新160个CrackMe分析-第3组：21-30（上）

​作者：selph

目录：

• 021-DIS-Serialme1

• 022-CM_22

• 023-TraceMe3

• 024-reverseMe4

• 025-CRC32crackme5

• 026-KeygenMe6

• 027-MexeliteCRK17

• 028-ArturDents-CrackMe38

• 029-figugegl19

• 030-AcidBytes410

下半篇请看下期

1.  021-DIS-Serialme
   

爆破难度：⭐

算法难度：⭐⭐

信息收集
运行情况：

查壳与脱壳：
无壳，汇编程序

  

调试分析
使用xspy工具可以很方便的查看GUI程序的控件ID：

 

在窗口过程里，发现保存编辑框内容的部分：根据控件ID判断哪个接收的是哪个值，然后这里会判断NAME需要大于3字节

 

然后接下来在验证逻辑里：

对于用户名的每个字节，取出来原字节保存在bl，然后保存一个该字符的索引+a的值到bh里

对于序列号，每次取出两个字节到cx

比对bx和cx，如果遍历完用户名全都相同，就是成功

 

注册机
注册码生成算法：

 #include

int main()
{
char name[20] = “selph”;
char serial[20] = { 0 };
int Len = strlen(name);

for (int i = 0, j = 0; i < Len; i++, j+=2)
{
    char bl=0, bh=0;
    bl = name[i];
    bh = i + 'a';
    serial[j] = bl;
    serial[j + 1] = bh;
}
std::cout << serial;

}

结果：

 

总结
依然是很简单的算法分析

1.  022-CM_2
   

算法难度：⭐

爆破难度：⭐

信息收集
运行情况：

 

查壳与脱壳：
MFC程序，无壳：

 

字符串：
存在提示信息字符串：

 

调试分析
通过字符串交叉引用搜索校验函数，看图，没啥好说的：

先获取用户名序列号长度，都得大于5，然后明文硬编码校验序列号：6287-A

 

结果：

 

1.  023-TraceMe
   

算法难度：⭐⭐

爆破难度：⭐

信息收集
运行情况：
看标语，这是个来自看雪论坛的CM

 

查壳与脱壳：
C++的GUI程序，无壳

 以下文章图片不全请移步公众号——极安御信安全研究院查看

调试分析
程序一进去就是WinMain，这里的这个参数是窗口过程，从这里找内容：

窗口过程函数里，往下面拉一点就能看到获取控件内容的API，分别获取Name和Serial，然后调用了函数sub_401340，这应该就是校验函数了

校验函数分析：这里有一个硬编码的字节数组，从索引0开始，每轮循环+1，遍历用户名的索引从3开始，每轮循环+1

每次索引到一个用户名中的值和一个硬编码字节数组的值，然后相乘，

把每轮的结果加起来，转换成字符串与输入的序列号进行对比，相同则表示校验成功

注册码生成算法：

 #define _CRT_SECURE_NO_WARNINGS

#include

int main()
{
char name[10] = “selph”;
char arr[8] = { 0xC, 0xA, 0x13, 0x9, 0xC, 0xB, 0xA, 0x8 };
char serial[20] = { 0 };
int sum = 0;

for (int i = 3,j=0; name[i]; i++,j++)
{
    if (j > 7)j = 0;
    sum += name[i] * arr[j];
}
sprintf(serial, "%ld", sum);
std::cout << serial;

}

结果：

1.  024-reverseMe
   

算法难度：⭐⭐

爆破难度：⭐

信息收集
运行情况：
弹窗说过期了，然后进程退出了

查壳与脱壳：
无壳：

调试分析
首先是打开一个文件，如果不存在就弹窗提示失败，存在的话就读取内容

然后是校验环节，首先判断读取的字节数，文件的字节数应该超过16字节，然后遍历字符串计算G的数量，这个数量大于8即可成功

文件内容：GGGGGGGGGGGGGGGGGGGG，效果：

1.  025-CRC32crackme
   

算法难度：⭐⭐⭐

爆破难度：⭐

信息收集
运行情况：

查壳与脱壳：
依然是古老的程序

调试分析
因为拖到IDR识别不出来Form，我以为不是Delphi程序，导致在分析的时候发现各种奇怪不对劲，实际上这依然是个Delphi程序，使用eax，edx传参函数调用，字符串使用结构体保存，第一个成员是字符串长度，第二个成员才是字符串

通过搜索MessageBox函数的交叉引用定位到校验函数：刚好只有2个，对应两种情况的弹窗

接下来从头开始分析

对用户名的处理
首先是对Name的处理，这里是先获取Name长度初始化了一个字符串结构，然后读取字符串赋值，

如果字符串长度小于5，则跳转到失败分支，

字符串拼接：DiKeN拼接到Name前面，例如DiKeNselph

最后使用这个拼接后的结果，计算一个长度，去调用一个函数计算一个值，用于最后比对使用

计算用户名校验值的函数进行的是CRC32算法，和这个CM的名称一样：

截图的底下是CRC32Table数组，用来简化计算使用的，就不完整复制了，具体算法下文实现注册机时给出高级语言实现，这里就不解释了

对序列号的处理
对用户名的处理结果保存在了esi里

接下来是对序列号的处理：首先从控件读取用户输入的字符串，然后拼接了一个0到字符串前面，最后调用一个函数来计算序列号的校验值

sub_404224，序列号的校验值计算：

获取字符串长度循环遍历，累加值sum初值为0，每一轮循环进行的操作是：

计算sum2，然后计算sum+sum4，获取字符串一个字符，字符数字变成数字（-‘0’），然后加到sum里

暴力破解
最后拿序列号计算的结果（eax）和用户名计算的结果（esi）进行比较，相同则弹窗成功，爆破的点也就在这里

注册机
最近初学CSharp语言，用一次练练手：

 UInt32 NameCheck(char[] str)

{
UInt32[] data = {
0x00000000, 0x77073096, 0xEE0E612C, 0x990951BA, 0x076DC419, 0x706AF48F, 0xE963A535, 0x9E6495A3,
0x0EDB8832, 0x79DCB8A4, 0xE0D5E91E, 0x97D2D988, 0x09B64C2B, 0x7EB17CBD, 0xE7B82D07, 0x90BF1D91,
0x1DB71064, 0x6AB020F2, 0xF3B97148, 0x84BE41DE, 0x1ADAD47D, 0x6DDDE4EB, 0xF4D4B551, 0x83D385C7,
0x136C9856, 0x646BA8C0, 0xFD62F97A, 0x8A65C9EC, 0x14015C4F, 0x63066CD9, 0xFA0F3D63, 0x8D080DF5,
0x3B6E20C8, 0x4C69105E, 0xD56041E4, 0xA2677172, 0x3C03E4D1, 0x4B04D447, 0xD20D85FD, 0xA50AB56B,
0x35B5A8FA, 0x42B2986C, 0xDBBBC9D6, 0xACBCF940, 0x32D86CE3, 0x45DF5C75, 0xDCD60DCF, 0xABD13D59,
0x26D930AC, 0x51DE003A, 0xC8D75180, 0xBFD06116, 0x21B4F4B5, 0x56B3C423, 0xCFBA9599, 0xB8BDA50F,
0x2802B89E, 0x5F058808, 0xC60CD9B2, 0xB10BE924, 0x2F6F7C87, 0x58684C11, 0xC1611DAB, 0xB6662D3D,
0x76DC4190, 0x01DB7106, 0x98D220BC, 0xEFD5102A, 0x71B18589, 0x06B6B51F, 0x9FBFE4A5, 0xE8B8D433,
0x7807C9A2, 0x0F00F934, 0x9609A88E, 0xE10E9818, 0x7F6A0DBB, 0x086D3D2D, 0x91646C97, 0xE6635C01,
0x6B6B51F4, 0x1C6C6162, 0x856530D8, 0xF262004E, 0x6C0695ED, 0x1B01A57B, 0x8208F4C1, 0xF50FC457,
0x65B0D9C6, 0x12B7E950, 0x8BBEB8EA, 0xFCB9887C, 0x62DD1DDF, 0x15DA2D49, 0x8CD37CF3, 0xFBD44C65,
0x4DB26158, 0x3AB551CE, 0xA3BC0074, 0xD4BB30E2, 0x4ADFA541, 0x3DD895D7, 0xA4D1C46D, 0xD3D6F4FB,
0x4369E96A, 0x346ED9FC, 0xAD678846, 0xDA60B8D0, 0x44042D73, 0x33031DE5, 0xAA0A4C5F, 0xDD0D7CC9,
0x5005713C, 0x270241AA, 0xBE0B1010, 0xC90C2086, 0x5768B525, 0x206F85B3, 0xB966D409, 0xCE61E49F,
0x5EDEF90E, 0x29D9C998, 0xB0D09822, 0xC7D7A8B4, 0x59B33D17, 0x2EB40D81, 0xB7BD5C3B, 0xC0BA6CAD,
0xEDB88320, 0x9ABFB3B6, 0x03B6E20C, 0x74B1D29A, 0xEAD54739, 0x9DD277AF, 0x04DB2615, 0x73DC1683,
0xE3630B12, 0x94643B84, 0x0D6D6A3E, 0x7A6A5AA8, 0xE40ECF0B, 0x9309FF9D, 0x0A00AE27, 0x7D079EB1,
0xF00F9344, 0x8708A3D2, 0x1E01F268, 0x6906C2FE, 0xF762575D, 0x806567CB, 0x196C3671, 0x6E6B06E7,
0xFED41B76, 0x89D32BE0, 0x10DA7A5A, 0x67DD4ACC, 0xF9B9DF6F, 0x8EBEEFF9, 0x17B7BE43, 0x60B08ED5,
0xD6D6A3E8, 0xA1D1937E, 0x38D8C2C4, 0x4FDFF252, 0xD1BB67F1, 0xA6BC5767, 0x3FB506DD, 0x48B2364B,
0xD80D2BDA, 0xAF0A1B4C, 0x36034AF6, 0x41047A60, 0xDF60EFC3, 0xA867DF55, 0x316E8EEF, 0x4669BE79,
0xCB61B38C, 0xBC66831A, 0x256FD2A0, 0x5268E236, 0xCC0C7795, 0xBB0B4703, 0x220216B9, 0x5505262F,
0xC5BA3BBE, 0xB2BD0B28, 0x2BB45A92, 0x5CB36A04, 0xC2D7FFA7, 0xB5D0CF31, 0x2CD99E8B, 0x5BDEAE1D,
0x9B64C2B0, 0xEC63F226, 0x756AA39C, 0x026D930A, 0x9C0906A9, 0xEB0E363F, 0x72076785, 0x05005713,
0x95BF4A82, 0xE2B87A14, 0x7BB12BAE, 0x0CB61B38, 0x92D28E9B, 0xE5D5BE0D, 0x7CDCEFB7, 0x0BDBDF21,
0x86D3D2D4, 0xF1D4E242, 0x68DDB3F8, 0x1FDA836E, 0x81BE16CD, 0xF6B9265B, 0x6FB077E1, 0x18B74777,
0x88085AE6, 0xFF0F6A70, 0x66063BCA, 0x11010B5C, 0x8F659EFF, 0xF862AE69, 0x616BFFD3, 0x166CCF45,
0xA00AE278, 0xD70DD2EE, 0x4E048354, 0x3903B3C2, 0xA7672661, 0xD06016F7, 0x4969474D, 0x3E6E77DB,
0xAED16A4A, 0xD9D65ADC, 0x40DF0B66, 0x37D83BF0, 0xA9BCAE53, 0xDEBB9EC5, 0x47B2CF7F, 0x30B5FFE9,
0xBDBDF21C, 0xCABAC28A, 0x53B39330, 0x24B4A3A6, 0xBAD03605, 0xCDD70693, 0x54DE5729, 0x23D967BF,
0xB3667A2E, 0xC4614AB8, 0x5D681B02, 0x2A6F2B94, 0xB40BBE37, 0xC30C8EA1, 0x5A05DF1B, 0x2D02EF8D
};
char[] name = str.ToArray();
UInt32 res = 0xFFFFFFFF;
for (int i = 0; i < name.Length; i++)
{
res ^= name[i];
UInt32 ebx = data[(res & 0x000000ff)];
res >>= 8;
res ^= ebx;
}
res ^= 0xffffffff;
return res;
}

UInt32 SerialCheck(string str)
{
char[] serial = str.ToCharArray();
UInt32 res = 0;
for(int i = 0; i < serial.Length; i++)
{
res = res * 10;
res += (UInt32)serial[i] - 0x30;
}
return res;
}

string ReverseGenSerial(UInt32 num)
{
UInt32 tmp = num;
string resStr = “”;

while (tmp>0)
{
    resStr += (tmp%10).ToString();
    tmp /= 10;
}
char[] res = resStr.ToCharArray();
Array.Reverse(res);
return new string(res);

}

UInt32 res = NameCheck(“DiKeNselph”.ToCharArray());
Console.WriteLine(“CheckNum: “+String.Format(”{0:X8}”,res));
Console.WriteLine(“CheckNum-Serial:” + String.Format(“{0:X8}”, SerialCheck(“0123123”)));
Console.WriteLine("Serial: "+ReverseGenSerial(res));

效果：

总结
逆向一个程序的时候，如果能了解这个语言的各种基本操作都是怎么进行的，就会方便很多，还有就是函数调用约定

难倒是不难，就是乱七八糟的函数搞得人晕头转向