obdg反汇编破解crackme
obdg是一个反汇编软件
直接将要反汇编的exe文件拖入或者file->open打开文件,等待一段时间就会显示出来
界面中分别为汇编代码(程序内存内容),寄存器内容,数据内存内容,栈内容
代码界面的左侧是内存地址,右侧是代码的描述
步骤一:修改程序使注册一直成功
在分析程序反汇编代码之前:
在该程序中,打开注册页面,随意输入信息并点击注册会弹出对话框:
查看反汇编代码:
可以通过查看反编译之后的文字信息来确定部分代码的作用
这两段应该是分别对应成功注册和未成功注册的弹窗内容
可以看到,在push相应内容后调用了相同的程序段:MessageBoxA,应该是用于弹出指定栈内容的对话框。
猜测相关部分的逻辑:
那么这段功能的逻辑应该是有一个判断语句,根据结果是否为真分别跳转到上面图中的两段代码的push30处
确定要做的事:
只需要找到跳转到这两段程序的指令,并将判断条件修改为相反即可
遇到的问题:
直接在代码中找没有找到对应的跳转语句,执行step into会进入某些调用的API中跳不回来,执行step over又会执行到某些地方执行不下去。
用软件IDA pro反汇编得到了程序的逻辑图,在逻辑图中找到了对应成功注册的子程序。
接下来找到那部分代码调用了它:
可以看到调用者有一个cmp和一个jz语句,而且另一分支调用的子程序正是注册失败弹窗的功能,那么这里的判断就应该是要找的语句
打开代码视图:
找到对应的语句的内存地址为00401243
然后在odbg中找到对应的部分:
该语句跳转到0040124C,而0040124C又跳转到0040134D,即成功注册的弹窗
那么上面直接odbg中找的时候是没找到,而不是没有。直接找的时候误以为一定会有语句要求跳转到注册失败的语句(00401369),但是事实上程序的逻辑是判断条件正确就跳转到0040134D(成功注册),而失败的时候就直接顺序执行下去没有跳转语句。
修改程序二进制文件:
利用软件:Ultraedit
首先要找到对应的语句所在的具体存储位置:
文件偏移地址 = 虚拟内存地址(VA)- 装载基址(Image Base) - 节偏移
节偏移可以通过软件peid确定:V.Offset-R.Offset
所以文件偏移地址为:00401243-00400000-(00001000-00000600)=00000843
找到对应的位置,可以发现00000843和00000844正好是该跳转语句
修改为75 07:
生成的exe文件结果:
步骤二:寻找能成功注册软件的序列号
利用IDApro可以更方便的发现程序的结构:
下面的两个分别是输出成功注册和失败注册的弹窗,那么上面的子程序很可能就是处理在程序界面输入的name和serial,称之为子程序match
在OllyDbg中,在00401228处(即上面的子程序match起点处)设置断点单步执行,发现有以下的处理过程:
首先将name压栈,调用函数0040137E
该函数将按照name的每一位循环:
如果比’A’的ASSIC码值低就跳转到004013AC,这是注册失败时输出错误信息的子程序。
否则继续和’Z’比较,比‘Z’大,调用函数004013D2,作用为将ASSIC码减20,那么如果这个字符是小写字母,就会转化为相应的大写字母并存入
那么这部分的含义就是,循环判断所有name中的字符,如果符合是字母的条件就将字母转化为大写字母
全部判断完之后,调用004013C2,将所有字母的ASSIC码值加起来,返回。
继续将结果和00005678异或,结果放在EAX中
处理完name之后就将结果压栈,继而调用004013D8处理serial
函数作用:
EDI初始化为0
For:将密码的每一位
将EDI乘10
减30加在EDI中,
结果和00001234(dec4660)XOR并存入EBX
处理完serial之后将name和serial的结果比较,如果相等就注册成功,否则注册失败
注册的内容不是唯一的,只要符合条件即可
假设name是”mjb”,那么序列号需要满足:
先将序列号处理:对序列号从前到后的每一位,减去30H加上sum乘AH作为新的sum,sum初始化为0
则sum满足:
‘A‘ xor 00005678H =sum xor 00001234H
寻找这样的sum,为17557D
分解为(((16*10+14)*10+14)*10+17)
每一位加上30H即48D为64/62/62/65,对应的字符为”@>>A”
那么这样的一个注册将会成功:
Mjb//无所谓大小写
@>>A