[安全攻防进阶篇] 六.逆向分析之OllyDbg逆向CrackMe01-02及加壳判断
前文作者講解了OllyDbg和在線沙箱的逆向分析過程,分享了惡意軟件如何通過宏腳本發送勒索信息或密碼至用戶郵箱。這篇文件將帶領大家逆向分析兩個CrackMe程序,包括逆向分析和源碼還原,基礎性文章,希望對您有所幫助。技術路上哪有享樂,為了提升安全能力,別抱怨,干就對了,
從2019年7月開始,我來到了一個陌生的專業——網絡空間安全。初入安全領域,是非常痛苦和難受的,要學的東西太多、涉及面太廣,但好在自己通過分享100篇“網絡安全自學”系列文章,艱難前行著。感恩這一年相識、相知、相趣的安全大佬和朋友們,如果寫得不好或不足之處,還請大家海涵!
接下來我將開啟新的安全系列,叫“安全攻防進階篇”,也是免費的100篇文章,作者將更加深入的去研究惡意樣本分析、逆向分析、內網滲透、網絡攻防實戰等,也將通過在線筆記和實踐操作的形式分享與博友們學習,希望能與您一起進步,加油~
- 推薦前文:網絡安全自學篇系列-100篇
話不多說,讓我們開始新的征程吧!您的點贊、評論、收藏將是對我最大的支持,感恩安全路上一路前行,如果有寫得不好或侵權的地方,可以聯系我刪除。基礎性文章,希望對您有所幫助,作者目的是與安全人共同進步,也強烈推薦大家去看看錢老師的視頻,加油~
文章目錄
- 一.OllyDbg基礎用法
- 二.CrackMe01
- 1.題目描述
- 2.逆向分析
- 3.原理分享及序列號提取
- 三.CrackMe02
- 1.題目描述
- 2.逆向分析
- 3.原理分享及序列號提取
- 四.總結
作者的github資源:
軟件安全:https://github.com/eastmountyxz/Software-Security-Course
其他工具:https://github.com/eastmountyxz/NetworkSecuritySelf-study
Windows-Hacker:https://github.com/eastmountyxz/Windows-Hacker-Exp
聲明:本人堅決反對利用教學方法進行犯罪的行為,一切犯罪行為必將受到嚴懲,綠色網絡需要我們共同維護,更推薦大家了解它們背后的原理,更好地進行防護。(參考文獻見后)
前文回顧:
[安全攻防進階篇] 一.什么是逆向分析、逆向分析應用及經典掃雷游戲逆向
[安全攻防進階篇] 二.如何學好逆向分析、逆向路線推薦及呂布傳游戲逆向案例
[安全攻防進階篇] 三.OllyDbg和Cheat Engine工具逆向分析植物大戰僵尸游戲
[安全攻防進階篇] 四.逆向分析之條件語句和循環語句源碼還原及流程控制逆向
[安全攻防進階篇] 五.逆向分析之Win32 API獲取及加解密目錄文件、OllyDbg逆向其原理
一.OllyDbg基礎用法
OllyDbg是一個新的動態追蹤工具,將IDA與SoftICE結合起來的思想,Ring 3級調試器,非常容易上手,是當今最為流行的調試解密工具之一。它還支持插件擴展功能,是目前最強大的調試工具之一。
OllyDbg打開如下圖所示,包括反匯編窗口、寄存器窗口、信息窗口、數據窗口、堆棧窗口。
- 反匯編窗口:顯示被調試程序的反匯編代碼,包括地址、HEX數據、反匯編、注釋
- 寄存器窗口:顯示當前所選線程的CPU寄存器內容,點擊標簽可切換顯示寄存器的方式
- 信息窗口:顯示反匯編窗口中選中的第一個命令的參數及跳轉目標地址、字符等
- 數據窗口:顯示內存或文件的內容,右鍵菜單可切換顯示方式
- 堆棧窗口:顯示當前線程的堆棧
下圖是打開EXE后顯示的界面。
下面簡單講解常用的快捷鍵調試方式。
F2
設置斷點,如下圖所示的紅色位置,程序運行到此處會暫停,再按一次F2鍵會刪除斷點。
F9
按下這個鍵運行程序,如果沒有設置相應的點,被調試的程序直接開始運行。
F8
單步步過,每按一次這個按鍵,將執行反匯編窗口中的一條指令,遇到CALL等子程序不進入其代碼。
F7
單步步入,功能通單步步過(F8)類似,區別是遇到CALL等子程序時會進入其中,進入后首先停留在子程序的第一條指令上。如下圖進入CALL子程序。
F4
運行到選定位置,即運行到光標所在位置處暫停。
CTRL+F9
執行到返回,按下此鍵會執行到一個返回指令時暫停,常用于從系統領空返回到我們調試的程序領空。
ALT+F9
執行到用戶代碼,從系統領空快速返回我們調試的程序領空。
OllyDbg動態分析的基本流程如下:
- 通常拿到一個軟件先試著運行軟件,如果有幫助文檔查閱幫助文檔,熟悉軟件的基本用法,接著嘗試輸入錯誤的注冊碼,觀察錯誤提示。
- 如果沒有輸入注冊碼的地方,要考慮是否是讀取注冊表或Key文件(程序讀取一個文件中的內容判斷是否注冊),這些可以用其他工具來輔助分析。
- 如果都不是,原程序只是一個功能不全的試用版,那要注冊為正式版需要手動寫代碼完善。
- 如果需要輸入注冊碼,如上圖所示,則調用查殼軟件檢查程序是否加殼(如PeiD、FI),有殼的需要脫殼之后再調用OllyDbg分析調試,無殼的直接調用工具調試。
二.CrackMe01
題目: 第1題是Acid_burn
1.題目描述
首先打開軟件提示如下信息,然后主頁面包括三個核心按鈕,一個是“序列號+用戶名”,一個是退出按鈕,另一個是“序列號”。
主界面如下圖所示,我們點擊“Serial / Name”按鈕。
顯示如下圖所示,隨機輸入用戶名和序列號后點擊“Check it Baby!”按鈕。
它會提示你輸入錯誤的信息,即“Sorry,The serial is incorect!”
接著點擊“I give Up!!!”退回主界面,點擊“Serial”按鈕。
輸入序列號點擊“Check it Baby!”,顯示如下圖所示對話框“Try Again!!”。
2.逆向分析
第一步,調用PEiD或Exeinfo PE工具進行查殼。
顯示結果沒有殼,采用Dephi 3.0編寫。
第二步,通過OD打開軟件,模塊入口地址是0x0042FD68。
按下F9運行程序,彈出第一個歡迎界面。
點擊“確定”后會彈出程序的主界面,如下圖所示。
第三步,查找失敗提示的關鍵詞“Sorry”。
在彈出的主頁面中點擊“Serial / Name”按鈕,然后隨機輸入信息后會提示錯誤信息,這里記住關鍵詞“Sorry”。
然后,在反匯編窗口右鍵鼠標,選擇“查找”->“所有參考文本字串”。
彈出如下圖所示的對話框,我們看到了非常多的信息,其中有一條是“Good job dude =)”。
第四步,選中指定字符串右鍵鼠標,點擊“反匯編窗口中跟隨”,或者直接雙擊該行去到指定匯編窗口。
如果字符串較多,可以右鍵選擇“查找文本”,輸入“Good”定位字符串的位置。
接著定位到如下圖所示位置。
第五步,在JNZ跳轉處按下F2增加斷點,地址為0x0042FB03。
- JNZ : jump if not zero 結果不為零則轉移
第六步,繼續在反匯編窗口右鍵鼠標,選擇“查找”->“所有參考文本字串”,接著定位關鍵字符串“Try Again”然后在反匯編窗口中跟隨。
找到JGE跳轉處按下F2添加斷點,地址為0x0042FA5A。
- JGE: 大于或等于轉移指令
接著回到EXE可執行程序,當我們輸入序列號和用戶名后,點擊“Sorry”提示,并且此時程序自動跳到斷點處,如下圖所示:
此時包括兩個斷點。
第七步,按下F8進行單步步過調試,注意CALL函數不進入,一直運行到下一個斷點0x0042FB03處。
第七步,選中該行右鍵“二進制”->“用NOP填充”。
顯示如下圖所示:
第八步,繼續按下F8單步步過調試,當執行到0x0042FB18位置,會CALL函數然后彈出“Good job dude =)”對話框,成功實現繞過。
第九步,按下F9運行程序,然后會停到0x0042FA5A斷點處,繼續按下F9運行程序就會提示成功的對話框。
第十步,同樣的方法查找第二個對話框的關鍵信息,然后在0x0042F4D5處增加斷點。
按下F2增加斷點。
第十一步,我們點擊“Serial”按鈕,然后在彈出的對話框中點擊“Check it Baby!”按鈕后,會自動定位到0x0042F4D5跳轉位置。
第十二步,右鍵“二進制”->“用NOP填充”,接著F8單步步過調試。
最終成功逆向該程序。
第十三步,保存修改后的可執行文件。
右鍵選擇“復制到可執行文件”->“所有修改”按鈕。
在彈出的窗口中選擇“全部復制”。
在彈出的窗口中選擇右鍵“保存文件”,重命名保存即可。
最終效果如下圖所示,只要點擊按鈕就提示你成功!
3.原理分享及序列號提取
前面我們成功繞過序列號和用戶名的判斷,下面我們簡單還原其原理和獲取序列號。先分析第一個對話框。
首先,我們通過“Good Job”定位關鍵位置,在0x0042F4D5處添加斷點,JNZ跳轉前面的CALL函數非常重要,并且該函數是根據EAX和EDX結果執行,所以我們需要在CALL函數處再增加一個斷點,從而獲取對應的值。
第二步,按下F9運行程序然后點擊對話框會停止在斷點處,對應的EDX值為“Hello Dude!”,顯然第一個序列號與這個固定的硬編碼“Hello Dude!”比較。
- 第一個序列號:Hello Dude!
第三步,我們按下F7進入CALL函數,進一步驗證該值,發現它CMP比較的正是我們輸入的值是否等于“Hello Dude!”,自此判斷成功。
第四步,CALL函數發現輸入序列號不正確會JNZ直接跳轉到PUSH 0處,然后彈出錯誤的對話框。
輸入正確的值會提示正確對話框。
接著我們繼續分析第二個對話框的原理。
第五步,通過字符串跟隨在0x0042FAFE和0x0042FB03位置增加斷點,分別是CALL函數的JNZ跳轉執行錯誤對話框。
第六步,可以看到EAX存儲的值為“CV-6560-CRACKED”時彈出“Good job”的對話框。
F7進入CALL函數可以看到它判斷的過程。
但如果你只輸入序列號,用戶名沒有驗證,也會有錯誤的提示信息,而且這個序列號真的是固定的嗎?
第七步,接著我們繼續往前分析用戶名的構成過程,用戶名首先要求長度必須大于等于4,否則不執行JGE跳轉并彈出錯誤提示。
- JGE: 大于或等于轉移指令
第八步,接著分析用戶名第一位值,乘以0x29,再乘以2。
假設結果為16BE,也就是十進制的5822,接著將計算的結果轉為字符串;然后和實現準備好的字符串進行拼接,結果為:CW-5658-CRACKED。
注意,這個序列號是根據用戶名動態生成的,變化的。
下面我們按下F8進行單步步過調試。
下圖是獲取第一個值和第二個值的代碼。
核心匯編代碼如下,建議大家在0x0042F9C8位置下斷點,多調試觀察寄存器值變化。
/* 用戶名第一位:左移0x3位再減去原來的值 */ 0042F9EB |. 0FB600 MOVZX EAX,BYTE PTR DS:[EAX] 0042F9EE |. 8BF0 MOV ESI,EAX 0042F9F0 |. C1E6 03 SHL ESI,3 0042F9F3 |. 2BF0 SUB ESI,EAXusername1 = username[0]; result1 = (username1 << 0x3) - username1; /* 用戶名第二位:左移4位再加上原來的結果 */ 0042FA06 |. 0FB640 01 MOVZX EAX,BYTE PTR DS:[EAX+1] 0042FA0A |. C1E0 04 SHL EAX,4 0042FA0D |. 03F0 ADD ESI,EAXusername2 = username[1]; result1 = (username1 << 0x4) + result1;/* 用戶名第四位:乘以0xB */ 0042FA26 |. 0FB640 03 MOVZX EAX,BYTE PTR DS:[EAX+3] 0042FA2A |. 6BF0 0B IMUL ESI,EAX,0Busername4 = username[3]; result2 = username4 * 0xB; /* 用戶名第三位:乘以0xE在加上第四位的結果 */ 0042FA3E |. 0FB640 02 MOVZX EAX,BYTE PTR DS:[EAX+2] 0042FA42 |. 6BC0 0E IMUL EAX,EAX,0E 0042FA45 |. 03F0 ADD ESI,EAXusername3 = username[2]; result2 = (username3 * 0xE) + result2;/* 再次計算第一位 乘以0x29再乘以2 */ 0042FA8A |. 0FB600 MOVZX EAX,BYTE PTR DS:[EAX] 0042FA8D |. F72D 50174300 IMUL DWORD PTR DS:[431750] 0042FA93 |. A3 50174300 MOV DWORD PTR DS:[431750],EAX 0042FA98 |. A1 50174300 MOV EAX,DWORD PTR DS:[431750] 0042FA9D |. 0105 50174300 ADD DWORD PTR DS:[431750],EAXresult3 = username1 * 0x29 * 2;/* 將result3轉為ASCII 并拼接密鑰 */ sprintf(key, "%s-%d-%s", key1, result3, key2);最終運行效果如下圖所示:
- Eastmount
- CW-5658-CRACKED
最后給出鬼手56師傅的C語言代碼,非常推薦大家去閱讀這位大佬在CSDN和看雪的文章。
#include<stdio.h> #include <stdlib.h> #include <windows.h> int main() {//密碼char key1[3] = "CW";char key2[8] = "CRACKED";//輸入用戶名char username[10] = { 0 };printf("請輸入用戶名 長度必須大于等于4:");scanf_s("%s", username, 10);//判斷長度if (strlen(username) < 4){printf("長度必須大于等于4,請重新輸入\n");}//根據用戶名生成密碼//計算用戶名的第一位int username1 = username[0];int result1 = (username1 << 0x3) - username1; //左移0x3位再減去原來的值//計算用戶名第二位int username2 = username[1];result1 = (username1 << 0x4) + result1; //左移4位再加上原來的結果//計算用戶名的第四位int username4 = username[3];int result2 = username4 * 0xB; //乘以0xB//計算用戶名的第三位int username3 = username[2];result2 = (username3 * 0xE) + result2; //乘以0xE在加上第四位的結果//再次計算第一位int result3 = username1 * 0x29 * 2; //乘以0x29再乘以2//將result3轉為ASCII 并拼接密鑰char key[50] = { 0 };sprintf(key, "%s-%d-%s", key1, result3, key2);//打印keyprintf("密鑰為:%s\n", key);system("pause");return 0; }三.CrackMe02
題目: Afkayas.1.Exe
1.題目描述
首先打開軟件如下所示,需要輸入用戶名和序列號然后注冊。
隨機輸入名字和序列號后點擊“OK”按鈕后,它會提示你輸入錯誤的信息,即“Try Again”。
2.逆向分析
第一步,通過PEiD軟件分析是無殼,VB編寫的。
第二步,用OD打開可執行文件,定位起始地址是0x00401124。
第三步,右鍵“查找”->“所有參考文本字符”。
第四步,雙擊“You Get It”去到反匯編窗口位置。
第五步,在JE跳轉處按下F2增加一個斷點。
第六步,然后運行程序會彈出對話框,輸入下圖所示的用戶名和序列號。
第七步,然后點擊“OK”會停在斷點0x0040258B位置,右鍵“二進制”->“用NOP填充”。
第八步,接著F9運行程序發現成功跳轉到“Get it”對話框。
第九步,右鍵“復制到可執行文件”->“所有修改”,然后保存文件即可。
第十步,當我們再次打開程序時,隨機輸入字符點擊“OK”就會提示成功。
3.原理分享及序列號提取
第一步,OD重新打開程序然后隨機輸入用戶名和序列號。
第二步,右鍵“反匯編窗口中跟隨”,然后可以看到JE跳轉到了我們的錯誤提示未知,F2增加斷點。
可以看到正是JE跳轉直接讓其輸入錯誤信息,說明前面就是對輸入用戶名和序列號的判斷。重點分析全面部分的代碼。
第三步,右鍵“查找”->“當前模塊中的名稱”。
注意到VB字符串比較函數vbaStrCmp,我們增加斷點。
右鍵“在每個參考上設置斷點”進行設置。
第四步,F9運行并點擊“確定”,在斷點位置發現下面不遠處就有關鍵字符串“You Get Wrong”。
但右上角泄露了注冊碼信息,即為“AKA-877848”。
簡單驗證下發現成功。
第五步,重新運行代碼,在0x00402403和0x0040242D增加斷點,閱讀匯編源碼,進行相應還原。
- 計算用戶名的長度
- 將用戶名長度乘以0x17CFB得到結果,如果溢出則跳轉
- 將結果再加上用戶名的第一個字符的ASCII
- 結果轉為十進制
- 結果和AKA進行拼接,得到最后的序列號
最后同樣給出鬼手師傅的還原代碼。
#include<stdio.h> #include <stdlib.h> #include <windows.h> int main() {//密碼char key1[4] = "AKA";//輸入用戶名char username[10] = { 0 };printf("請輸入用戶名:");scanf_s("%s", username, 10);//1\. 取長度int iUsernameLen = strlen(username);//2\. 將用戶名長度乘以0x17CFB 得到結果int result = iUsernameLen * 0x17CFB;//3\. 將結果再加上用戶名的第一個字符的ASCIIresult = result + username[0];//4\. 將結果轉為十進制 此步驟省略//5\. 拼接序列號char key[MAX_PATH] = { 0 };sprintf(key, "%s-%d", key1, result);//打印序列號printf("生成的序列號為:%s\n", key);system("pause");return 0; }四.總結
寫到這里,這篇文章就介紹完畢,希望對您有所幫助,最后進行簡單的總結下。
- OllyDbg基礎用法
- CrackMe01逆向分析及原理分享
- CrackMe02逆向分析及原理分享
學安全一年,認識了很多安全大佬和朋友,希望大家一起進步。這篇文章中如果存在一些不足,還請海涵。作者作為網絡安全初學者的慢慢成長路吧!希望未來能更透徹撰寫相關文章。同時非常感謝參考文獻中的安全大佬們的文章分享,深知自己很菜,得努力前行。
有點想家和女神了!月是故鄉圓啊~接著加油。
2020年8月18新開的“娜璋AI安全之家”,主要圍繞Python大數據分析、網絡空間安全、人工智能、Web滲透及攻防技術進行講解,同時分享CCF、SCI、南核北核論文的算法實現。娜璋之家會更加系統,并重構作者的所有文章,從零講解Python和安全,寫了近十年文章,真心想把自己所學所感所做分享出來,還請各位多多指教,真誠邀請您的關注!謝謝。
參考文獻:
非常推薦鬼手大佬的文章,還有一個是姜曄老師。
[1] 鬼手56大神的CrackMe系列文章
[2] https://www.bilibili.com/video/BV1z7411j7R1?p=2
總結
以上是生活随笔為你收集整理的[安全攻防进阶篇] 六.逆向分析之OllyDbg逆向CrackMe01-02及加壳判断的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: [安全攻防进阶篇] 四.逆向分析之条件语
- 下一篇: [论文阅读] (03) 清华张超老师 -