逆向学习:crack me之Acid burn.exe

首先使用dumpbin.exe 查看该程序是64位还是32位。

这里确定程序是32位程序,然后使用x32dbg打开该程序。

首先尝试逆向serial:

先什么都不输入,点击验证看看会出现什么:

在这里看到点击验证出现了一个模态提示弹窗。我们知道当出现模态弹窗时,程序代码应该卡在模态弹窗那句直到返回。此时使用xdbg32让程序暂停:

此时程序暂停后,查看调用堆栈以确定程序卡在哪句用户代码:

我们可以看到调用来了messagebox 出现弹窗,那么接下来就是查看 在哪里调用的Messagebox,以及提示的内容。

根据MessageBox的参数含义,我们知道显示的文本,是来自于 edi,esi 参数,在往上看edi,esi 参数的值来自于 ecx,edx, 而当前函数的ecx,edx的值来自于上层调用。

所以我们需要再转到上层调用处分析。

依据上图代码的分析,此时jne acid burn.42F4F1 是关键跳转,然后看到在跳转之前调用了一个函数,然后再跳转。那么猜测这个是比较输入内容的函数。于是乎,更进该函数查看下实现,在 进入0x004039fc函数后,右键选择流程图,如下展示:

对上图的代码分析,其实就是字符串比较是否相等,关键提示点是 最开始的esi-4edi-4表示的是长度。

所以,以上代码应该是 先调用0x004039fc函数比较两个字符串是否相等。相等则不跳转到弹出失败的地方。所以 此时在调用0x004039f函数处下一个断点,再尝试一次,应该就能获得答案了。

当断点断下来时,查看答案为:Hello Dude!。 接下来输入验证下:

至此,这个serial算是获得了。

总结

整个过程可分为3步:

  1. 尝试验证serial,出现弹窗时,选择暂停程序
  2. 观察调用堆栈,以定位调用处
  3. 分析调用处相关逻辑,以获得serial.
相关推荐
报错小能手10 分钟前
OpenTenBase学习——分布式数据库 / 集群主流架构分类
学习
灵性(๑>ڡ<)☆1 小时前
Java学习笔记 --面向对象进阶
java·笔记·学习
β添砖java2 小时前
Ollama工具学习
学习
小巧的砖头2 小时前
使用SVN+CruiseControl+ANT实现持续集成之一
学习·算法
俭朴的奇异果3 小时前
MongoDB实战开发 【零基础学习,附完整Asp.net示例】
学习·mongodb·asp.net
承渊政道3 小时前
【Python学习】(了解Python背景知识、搭建 Python 环境以及安装PyCharm)
python·学习·pycharm·搭建python环境
东京老树根3 小时前
SAP学习笔记 - MM模块06 - 库存物料,消耗物料,物料类型NLAG,如何确定会计科目,无物料信息记录(通过物料组),排序字符串,消耗物料的收货
学习
茯苓gao16 小时前
嵌入式开发笔记:CANopen相关移位运算与通信协议术语详解
网络·嵌入式硬件·学习·信息与通信
HERR_QQ19 小时前
强化学习的数学原理 学习笔记
人工智能·笔记·学习·自动驾驶
MartinYeung520 小时前
[论文学习]DP-Fusion:面向大语言模型的令牌级差分隐私推理-深度解析
人工智能·学习·语言模型