160 - 23 Chafe.1

环境
Windows xp sp3

工具
exeinfope
ollydbg

查壳
用exeinfoe查壳

测试

可以从左下角状态栏看出serial是无效的

直接OD载入字符串搜索

00401274  |. /75 17     jnz XChafe_1.0040128D
00401276  |. |6A 00     push 0x0                                 ; /Timerproc = NULL; Case 1 (WM_CREATE) of switch 0040123F
00401278  |. |6A 01     push 0x1                                 ; |Timeout = 1. ms
0040127A  |. |68 CA0000>push 0xCA                                ; |TimerID = CA (202.)
0040127F  |. |FF75 08   push [arg.1]                             ; |hWnd
00401282  |. |E8 A10200>call <jmp.&USER32.SetTimer>              ; \SetTimer
00401287  |. |33C0      xor eax,eax
00401289  |. |C9        leave
0040128A  |. |C2 1000   retn 0x10
0040128D  |> \3D 130100>cmp eax,0x113
00401292  |.  75 50     jnz XChafe_1.004012E4
00401294  |.  E8 BA0100>call Chafe_1.00401453                    ;  Case 113 (WM_TIMER) of switch 0040123F
00401299  |.  0FBE05 66>movsx eax,byte ptr ds:[0x403166]
004012A0  |.  3A05 6731>cmp al,byte ptr ds:[0x403167]
004012A6  |.  75 06     jnz XChafe_1.004012AE                    ;  这里不能相同
004012A8  |.  33C0      xor eax,eax
004012AA  |.  C9        leave
004012AB  |.  C2 1000   retn 0x10
004012AE  |>  A2 673140>mov byte ptr ds:[0x403167],al            ;  可以看出[0x403167]的值要为0x10
004012B3  |.  83F8 10   cmp eax,0x10                             ;  这里要相同
004012B6  |.  74 16     je XChafe_1.004012CE
004012B8  |.  68 653040>push Chafe_1.00403065                    ; /Text = "Your serial is not valid."
004012BD  |.  FF35 7C31>push dword ptr ds:[0x40317C]             ; |hWnd = NULL
004012C3  |.  E8 660200>call <jmp.&USER32.SetWindowTextA>        ; \SetWindowTextA
004012C8  |.  33C0      xor eax,eax
004012CA  |.  C9        leave
004012CB  |.  C2 1000   retn 0x10
004012CE  |>  68 7F3040>push Chafe_1.0040307F                    ; /Text = "YES! You found your serial!!"
004012D3  |.  FF35 7C31>push dword ptr ds:[0x40317C]             ; |hWnd = NULL
004012D9  |.  E8 500200>call <jmp.&USER32.SetWindowTextA>        ; \SetWindowTextA

因为界面没有点击确认的按钮,加上那个SetTimer函数,可以猜测是用程序自己检测serial是否正确。
可以猜到[0x4012AE]里面的[0x403167]的值是根据serial是否正确才会为0x10
搜索程序,观察哪里使得[0x403167]地址的内容发生改变

参考位于 Chafe_1:.text 到常量 403166
地址       反汇编                                    注释
00401000   push 0x0                                  (初始 CPU 选择)
00401093   add byte ptr ds:[0x403166],0x4            ds:[00403166]=00
004010A3   mov byte ptr ds:[0x403166],ah
00401299   movsx eax,byte ptr ds:[0x403166]          ds:[00403166]=00
00401398   add byte ptr ds:[0x403166],0x4            ds:[00403166]=00
00401465   movsx eax,byte ptr ds:[0x403166]          ds:[00403166]=00
00401493   add byte ptr ds:[0x403166],0x4            且字符串长度在10以内
004014AA   add byte ptr ds:[0x403166],0x4            ds:[00403166]=00
004014B3   mov byte ptr ds:[0x403166],0x0            ds:[00403166]=00

可以猜出,只要实现4个add byte ptr ds:[0x403166],0x4 ,就可以使得[0x403167]的值为0x10
跟随这4个add,查看相应的条件。

0040107B   .  B9 140000>mov ecx,0x14
00401080   .  2BC8      sub ecx,eax
00401082   .  8DB8 8C31>lea edi,dword ptr ds:[eax+0x40318C]
00401088   >  C607 00   mov byte ptr ds:[edi],0x0
0040108B   .  47        inc edi
0040108C   .  49        dec ecx
0040108D   .^ 75 F9     jnz XChafe_1.00401088
0040108F   .  85C0      test eax,eax                             ;  eax为输入的name的长度
00401091   .  74 10     je XChafe_1.004010A3
00401093   .  8005 6631>add byte ptr ds:[0x403166],0x4
0040109A   .  C605 6831>mov byte ptr ds:[0x403168],0x0
004010A1   .  EB 06     jmp XChafe_1.004010A9

不难看出,ecx为保存name的字符数组的长度,将没有字符的部分用0填充。
所以这里的条件是只要输入了name就能使得[0x403166]加0x4了

00401361   .  8D3D 8C31>lea edi,dword ptr ds:[0x40318C]
00401367   .  0FBE05 68>movsx eax,byte ptr ds:[0x403168]
0040136E   .  03F8      add edi,eax
00401370   .  FE05 6831>inc byte ptr ds:[0x403168]
00401376   .  A1 883140>mov eax,dword ptr ds:[0x403188]
0040137B   .  8B25 A031>mov esp,dword ptr ds:[0x4031A0]
00401381   .  40        inc eax
00401382   .  FF05 8831>inc dword ptr ds:[0x403188]
00401388   .  3307      xor eax,dword ptr ds:[edi]
0040138A   .  A3 883140>mov dword ptr ds:[0x403188],eax
0040138F   .  803D 6831>cmp byte ptr ds:[0x403168],0x10          ;  这里要使得[401368]为0x10
00401396   .  75 07     jnz XChafe_1.0040139F
00401398   .  8005 6631>add byte ptr ds:[0x403166],0x4
0040139F   >  C9        leave

这里可以看作是这个程序的算法核心,因为这里有一个循环,它是用来计算[0x403188]的值,具体的计算方法为:
设x0为[0x403188]的初值,有:
x1 = (x0 + 1) xor k
x2 = (x1 + 1) xor k
x3 = (x3 + 1) xor k

xn = (xn-1 + 1) xor k

这个xn就是在循环结束的时候[0x403188]的值。k的话是输入的name,每次取name的4个字节,来进行异或,每次取完直接后,下一次取得4个字节会往后移动1个字节。

00401475   .  6A 00     push 0x0                                 ; /IsSigned = FALSE
00401477   .  8D45 FC   lea eax,dword ptr ss:[ebp-0x4]           ; |
0040147A   .  50        push eax                                 ; |pSuccess
0040147B   .  6A 64     push 0x64                                ; |ControlID = 64 (100.)
0040147D   .  FF35 7031>push dword ptr ds:[0x403170]             ; |hWnd = 001402A8 ('TEXme v1.0',class='TEXcls')
00401483   .  E8 640000>call <jmp.&USER32.GetDlgItemInt>         ; \GetDlgItemInt
00401488   .  A3 883140>mov dword ptr ds:[0x403188],eax
0040148D   .  837D FC 0>cmp dword ptr ss:[ebp-0x4],0x0
00401491   .  74 07     je XChafe_1.0040149A                     ;  这里判断输入框是否有值,此时EAX为输入的值得16进制,字符不计算在内
00401493   .  8005 6631>add byte ptr ds:[0x403166],0x4           ;  且字符串长度在10以内
0040149A   >  C9        leave
0040149B   .  C3        retn

这段代码是将输入的serial转成数值,并且将这个值存储到[0x403188],显然这个就是刚刚的x0,也就是
[0x403188]的初值,这里的数值均为16进制。

0040149C   .  A1 883140>mov eax,dword ptr ds:[0x403188]          ;  这里计算最后一步
004014A1   .  05 782411>add eax,0x9112478
004014A6   .  85C0      test eax,eax
004014A8   .  75 09     jnz XChafe_1.004014B3
004014AA   .  8005 6631>add byte ptr ds:[0x403166],0x4
004014B1   .  EB 07     jmp XChafe_1.004014BA
004014B3   >  C605 6631>mov byte ptr ds:[0x403166],0x0
004014BA   >  8B25 A031>mov esp,dword ptr ds:[0x4031A0]
004014C0   .  C9        leave
004014C1   .  C3        retn

这里是将循环过后计算得出的[0x403188]的值加上0x9112478,即[0x403188]+0x9112478
后面有个test,所以这里的计算结果为1 0000 0000,可以使得eax的值为0

所以程序的算法过程可以轻易的出了:
1.判断是否输入了name和serial,都有的话就加0x8
2.然后循环计算一个值,计算出来后加0x4
3.将计算出来的值再加上一个数,如果结果满足条件的话就加0x4
4.如果上面的条件都满足了,就会显示正确的提示。

注册机:

    char c[20];unsigned int * p;unsigned int k = 0xF6EEDB88;memset(c,0,sizeof(c));scanf("%s",c);int len = strlen(c);k -= 0xf - len;for(int i=len-1;i>=0;i--){p = (unsigned int*)&c[i];k = (k-1)^*p;}printf("%u",k-1);                   //这里减1输出是因为最后异或算出来的值为x0+1的值

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/376427.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

fis 详细介绍(mac版) - 12-26没有弄完 - 暂停

fis可以让fe进入角色&#xff0c;而不必担心底层的架构&#xff0c;性能得到优化。仅需三条命令&#xff0c;即可解决所有前端开发要求fis是nodejs写的&#xff0c;发布在vpn(&#xff1f;)上下载 www.nodejs.org&#xff0c;并安装nodejs&#xff0c;其中包括npm安装fis: sudo…

用文件模拟CMOS保存数据

Hi3520D 芯片的内置CMOS最多只有5个字节可以用&#xff0c;但是我需要保存的数据有很多。 其中一个解决办法是&#xff1a;可以把其他需要保存的数据放到一个配置文件中。每次写的时候写到配置文件&#xff0c;用的时候再从配置文件读出数据即可。 用文件写&#xff1a; 1 stat…

160 - 24 Chafe.2

环境&#xff1a; Windows xp sp3 工具 exeinfope OllyDBG 查壳 用exeinfope查壳&#xff0c;发现是没有壳的。 测试 可以看出是从红色框框里面的内容判断serial是否有效 OD载入&#xff0c;字符串搜索可以得到&#xff1a; 004011EC . 55 pus…

十个利用矩阵乘法解决的经典题目

转载自 Matrix67: The Aha Moments 好像目前还没有这方面题目的总结。这几天连续看到四个问这类题目的人&#xff0c;今天在这里简单写一下。这里我们不介绍其它有关矩阵的知识&#xff0c;只介绍矩阵乘法和相关性质。 不要以为数学中的矩阵也是黑色屏幕上不断变化的绿色…

[C++]搞清楚类中构造与析构的顺序

定义一个类对象时&#xff0c;首先根据初始化列表初始化类的成员&#xff08;就算没有显式定义初始化列表&#xff0c;编译器也会默认地初始化一次&#xff09;&#xff0c;然后运行构造函数。因此&#xff0c;类成员的构造函数必定先于类的构造函数运行。 class A { public:A(…

160 - 25 CodeZero.1

环境 Windows xp sp3 工具 exeinfope OllyDBG 查壳 无壳的VB程序 测试 运行程序后出现Nag窗口&#xff0c;所以这次的目标是除Nag窗口和找到serial 程序运行后弹出Nag窗口&#xff0c;并且等待5秒后按钮的标题改成“Continue..”&#xff0c;点击后才会弹出输入seria…

WP8开发学习笔记动态修改启动时导航的第一个页面(如登录前启动页为LoginPage,登录后变为MainPage)...

很多时候我们需要在启动程序的时候根据状态改变初始导航页面&#xff0c;比如程序在启动的时候判断用户是否登录&#xff0c; 如果未登录则跳转到LoginPage.xaml否则跳转到MainPage界面。 这时候就要分析程序的启动和导航的过程。 程序的启动是App.xamlcs负责的。 App类的构造器…

6.数组和Hash表

当显示多条结果时&#xff0c;存储在变量中非常智能&#xff0c;变量类型会自动转换为一个数组。 在下面的例子中&#xff0c;使用GetType()可以看到$a变量已经不是我们常见的string或int类型&#xff0c;而是Object类型&#xff0c;使用-is操作符来判断是否是个数组&#xff0…

160 - 26 Colormaster

环境 Windows xp sp3 查壳 无壳的VB程序 测试&#xff1a; 输入 Name:123456 Serial:12345 字符串搜索&#xff0c;找到判断位置。 判断Name的长度要大于等于5&#xff1a; 00402CBC . 33C9 xor ecx,ecx 00402CBE . 83F8 04 cmp eax,0x4 00…

Android 菜单(OptionMenu)大全 建立你自己的菜单

菜单是用户界面中最常见的元素之一&#xff0c;使用非常频繁&#xff0c;在Android中&#xff0c;菜单被分为如下三种&#xff0c;选项菜单&#xff08;OptionsMenu&#xff09;、上下文菜单&#xff08;ContextMenu&#xff09;和子菜单&#xff08;SubMenu&#xff09;&#…

160 - 27 Cosh.1

环境 Windows XP sp3 工具 exeinfope ollydbg 查壳 无壳的MFC程序 测试 弹出这个&#xff1a; 是一个CD-CHECK保护的程序。 字符串搜索&#xff0c;一下子就能来到这里&#xff1a; 0040121A . 68 9C304000 push Cosh_1.0040309C …

什么时候加上android.intent.category.DEFAULT

1、要弄清楚这个问题&#xff0c;首先需要弄明白什么是implicit(隐藏) intent什么是explicit(明确) intent。 Explicit Intent明确的指定了要启动的Acitivity &#xff0c;比如以下Java代码&#xff1a; Intent intent new Intent(this, B.class) Implicit Intent没有明确的指…

[BZOJ 2165] 大楼 【DP + 倍增 + 二进制】

题目链接&#xff1a;BZOJ - 2165 题目分析&#xff1a; 这道题我读了题之后就想不出来怎么做&#xff0c;题解也找不到&#xff0c;于是就请教了黄学长&#xff0c;黄学长立刻秒掉了这道题&#xff0c;然后我再看他的题解才写出来。。Orz 使用 DP 倍增 &#xff0c;用状态 f[…

oracle创建表空间

注意点&#xff1a; 1.如果在PL/SQL 等工具里打开的话&#xff0c;直接修改下面的代码中[斜体加粗部分]执行 2.确保路径存在&#xff0c;比如【D:\oracle\oradata\Oracle9i\】也就是你要保存文件的路径存在 /*分为四步 */ /*第1步&#xff1a;创建临时表空间 */ create tempor…

160 - 28 CoSH.2

环境 Windows xp sp3 工具 exeinfope ollydbg 查壳 无壳的MFC程序 测试 输入 Nmae:123456 Serial:12345 点击“CHECK”后弹出错误提示的消息框&#xff0c;然后程序自己结束掉 依然是字符串搜索&#xff1a; 004014DB . 8B1D FC214000 mov ebx,dword ptr ds…

负载均衡情况下获取真实ip的方法

公司用了硬件负载均衡&#xff0c;最近发现日志中的用户ip都为负载均衡器的ip&#xff0c;业务需要所以要改为用户真实ip&#xff0c;下面记录一下&#xff01; 1、打开文件&#xff1a;/etc/httpd/conf/httd.conf。2、在文件中查找&#xff1a;”CustomLog”,找到如下配置块: …

ASP.NET MVC5 + EF6 入门教程 (5) Model和Entity Framework

文章来源&#xff1a; Slark.NET-博客园 http://www.cnblogs.com/slark/p/mvc-5-ef-6-get-started-model.html 上一节&#xff1a;ASP.NET MVC 5 入门教程 (4) View和ViewBag 下一节&#xff1a;ASP.NET MVC5 EF6 入门教程 (6) View中的Razor使用 源码下载&#xff1a;点我下…

160 - 29 cosh.3

环境 Windows xp sp3 工具 exeinfope ollydbg 查壳 无壳的MFC程序 测试 字符串搜索&#xff1a; 004014F5 |. E8 AA030000 call <jmp.&MFC42.#CWnd::GetWindowTextLengthA_> 004014FA |. 8945 EC mov [local.5],eax 004014FD |. 837D EC 0…

hdu--4902--线段树

题意 前面一段废话 这题 最有意思的应该是出题人 是clj 这题的时限放的太宽了 给了15s 我也是醉了 区间更新。 1 #include <iostream>2 #include <algorithm>3 using namespace std;4 5 const int size 200010;6 int a[size];7 struct data8 {9 int L , R ,…

(五) 面向对象类设计原则

1. 开闭原则&#xff08;the Open Closed Principle OCP&#xff09; 一个模块在扩展性方面应该是开放的而在更改性方面应该是封闭的。因此在进行面向对象设计时要尽量考虑接口封装机制、抽象机制和多态技术。该原则同样适合于非面向对象设计的方法&#xff0c;是软件工程 设计…