160个Crackme之026学习笔记

第26个CM程序,仍然是VB程序:



点击“chEcK iT !”按钮,弹出提示框,说明name至少需要5个字符。当满足条件后,再点“chEcK iT !”按钮,程序没有任何反应了。



第一步、查壳:



未加壳,用VB5编写:
第二步、爆破
还是先加载入OD,习惯性地使用智能搜索,本以为没什么发现,没想到还是找到了提示成功的字符串!
“Gratulation ,du hast es geschafft!”这一句使用网上翻译过来是“恭喜你,你成功了!”是成功的提示。



双击“Gratulation ,du hast es geschafft!”这一行来到CPU窗口:
00403745这一句向下看,到00403772处,调用msvbvm60.rtcMsgBox函数,应该是弹出成功提示框了;向上看,到004036E处指令为“je Colormas.0040379C”,跳过成功,走向失败,所以在这里nop掉:



修改的内容保存为可执行文件Colormaster_nop.exe,运行一下,输入name=“52pojie”,点击按钮,弹出成功提示,爆破完成。



第三步、追码
返回OD中,撤消修改,再观察代码:
和上一个CM有相似之处,都是先调用MSVBVM60.__vbaStrCmp函数,再经一大堆运算再来个test si,si,然后je 0040379C跳过成功。所以这次先在004036A2处下断,F9运行程序,输入name=“52pojie”, 点“chEcK iT !”按钮,程序中断于004036A2处,此时[eax]=[edx]=“UNICODE "51848C526CA533447-CM"”,堆栈窗口中也显示出两串字符,下面是输入的假码,上面的第一反应就是真serial了。输入026中试试,果然如此。



那么就要再向上查看代码,查找生成注册码的算法了。
先用一下常用的VB动态调试工具,martcheck试一试:



Smartcheck开始运行,就不断地开始了Timer1_timer事件,很快飙升到了6750个事件,而且还在不停地往下走。输入“52pojie/1234567890”点击“chEcK iT !”按钮,程序没有任何反应,Smartcheck除了Timer1_timer事件还在继续增加次数也没有什么反应。只好先关闭Colormaster.exe,点击Smartcheck中的Form1_load事件,看到了“NuMega Smartcheck”的字样,下面还有一个“URsoft”的字样,都是VB运行错误的提示,可能是CM作者反调试的吧:



点击下面的任一Timer1_timer事件,显示内容都一样,说明是进入了无限循环状态了,这应该是反调试的代码作用了。



从网上找到一个API监控的软件,据说也是很牛的SoftSnoop:



点击确定关闭提示,向上查看一下,确实很牛,不仅查到了调用的系统模块,也列出了VB控件及事件地址,还将MSVBVM60.DLL中的函数也显示出来了。下面是SoftSnoop显示的调试结果:
开始查找模块.....
查询到模块开始于: 0x00400000  终止于: 0x00407000  模块名称: D:\CRACKME160练习\026\Colormaster.exe
查询到模块开始于: 0x73390000  终止于: 0x734E3000  模块名称: MSVBVM60.DLL
查询到模块开始于: 0x76300000  终止于: 0x7631D000  模块名称: IMM32.dll
查询到模块开始于: 0x76990000  终止于: 0x76ACE000  模块名称: ole32.dll
查询到模块开始于: 0x770F0000  终止于: 0x7717B000  模块名称: OLEAUT32.dll
查询到模块开始于: 0x77BE0000  终止于: 0x77C38000  模块名称: msvcrt.dll
查询到模块开始于: 0x77D10000  终止于: 0x77DA0000  模块名称: USER32.dll
查询到模块开始于: 0x77DA0000  终止于: 0x77E49000  模块名称: ADVAPI32.dll
查询到模块开始于: 0x77E50000  终止于: 0x77EE3000  模块名称: RPCRT4.dll
查询到模块开始于: 0x77EF0000  终止于: 0x77F39000  模块名称: GDI32.dll
查询到模块开始于: 0x77FC0000  终止于: 0x77FD1000  模块名称: Secur32.dll
查询到模块开始于: 0x7C800000  终止于: 0x7C91E000  模块名称: KERNEL32.dll
查询到模块开始于: 0x7C920000  终止于: 0x7C9B6000  模块名称: ntdll.dll
共查找到13个模块.....
DetourTransactionCommit函数处理中........(10秒内未返回说明调用失败)
成功获取函数: 7165......
     
ObjectTable地址: 0x401C70
  [+0x2A]对象数量: 1
  [+0x40]szProjectName: "Projekt1"
  Object地址: 0x401CC4
    第[01]对象名称:  "Form1"
        [01]Control: "Label5"
        [02]Control: "Text2"
        [03]Control: "Timer1"
        [04]Control: "Label4"
        [05]Control: "Text1"
        [06]Control: "Form"
        [07]Control: "Command1"
        [08]Control: "Label1"
        [09]Control: "Label2"
        [10]Control: "Command2"
        [11]Control: "Label6"
        [12]Control: "Label7"
        [13]Control: "Label3"
      EventTable地址: 0x402508
        [+0x00]Form1_Command1: 0x402B10
        [+0x04]Form1_Command2: 0x403890
        [+0x08]Form1_Form: 0x403970
        [+0x0C]Form1_Timer1: 0x403C60
      
返回地址: 0040133E  函数名称: ThunRTMain(MSVBVM60.DLL)
ThunRTMain: 初始化进程并获取进程ID
          lpstring="VB5!?VB6DE.DLL"
     
返回地址: 733E1CE3  函数名称: Form1_Form(程序内部函数)
     
返回地址: 004039D7  函数名称: __vbaOnError(MSVBVM60.DLL)
__vbaOnError: On Error遇到错误的处理方式
          OnErrEvent=0x00000001
__vbaOnError返回值: 0x00000001
     
返回地址: 004039F8  函数名称: __vbaVarDup(MSVBVM60.DLL)
__vbaVarDup: 变量复制,从变量1复制到变量2
          Var1=0x0012FB20
          Var2=0x0012FBF0
__vbaVarDup返回值: 0x0012FAD0 (vb字符串:"NuMega Smartcheck")
     
返回地址: 00403A06  函数名称: rtcAppActivate(MSVBVM60.DLL)
     
返回地址: 00403AB2  函数名称: __vbaResume(MSVBVM60.DLL)
__vbaResume返回值: 0x00000000
     
返回地址: 00403AC2  函数名称: __vbaOnError(MSVBVM60.DLL)
__vbaOnError: On Error遇到错误的处理方式
          OnErrEvent=0x00000002
__vbaOnError返回值: 0x00000002
     
返回地址: 00403ADF  函数名称: __vbaVarDup(MSVBVM60.DLL)
__vbaVarDup: 变量复制,从变量1复制到变量2
          Var1=0x0012FB20
          Var2=0x0012FBF0
__vbaVarDup返回值: 0x0012FAD0 (vb字符串:"URSoft")
     
返回地址: 00403AED  函数名称: rtcAppActivate(MSVBVM60.DLL)
     
返回地址: 00403C16  函数名称: __vbaExitProc(MSVBVM60.DLL)
__vbaExitProc返回值: 0x00000000
rtcAppActivate返回值: 0x00000000
     
返回地址: 00403B1D  函数名称: rtcSendKeys(MSVBVM60.DLL)
rtcSendKeys返回值: 0x00000001
     
返回地址: 00403B53  函数名称: __vbaObjSetAddref(MSVBVM60.DLL)
__vbaObjSetAddref返回值: 0x0015A128
     
返回地址: 00403B6D  函数名称: __vbaHresultCheckObj(MSVBVM60.DLL)
卸载ApiSnoop dll.
成功卸载HOOK总数: 7169
和Smartcheck一样,应该是CM程序检测到“NuMega Smartcheck”这样的调试工具,让程序进入死循环。
以前练习过怎么干掉反调试功能,这次再试一试吧:
先记下CM的Form_load事件开始地址0x403970,再用OD载入Colormaster.exe,Ctrl+G,输入403970,来到Form_load事件开始地址,观察反汇编代码:



到004039D1处,调用MSVBVM60.__vbaOnError函数,因为OD与“NuMega Smartcheck”不同,所以没有触发错误处理程序:
[Asm] 纯文本查看 复制代码

004039CF   .  6A 01         push 0x1                                                   ; /OnErrEvent = Goto Address
004039D1   .  FF15 4C104000 call dword ptr ds:[<&MSVBVM60.__vbaOnError>]               ; \__vbaOnError
004039D7   .  C745 FC 03000>mov dword ptr ss:[ebp-0x4],0x3
004039DE   .  C745 B4 0C204>mov dword ptr ss:[ebp-0x4C],Colormas.0040200C              ;  NuMega Smartcheck
004039E5   .  C745 AC 08000>mov dword ptr ss:[ebp-0x54],0x8

继续向下,又调用了rtcSendKeys函数,作用是模拟键盘输入,估计也是反调试的吧:
[Asm] 纯文本查看 复制代码

00403A26   .  8D4D BC       lea ecx,dword ptr ss:[ebp-0x44]
00403A29   .  51            push ecx
00403A2A   .  68 34204000   push Colormas.00402034                                     ;  %{F4}~
00403A2F   .  FF15 60104000 call dword ptr ds:[<&MSVBVM60.#rtcSendKeys_599>]           ;  msvbvm60.rtcSendKeys

一直到00403C56处,Form_load事件结束,指令是retn 0x4。
那么可以直接在段首地址处改指令为retn 0x4,跳过这一段代码,是不是就能去掉反调试功能呢?想到就做,



将修改后的程序保存为Colormaster.fts.exe,打开Colormaster.fts.exe,能正常打开,不输入name/serial,点击“chEcK iT !”按钮,弹出错误揭示;输入name/serial,点击“chEcK iT !”按钮,程序没什么反应,也是正常的。
用Smartcheck加载Colormaster.fts.exe,运行,这次正常进行了,不过Smartcheck运算过程不够完整,还差几步没有完成:



再使用SoftSnoop,打开Colormaster.fts.exe,马上开始调试,弹出CM界面:



输入name/serial, 点击“chEcK iT !”按钮,CM界面上name框看到“52pojie”迅速依次删除,又迅速出现,而SoftSnoop信息一直到了真假码比较:



看来反调试功能已破解,而SoftSnoop确实很牛,以后多用一下吧!
从SoftSnoop调试信息最后几个函数的解析中很轻松地看到了serial是六段字符相连的结果,“51848”、“C526”、“CA53”、“344”、“7”、“-CM”,分别使用__vbaVarCat和__vbaStrCat函数进行变量及字符串联接,最后的“7”、“-CM”很容易知道一个是len(name)=7,一个是程序中设定的字符串常量“-CM”,但其他的几段还是搞不清楚是怎么来的,那就从“chEcK iT !”按钮事件地址00402B10处开始要真对照OD中的反汇编代码仔细研究:
在00402B10处下断,Ctrl+F12,F9运行,程序中断,F8向下单步,
从00402CB2至00402D97处为预处理name字符串,即要求name的字符个数不少于5个;
从00402DF1至00403094处先取name字符串长度为循环次数,然后进行for...next循环:
其中每次到00402EB1处得到name字符串,在此处下断,取消段首断点;
00402EB4处将取得的字符压栈,00402EB5处把字符转为数据,在eax反馈结果,00402EBE处将这个数据存入ss:[ebp-0x118]中,即ss:[ebp-0x118]=[eax]= hex(asc(name(i)));
这一小段代码中如果没对照OD可能还不迷糊,对照之后却有点不明白:如第一次循环00402EB1运行后得到name字符串,信息窗口和堆栈中均显示堆栈 ss:[0012F4DC]=00160074, (UNICODE "52pojie"),寄存器窗口中eax为00160074,



在数据窗口中跟随,显示如下:



下一步压栈应该是整体压入啊,但实际上只压入了第一个字符“5”,这一点以前就有疑问,到现在还没有解决,只是看到注释中出现了,没有深究下去。可是SoftSnoop中的注释是“BString=0x00160134”,从数据窗口查找到0x00160134处,显示内容是“00”,和“35”对不上啊!盼望有大神能给我解惑!
继续向下,到00402F12处,得到[eax]= "432.4",然后转化为实数形式;到00402F97处,都是浮点数运算,结果是ST=asc(name(i)*432.4* 17.78999999999999/15;循环结束后,将结果存入ss:[ebp-0x184]中;到00402FA2处,调用__vbaStrVarVal函数,将结果转化为字符串;
到00403027处,会跳出OD,跳到CM界面,到00403065处,调用msvbvm60.rtcSendKeys函数,模拟键盘输入,作用是到name框首位,删除一个字符,这就是在SoftSnoop调试时看到CM界面上name依次消失的原因了,本以为是反调试的内容,后来发现应该是程序正常的代码,少了它还不行,第一次运行本句后name字符串变成了“2pojie”,到第二次循环开始时才能得到第二个字符进行运算:
到00403094处,构成for...next循环:在调试时又出现了F8单步在00402E64到00403094之间只取第一个字符无限循环的现象,这是为什么也是要认真弄懂的一个问题。
只有在循环外00403099处下断用F9运行,才会正常向下运行,取得name字符串的后面几个字符。
每次运行F9后,CM程序界面显示name框内容比上一次少了前一个字符,如下图所示,一直到没有字符显示,然后字符又会全部出现在name框中,和SoftSnoop调试时出现的情况一致:



本以为是name每个字符都运算后相加减或者其他运算才利用了循环,检查后发现循环没有什么用处,只取最后一个字符计算就行了,这一段的作用就是ST= asc(name(len(name)))*432.4* 17.79/15;是注册码前三段的基础(或前置性数字),我用“52pojie”计算的结果是“51795.000000000000”;
继续向下,004030F6处调用msvbvm60.__vbaR8Str函数,把字符串转变为实数;
004030FC处,调用msvbvm60.__vbaFPFix函数,对浮点寄存器st0四舍五入取整;
00403108处,调用msvbvm60.__vbaStrR8函数,将数值转成文本;
一直到004032DD处,[edx]=ss:[ebp-0x34]=name.text,
继续到00403319处,ST0清零,ss:[ebp-0xEC]=ST+asc(name(1)= asc(name(1)+ asc(name(len(name)))*432.4* 17.79/15(双精度浮点数),此时的结果是“51848”,是注册码的第一段内容;
从00403361至004033AF处,先得到第一段代码计算出的字符串,在00403365处用msvbvm60.__vbaR8Str函数再转成实数;0040336B处[bx]= hex(asc(name(1))*25);到00403381处再转成10进制数(double类型)存入ST中,再在00403396处存入ss:[ebp-0x1B4]中,0040339C处ST=ST0-ss:[ebp-0x1B4]=51795.000000-asc(name(1))*25;然后存入ss:[ebp-0x6C]中;004033AF处调用msvbvm60.rtcHexVarFromVar函数将ss:[ebp-0x6C]的值转化为十六进制数表示,这里的结果是“C526”,作为注册码的第二段;
004033E6至0040340E处,先得到字符串“51795”,再调用msvbvm60.rtcHexVarFromVar函数转换成十六进制形式为“CA53”,作为注册码的第三段;
00403482至004034C1处,先得到name字符串,再取第一个字符的数值,乘以name字符串的长度,再减去0x1B,得到数值为0x158,转换成十进制数表示为344,作为注册码的第四段;
0040365C至0040366F处,取ame字符串的长度(7),作为注册码的第五段;
00403693处,程序中的固有的字符UNICODE "-CM",作为注册码的第六段。
这六段连接起来就是相应的注册码了。
按照这个思路用VB写了一个注册机,输入了几个不同的name进行测试,将生成的Serial拷贝到CM程序中,都成功了。说明注册算法是正确的。
[Visual Basic] 纯文本查看 复制代码

Private Sub Command1_Click()
    Dim Name, Serial1, Serial2, Serial3, Serial4, Serial5, Serial6, Serial7
    If Len(Text1.Text) < 5 Then
        Text1.Text = "52pojie"
        Text2.Text = "51848C526CA533447-CM"
        MsgBox ("Name至少要输入5个字符,因你的输入不合要求,所以默认为52pojie。如果不愿用默认Name,请重新输入!")
    End If
    Name = Text1.Text
    Serial1 = Fix(Asc(Mid(Name, Len(Name), 1)) * 432.4 * 17.79 / 15)
    Serial2 = Serial1 + Asc(Mid(Name, 1, 1))
    Serial3 = Hex(Serial1)
    Serial4 = Hex(Serial1 - Asc(Mid(Name, 1, 1)) * 25)
    Serial5 = Asc(Mid(Name, 1, 1)) * Len(Name) - 27
    Serial6 = Len(Name)
    Serial7 = "-CM"
    Text2.Text = Serial2 & Serial4 & Serial3 & Serial5 & Serial6 & Serial7
End Sub

当然,不可避免地可能有溢出问题,这也是一个长期学习的知识点,盼望有大神能指点一下!!!
附件

026.zip

(310.24 KB, 下载次数: 0)

2019-6-16 14:10 上传
点击文件名下载附件

下载积分: 吾爱币 -1 CB

内含原CM程序、Nop爆破程序,fts反调试程序、OD的调试文件、SoftSnoop的调试文件(debug.txt)、注册机等,百度链接是:http://pan.baidu.com/s/1skMkJY9,密码:86pm,160个CM、我已练习过的前26个crackme程序(不含012)都在里面。

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
  • 管埋员

    昵称

  • 取消

    请填写用户信息: