010破解(一)之暴力破解

本帖最后由 逆向小白成长记 于 2019-7-19 11:58 编辑

学逆向半年了,还记得刚学完汇编下了个CTF流浪者题目,被打击到自闭,看别人分析的帖子,不是很明白但是感觉很厉害,很多地方不明白为什么就找到这个地方开始分析,一步步学习到现在也能分析分析扫雷,010,连连看一些程序了.把学习过程中总结的笔记整理了一下发出来,希望给刚刚开始学习的人一些帮助...

010介绍

010算是非常好用的16进制编辑工具了

  • 16进制修改
  • 文本修改
  • 模板解析各种文件格式
  • 对比文件

暴力破解分析

分析思路:

  1. 找到注册窗口
  2. 测试注册窗口反应(输入错误的假序列号)
  3. 根据反应做出下一步分析的打算
    1. 猜测API,API下断点动态调试
    2. 挑出敏感字符串,在程序中搜索
  4. 动态分析,定位关键跳转,修改代码
  5. 动态分析,定位关键CALL,修改代码

这里我用第二种方法,搜索字符串定位到函数位置



Ctrl+A分析模块,会发现跳转来自00DD5A79,跟上去分析,OD下断点调试后发现这里只是做了判断,上面的CALL并没有调用,继续往上跟,找关键代码



这里跟上面情况一样,仍然是只做了判断,下断点之后继续往上跟
分析之前先说一下:可能有人会有疑惑问定位到代码位置后为什么一直往上找,明白的的请略过

  • 首先要思考一下怎么定位到关键代码?
  • 定位到关键字符串位置后,发现前面有一系列的判断跳转
  • 因此要找源头,找到比较的这个值从哪来的?很关键



    跟到这里我们会发现两个跳转分别比较的是第一个两个函数的返回值和一个标志位(猜测),这里应该是关键代码了,接下来我们要分析一下这两个函数的作用,理清直到字符串的一系列判断跳转逻辑

  • EBX是第一个函数0040A826的返回值
  • EDI是第二个函数00409C9B的返回值



先分析函数00409C9B:看返回值
函数有三个返回值:0xED 0x20C 0xDB



往上翻可以看到函数返回值是根据Switch-case跳转过去的,仔细观察我们可以发现,比较的EAX是另一个关键函数的返回值



回去在分析一下跳转逻辑,只有第一个函数返回值是0x2D,第二个函数的返回值才是0xDB,跳转才能避过无效用户名字符串,也就是说我们只要让第一个函数一直返回0x2D就可以了

暴力破解开始

方法一:修改跳转
在这里修改跳转:JNZ修改为JZ就可以了



注意:这样修改我们每次打开都得输入序列号,当然随便输就可以了,不论输什么用户名序列号都会显示成功.

方法二:修改代码
修改第一个函数代码,修改返回值恒为0x2D



注意:这里有下划线的地址是经过重定位的,我们需要去掉软件的随机基址功能,在改代码保存才能正常使用.
修改后发现还是不能使用,经测试发现:
第二个函数验证了标志位,我猜可能是为网络验证



到此保存修改,dump文件就可以了

破解完成

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
  • 管埋员

    昵称

  • 取消
    昵称