[破解练习]破解160个CrackMe之064-160

反沉沦 · 发表于 2016-2-23 18:07

本帖最后由反沉沦于 2016-4-8 20:16 编辑

064的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11764992

065的破解链接： http://www.52pojie.cn/forum.php? ... 470028&pid=11720915

066的破解链接： http://www.52pojie.cn/forum.php? ... 470028&pid=11721333

067的破解链接： http://www.52pojie.cn/forum.php? ... 470028&pid=11735209

068和069的破解链接： http://www.52pojie.cn/forum.php? ... 470028&pid=11743215

070的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11753771

071的破解链接： http://www.52pojie.cn/forum.php? ... 470028&pid=11762164

072的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11764956

073的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11772011

074的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11772462

075的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11778656

076的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11780858

077的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11791613

078的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11799049

079的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11799189

080的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11816691

082的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11840041

083的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11854085

084的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11892801

085的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11912096

086的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11944611

087的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11944823

088的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11959517

089的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11963640

090的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11964248

091的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=11992428

092的破解链接：http://blog.csdn.net/kaiwii/article/details/8519314

093的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12007826

094的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12012436

095的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12012569

096的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12030246

097的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12031761

098的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12044135

099的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12052957

100的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12047172

101的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12057980

102的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12057083

103的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12057507

104的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12058783

105的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12058894

106的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12069440

107的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12069732

108的破解链接:http://www.52pojie.cn/forum.php? ... 470028&pid=12073427

109的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12073519

110的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12073955

111的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12074196

112的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12077620

113的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12090163

114的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12090187

115的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12098272

116的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12157476

117的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12158664

118的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12161704

119的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12161717

122的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12175083

123的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12177272

125的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12184238

127的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12190521

128的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12194191

129的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12196683

130的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12196737

131的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12196800

132的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12197111

133的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12197885

134的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12198314

135的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12198928

136的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12199920

137的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12201218

138的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12201292

139的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12201692

140的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12139980

141的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12140038

142的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12140088

143的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12141828

144的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12152007

145的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12140230

146的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12155112

147的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12170301

148的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12173851

149的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12174377

150的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12149022

153的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12203506

154的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12203881

155的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12204246

156的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12121545

157的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12121565

158的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12114184

159的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12117597

160的破解链接：http://www.52pojie.cn/forum.php? ... 470028&pid=12117660

未破解成功软件记录：http://www.52pojie.cn/forum.php? ... 470028&pid=12182387

未完待续......

反沉沦 · 发表于 2016-2-23 19:55

本帖最后由反沉沦于 2016-3-25 10:53 编辑

破解160个CrackMe之066
运行程序，随便输入Name和Serial，点击Check，弹出对话框"Wrong Serial-try again"
打开OD，载入程序，来到OEP，发现与VC、VB、.Net等开发的程序的OEP都不像，继续往下浏览，看到了许多api函数的调用，比如LoadIconA
，SetClassLongA，SendDlgItemMessageA等等，由此判断程序是用汇编语言开发的，并未加壳。
使用OD搜索字符串功能，搜不到有用的字符串，字符串应该是被加密了

浏览代码，发现有两个地方调用了GetDlgItemTextA和GetDlgItemInt，在这两个地方下断，
004013AB  |.  53          push ebx
004013AC  |.  56          push esi
004013AD  |.  57          push edi
004013AE  |.  8B5D 08    mov ebx,[arg.1]                         ;  figugegl.<ModuleEntryPoint>
004013B1  |.  6A 14       push 0x14                               ; /Count = 14 (20.)
004013B3  |.  8D45 EB    lea eax,dword ptr ss:[ebp-0x15]       ; |
004013B6  |.  50          push eax                               ; |Buffer = NULL
004013B7  |.  6A 65       push 0x65                               ; |ControlID = 65 (101.)
004013B9  |.  53          push ebx                               ; |hWnd = 7FFD6000
004013BA  |.  E8 1D020000 call <jmp.&USER32.GetDlgItemTextA>    ; \GetDlgItemTextA

00401409  |.  6A 00       push 0x0                               ; /IsSigned = FALSE
0040140B  |.  8D45 C8    lea eax,[local.14]                      ; |
0040140E  |.  50          push eax                               ; |pSuccess = NULL
0040140F  |.  6A 66       push 0x66                               ; |ControlID = 66 (102.)
00401411  |.  53          push ebx                               ; |hWnd = 7FFD6000
00401412  |.  E8 AD010000 call <jmp.&USER32.GetDlgItemInt>       ; \GetDlgItemInt

跟踪堆栈发现，调用GetDlgItemTextA获取输入的Name，调用GetDlgItemInt获取Serial

下面用三种方法来进行破解

爆破方法：
00401417  |.  39C6       cmp esi,eax
00401419  |.  75 19       jnz short figugegl.00401434
eax中保存了用户输入的Serial，esi中保存了程序根据Name计算出的Serial，两者相等即通过验证。
此处是爆破的关键，把jnz short figugegl.00401434这一句nop掉即可爆破

追码方法：
004013D1  |.  31F6       xor esi,esi
004013D3  |>  0FB67C35 EB /movzx edi,byte ptr ss:[ebp+esi-0x15]
004013D8  |.  0FB65435 F5 |movzx edx,byte ptr ss:[ebp+esi-0xB]
004013DD  |.  89F8       |mov eax,edi
004013DF  |.  31D0       |xor eax,edx                            ;  ntdll.KiFastSystemCallRet
004013E1  |.  B9 0A000000 |mov ecx,0xA
004013E6  |.  99          |cdq
004013E7  |.  F7F9       |idiv ecx
004013E9  |.  83C2 30    |add edx,0x30
004013EC  |.  885435 D6    |mov byte ptr ss:[ebp+esi-0x2A],dl
004013F0  |.  46          |inc esi
004013F1  |.  39CE       |cmp esi,ecx
004013F3  |.^ 7C DE       \jl short figugegl.004013D3
004013F5  |.  6A 0A       push 0xA                               ; /radix = A (10.)
004013F7  |.  8D45 CC    lea eax,[local.13]                      ; |
004013FA  |.  50          push eax                               ; |endptr = NULL
004013FB  |.  8D45 D6    lea eax,dword ptr ss:[ebp-0x2A]       ; |
004013FE  |.  50          push eax                               ; |s = NULL
004013FF  |.  E8 80020000 call <jmp.&CRTDLL.strtoul>             ; \strtoul
这段代码的功能是根据输入的Name字符串计算出对应的Serial字符串,然后调用strtoul函数将Serial字符串转化为整数，在00401417 处进
行比较
在004013FF下断，观察堆栈数据，即可看到正确的Serial
当Name是figugegl时，堆栈数据如下：
0012FA14 0012FA3A  |s = "0315191600"
0012FA18 0012FA30  |endptr = 0012FA30
0012FA1C 0000000A  \radix = A (10.)
那么正确的Serial就应该是0315191600

keygen分析：
004013D1  |.  31F6       xor esi,esi
004013D3  |>  0FB67C35 EB /movzx edi,byte ptr ss:[ebp+esi-0x15]
004013D8  |.  0FB65435 F5 |movzx edx,byte ptr ss:[ebp+esi-0xB]
004013DD  |.  89F8       |mov eax,edi
004013DF  |.  31D0       |xor eax,edx                            ;  ntdll.KiFastSystemCallRet
004013E1  |.  B9 0A000000 |mov ecx,0xA
004013E6  |.  99          |cdq
004013E7  |.  F7F9       |idiv ecx
004013E9  |.  83C2 30    |add edx,0x30
004013EC  |.  885435 D6    |mov byte ptr ss:[ebp+esi-0x2A],dl
004013F0  |.  46          |inc esi
004013F1  |.  39CE       |cmp esi,ecx
004013F3  |.^ 7C DE       \jl short figugegl.004013D3
生成Serial的流程大致：
1、获取Name，判断其长度，如果小于20，在字符串最后补充0x20，使其长度等于20
2、取Name的第一个字节到eax中，取Name的第11个字节到edx，
eax和edx异或，然后将edx赋值为0，ecx赋值为0xA，除以ecx，将余数加上0x30，作为Serial的第一个字节
然后取Name的第二个字节，重复上面的过程
3、这种生成Serial的算法隐含一个限制条件，生成的Serial第一个字节必须是0x30，否则在调用strtoul函数时会发生溢出，strtoul函数
返回值就变成了0xFFFFFFFF。
  要想第一个字节是0x30，Name的第一个字节必须是f，同时Name的长度不大于10。
  如果满足这两个条件，f与0x20异或，结果是0x46，除以0xA，余数为0，加上0x30，还是等于0x30。

keygen代码如下：
#include "stdafx.h"
#include <stdio.h>
#include <string.h>
#include <process.h>

int _tmain(int argc, _TCHAR* argv[])
{
      char Name[100] = {0};
      char serial[100] = {0};

      int nLength=0;
      int i;
      unsigned int nameByte,serialByte;
      printf("Input your Name:");
      gets_s(Name,100);
      if ('f'==Name[0])
      {
            nLength=strlen(Name) ;
            if (( nLength > 0) &&(nLength<11))
            {
                     if (nLength<0x14)
                     {
                              for (i=nLength;i<0x14;i++)
                              {
                                    Name=0x20;
                              }
                     }
                     for (i=0;i<0xA;i++)
                     {
                              nameByte=Name^Name[i+10];
                              serialByte=(nameByte%0xA)+0x30;
                              serial=(char)serialByte;
                     }
                     printf("Serial: %s\r\n",serial);
            }else{
                     printf("input name length error!\r\n");
            }
      }else{
            printf("the name's first char must be 'f'!\r\n");
      }

      system("pause");
      return 0;
}

提供一组Name和Serial：
Name:figugegl             Serial:0315191600

反沉沦 · 发表于 2016-2-29 13:37

本帖最后由反沉沦于 2016-2-29 13:38 编辑

破解160个CrackMe之071

071是用Delphi开发的，代码没有加壳，使用字符串搜索功能可以很快定位到关键代码。

[Asm] 纯文本查看 复制代码

00441778  |> \6A 00         push 0x0
0044177A  |.  66:8B0D D8174>mov cx,word ptr ds:[0x4417D8]
00441781  |.  B2 01         mov dl,0x1
00441783  |.  B8 F8174400   mov eax,fireworx.004417F8                ;  Wrong Code
00441788  |.  E8 EBFAFFFF   call fireworx.00441278

这段代码在输入错误的Serial时弹出"Wrong Code"对话框，往前浏览代码

[Asm] 纯文本查看 复制代码

0044175A  |.  E8 E523FCFF   call fireworx.00403B44
0044175F  |.  75 17         jnz short fireworx.00441778

先进行函数调用，然后根据结果判断是否跳转到弹出错误对话框的代码，应该就是关键代码。
在0044175A处下断，观察eax和edx的值，很明显，eax指向了我们输入的Serial，edx指向了根据Name计算出的Serial。

[Asm] 纯文本查看 复制代码
00441751 |. E8 9E23FCFF call fireworx.00403AF4

这个函数调用就是根据Name生成Serial，算法很简单，Serial=Name+Name+“625g72"，就不再具体分析了

KeyGen代码也很简单，我就不提供了
提供两组Name和Serial：
Name:abcd Serial:abcdabcd625g72
Name:abcdefgh Serial:abcdefghabcdefgh625g72

armv587 · 发表于 2016-2-29 19:35

赞，努力学习ing~

a454635280 · 发表于 2016-2-23 18:54

谢楼主，若是以后可以将所有的集合在一起发成合集就好了

反沉沦 · 发表于 2016-2-23 18:43

本帖最后由反沉沦于 2016-2-25 18:37 编辑

破解160个CrackMe之065
运行程序，随便输入Name和Serial，点击Check，没有任何提示
打开OD，载入程序，来到OEP，发现与VC、VB、.Net等开发的程序的OEP都不像，继续往下浏览，看到了许多api函数的调用，比如LoadIconA，SetClassLongA，SendDlgItemMessageA等等，由此判断程序是用汇编语言开发的，并未加壳。
使用OD搜索字符串功能，结果如下
中文搜索引擎
地址    反汇编                                  文本字符串
004011CB mov eax,dword ptr fs:[0]                (Initial CPU selection)
0040136C push figugegl.00402048                   Success
00401371 push figugegl.00402050                   Congratulations - you did it!
看到“Success”、“Congratulations - you did it!”这些字眼，双击，来到下面这个位置：
0040136A  |.  6A 00       push 0x0                               ; /Style = MB_OK|MB_APPLMODAL
0040136C  |.  68 48204000 push figugegl.00402048                ; |Success
00401371  |.  68 50204000 push figugegl.00402050                ; |Congratulations - you did it!
00401376  |.  53          push ebx                               ; |hOwner = 7FFDE000
00401377  |.  E8 E4010000 call <jmp.&USER32.MessageBoxA>          ; \MessageBoxA
推测应该是输入正确时弹出的提示信息。
继续往上浏览代码，
00401316  /$  55          push ebp
00401317  |.  89E5       mov ebp,esp
00401319  |.  83EC 2C    sub esp,0x2C
0040131C  |.  53          push ebx
0040131D  |.  56          push esi
0040131E  |.  57          push edi
0040131F  |.  8B5D 08    mov ebx,[arg.1]                         ;  figugegl.<ModuleEntryPoint>
00401322  |.  6A 14       push 0x14                               ; /Count = 14 (20.)
00401324  |.  8D45 EB    lea eax,dword ptr ss:[ebp-0x15]       ; |
00401327  |.  50          push eax                               ; |Buffer = NULL
00401328  |.  6A 65       push 0x65                               ; |ControlID = 65 (101.)
0040132A  |.  53          push ebx                               ; |hWnd = 7FFDE000
0040132B  |.  E8 0C020000 call <jmp.&USER32.GetDlgItemTextA>    ; \GetDlgItemTextA
00401330  |.  89C6       mov esi,eax
00401332  |.  83FE 05    cmp esi,0x5
00401335  |.  7D 04       jge short figugegl.0040133B
00401337  |.  31C0       xor eax,eax
00401339  |.  EB 44       jmp short figugegl.0040137F
0040133B  |>  6A 14       push 0x14                               ; /Count = 14 (20.)
0040133D  |.  8D45 D6    lea eax,dword ptr ss:[ebp-0x2A]       ; |
00401340  |.  50          push eax                               ; |Buffer = NULL
00401341  |.  6A 66       push 0x66                               ; |ControlID = 66 (102.)
00401343  |.  53          push ebx                               ; |hWnd = 7FFDE000
00401344  |.  E8 F3010000 call <jmp.&USER32.GetDlgItemTextA>    ; \GetDlgItemTextA
00401349  |.  09C0       or eax,eax
0040134B  |.  74 32       je short figugegl.0040137F
这段代码中，两次调用GetDlgItemTextA，在调用处下断，第一次调用获取输入的Name，第二次调用获取输入的Serial

00401332  |.  83FE 05    cmp esi,0x5
00401335  |.  7D 04       jge short figugegl.0040133B
这是判断name的长度，应该不小于5

继续分析代码
0040134D  |.  31FF       xor edi,edi
0040134F  |.  EB 15       jmp short figugegl.00401366
00401351  |>  0FBE443D D6 /movsx eax,byte ptr ss:[ebp+edi-0x2A]
00401356  |.  0FBE543D EB |movsx edx,byte ptr ss:[ebp+edi-0x15]
0040135B  |.  29FA       |sub edx,edi
0040135D  |.  39D0       |cmp eax,edx
0040135F  |.  74 04       |je short figugegl.00401365
00401361  |.  31C0       |xor eax,eax
00401363  |.  EB 1A       |jmp short figugegl.0040137F
00401365  |>  47          |inc edi
00401366  |>  39F7          cmp edi,esi
00401368  |.^ 7C E7       \jl short figugegl.00401351
这段代码就是对输入的Name和Serial进行校验了，爆破的关键语句也在这段代码

爆破的方法有两种：
第一种：00401363  |.  EB 1A       |jmp short figugegl.0040137F，直接nop掉即可爆破
第一种：0040135F  |.  74 04       |je short figugegl.00401365，把je改成jmp即可爆破
目的都是不让程序跳转到0040137F

下面分析校验过程
循环取出Name和Serial的每个字节进行比较，满足以下条件即可通过校验：
Name的第一个字节==Serial的第一个字节-0
Name的第二个字节==Serial的第二个字节-1
Name的第三个字节==Serial的第三个字节-1
......
以此类推

经过上面的分析，要想看到"Congratulations - you did it!"，Name和Serial需要满足以下条件：
1、Name的长度大于等于5
2、Name的第一个字节==Serial的第一个字节-0
Name的第二个字节==Serial的第二个字节-1
Name的第三个字节==Serial的第三个字节-1
3、还有一个隐含的条件，Serial的长度应大于等于Name的长度
KeyGen应该很容易写了，在此提供两组Name和Serial
Name:abcdef Serial:aaaaaa
Name:123456 Serial:111111

em50 · 发表于 2016-2-23 18:54

小白弱弱的问下，这是什么，请问楼主有没有检测微信删好友的软件

反沉沦 · 发表于 2016-2-23 19:30

a454635280 发表于 2016-2-23 18:54
谢楼主，若是以后可以将所有的集合在一起发成合集就好了

这也是我的目标，正在努力

chaoyang2015 · 发表于 2016-2-23 21:06

来个复杂的。

飞翔の浪花 · 发表于 2016-2-23 21:40

前来支持

反沉沦 · 发表于 2016-2-23 22:11

chaoyang2015 发表于 2016-2-23 21:06
来个复杂的。

循序渐进

554181507 · 发表于 2016-2-24 10:57

又是搜索字符串的

帐号		自动登录	找回密码
密码			注册[Register]

[原创] [破解练习]破解160个CrackMe之064-160

免费评分

本帖被以下淘专辑推荐:

破解160个CrackMe之066

RE: 破解160个CrackMe之064-71

破解160个CrackMe之065

个人中心