi,Chafe_2.004011EC
004012D0     .  B9 3E000000       mov ecx,0x3E
004012D5     .  33DB              xor ebx,ebx
004012D7     .  EB 04             jmp XChafe_2.004012DD
004012D9     >  54                push esp
004012DA        45                db 45                                    ;  CHAR 'E'
004012DB        58                db 58                                    ;  CHAR 'X'
004012DC        00                db 00
004012DD     >  AD                lods dword ptr ds:[esi]                  ;  從4012CB可以看出esi的內容
004012DE     .  33D8              xor ebx,eax
004012E0     .  49                dec ecx
004012E1     .^ 75 FA             jnz XChafe_2.004012DD
004012E3     .  81FB FBCFFCAF     cmp ebx,0xAFFCCFFB                       ;  這個比較要相等才行
004012E9     .^ 74 EE             je XChafe_2.004012D9
004012EB     >  68 59304000       push Chafe_2.00403059                    ; /Text = "Your serial is not valid."
004012F0     .  FF35 5C314000     push dword ptr ds:[0x40315C]             ; |hWnd = NULL
004012F6     .  E8 7D010000       call <jmp.&USER32.SetWindowTextA>        ; \SetWindowTextA
004012FB     .  33C0              xor eax,eax
004012FD     .  C9                leave
004012FE     .  C2 1000           retn 0x10
00401301     .  68 73 30 40 00    ascii "hs0@",0
00401306     .  FF35 5C314000     push dword ptr ds:[0x40315C]             ; |hWnd = NULL
0040130C     .  E8 67010000       call <jmp.&USER32.SetWindowTextA>        ; \SetWindowTextA
00401311     .  33C0              xor eax,eax
00401313     .  C9                leave
00401314     .  C2 1000           retn 0x10

一下子可以找到是[004012EB]這個位置使得顯示serial的內容不正確，而顯示serial正確的內容卻沒有在下面的的函數顯示出來，而[00401301]這個位置卻是在顯示

00401301     .  68 73 30 40 00    ascii "hs0@",0

可以在內存窗口跟蹤[00403073]，看到了這個：

00403073   59 45 53 21 20 59 6F 75  YES! You
0040307B   20 66 6F 75 6E 64 20 79   found y
00403083   6F 75 72 20 73 65 72 69  our seri
0040308B   61 6C 21 21              al!!

可以看出只要跳轉跳到[00401301]就可以顯示正確內容。
往上查看后卻發現并沒有一個跳轉是跳到[00401301]的，而且[004012D9]-[0012DC]是一些數據。
細心一點可以看到：

004012C4     .  66:2905 D9124000  sub word ptr ds:[0x4012D9],ax

這里會更改[004012D9]的內容，于是可以猜測：
在執行[004012C4]后，[004012D9]的內容發生改變，并在[004012D9]處出現一個jmp，并且跳向[00401301]

分析前面指令的內容，可以知道：
1.程序將eax初始化為特定的值后，將輸入的name加到eax中
2.然后將eax的值加上serial的值,結果保存在eax
3.將eax的值和[004012D9]位置的值進行異或運算，結果保存在[00401D9]
4.最后再用[004012D9]的值減去eax右移16位后的值。

如果忽略了[004012E1]處的判斷，會發現即使[004012D9]處的指令是跳到[00401301]處也沒用，因為[004012D9]的指令并不會執行。所以要使得ebx的值為0xAFFCCFFB，而這個值是將[004011EC]處開始，每4個字節的內容賦值到eax，不斷的與ebx異或得出的。

要注意到的是輸入的內容會改變[004012D9]的內容，而[004012D9]的內容會影響后面異或的結果。所以可以
根據異或的結果即0xAFFCCFFB來推算出[004012D9]的內容（即第4步的結果），又根據得出的內容推算出serial的值。

我自己算出[004012D9]的內容應該為 0x585426EB
恰好

EB 26 是 jmp X00401301

所以可以容易得出注冊機：

    char s[50];unsigned int *temp;unsigned int sum = 0x58455443;unsigned int result = 0x585426EB;unsigned int x  = 0x584554;unsigned int bian,k;memset(s,0,sizeof(s));scanf("%s",s);//求第一步結果，即將name加到eax for(int i=0;i<16;i++){temp = (unsigned int*)&s[i];sum += *temp;}//求第二、三步結果 for(unsigned int i=0;i<=0xFF;i++){unsigned int j;bian = 0x5800;      //注意到[004012C4]有個sub，而sub的其中一個值是(sum+seria)>>16的值k = 0;bian = bian | i;k = bian + result ; //算出異或后的結果k ^= x;             //算出異或前的結果j = k >> 16;if(j == bian)       //這里要保證加上的bian的值和(sum+seria)>>16的值相同{printf("serial: %u",k-sum);} }

最后會發現最后減掉的值為0x580C，測試了多組數據都是這個值。其中的原理沒找到。

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/376424.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/376424.shtml
英文地址，請注明出處：http://en.pswp.cn/news/376424.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！