【吾爱】逆向实战crackme160学习记录（一）

前言

最近想拿吾爱上的crackme程序练练手，发现论坛上已经有pk8900总结好的160个crackme，非常方便，而且有很多厉害的前辈已经写好经验贴和方法了，我这里只是做一下自己练习的记录，欢迎讨论学习，感谢吾爱论坛的各位大神。

程序本身无病毒，杀毒报错可无视，如果实在担心也可也用虚拟机练习。

Acid burn

惯例查一下peid，之后打开

打开发现作者的留言

界面是仨按钮，一个账户密码验证，一个序列号验证。

先看账户密码验证吧。
x32dbg打开，输入1111111,1111111点击按钮

弹出按钮时候先不点击确认，回去让xdbg暂停一下，然后逐步走到用户代码段，

发现一堆111111111，这里已经是弹出出来的位置了，所以判断部分肯定在上面，往上翻翻ret在哪里，顺带还发现了登陆成功的信息：

这里的jne就是判断代码了，失败了会直接跳过下面登录成功的部分，所以直接nop掉判断就行

上面加个断点，下面判断部分nop掉，重新跑一次

就成功了。
接着看后面那个序列号验证
输入后发现弹出信息是Try again!

刚刚是调试找到判断的位置，这里换个方式，直接搜索字符串找一下位置

上面看一眼，看到了jne判断，上面下个断点，设置个nop，重新跑一下

这里就直接验证成功了，现在可以回头看一下注册机的逻辑。

这里输入111是账户，22222是密码，断点设置在刚刚找的判断代码的上面，发现这里eax里面是CW-4018-CRACKED，ebx是我们输入的，然后基于这俩寄存器call了一个4039fc的函数，猜测就是判断密码是不是等于这个了，可以直接重新跑一下看一下，也可以去函数里面仔细看一下。

但是这个CW-4018-CRACKED在最开始查找字符串的时候并没有发现这个字符，大概率是程序运行过程中算出来的（或者换个账户重新试几次也能发现），所以可以找一下这个密码生产的算法。
重新输入aaaa作为账户，2是密码，发现密钥是CW-7954-CRACKED，搜一下cw出现的位置，发现一个可疑的位置，

这里cw、-、cracked仨字符单独出现了，猜测是形成密码的函数
分析逻辑后发现：

获取输入字符并计算数值​​：
从内存地址 [ebx+1DC] 获取字符串，调用函数 41AA58 将其存储到局部变量 [ebp-10]。
提取该字符串的首字符 ASCII 值（如字符 '2' 对应 0x32）。
将该 ASCII 值与全局变量 [431750] 的值相乘，结果存回 [431750]。
再将 [431750] 的值翻倍（通过 add 自身），最终得到一个计算后的数值。
​​构造固定字符串部分​​：
将字符串常量 "CW" 和 "CRACKED" 分别复制到局部变量 [ebp-4] 和 [ebp-8]。
​​生成中间数字字符串​​：
调用函数 406718 将全局变量 [431750] 的数值转换为字符串（如 "7954"），存入 [ebp-18]。
​​拼接完整序列号​​：
通过多次 push 操作将 "CW"、"-"、转换后的数字 "7954"、"-" 和 "CRACKED" 拼接成最终字符串（如 "CW-7954-CRACKED"），存储到 [ebp-C]。
​​验证用户输入​​：
从 [ebx+1E0] 获取用户输入的字符串，调用函数 41AA58 存入 [ebp-10]。
调用函数 4039FC 比较生成的字符串 [ebp-C] 和用户输入是否一致，以此验证合法性。

这里ai分析的， 再翻译过来就是取第一个字母的ASNI的数字，如111111中第一个字符1对应数字0x31，然后用它乘以0x29，结果再自增一倍(即x2)，将得到的数字转为10进制的字符串，在前加上”CW-”,后加上”-CRACKED”，就组成了用户名对应的注册码。

后面那个单独序列号验证的时候，可以简单的发现序列号“Hello Dude!”，直接明文出来了，没有什么加密的部分，所以不多写了。

Afkayas.1

点开发现是个登录界面

xdbg打开，搜索字符串，找到提示框的位置


往上翻一下找到跳转的代码，下个断点。
跟前面一样的思路，nop掉判断就成功了。


光绕过验证是没啥意义的，所以接着找一下加密的逻辑，但是这里生产密码的逻辑感觉不是很好找，根据天清地宁大神的文章，找到了加密的代码部分。

004023ED   .  FF90 A0000000 call dword ptr ds:[eax+0xA0]                   ;  这里获得了账户
004023F3   .  3BC7          cmp eax,edi
004023F5   .  7D 12         jge XAfkayas_.00402409
004023F7   .  68 A0000000   push 0xA0                                      ;  如果返回值小于0就走这里
004023FC   .  68 5C1B4000   push Afkayas_.00401B5C
00402401   .  53            push ebx
00402402   .  50            push eax
00402403   .  FF15 04414000 call dword ptr ds:[<&MSVBVM50.__vbaHresultChec>;  msvbvm50.__vbaHresultCheckObj
00402409   >  8B95 50FFFFFF mov edx,dword ptr ss:[ebp-0xB0]
0040240F   .  8B45 E4       mov eax,dword ptr ss:[ebp-0x1C]                ;  vbaLenBstr 获取 账户的长度，eax返回长度
00402412   .  50            push eax                                       ; /String
00402413   .  8B1A          mov ebx,dword ptr ds:[edx]                     ; |
00402415   .  FF15 E4404000 call dword ptr ds:[<&MSVBVM50.__vbaLenBstr>]   ; \__vbaLenBstr
0040241B   .  8BF8          mov edi,eax                                    ;  账户长度存储在EDI中
0040241D   .  8B4D E8       mov ecx,dword ptr ss:[ebp-0x18]
00402420   .  69FF FB7C0100 imul edi,edi,0x17CFB                           ;  将账户长度 * 0x17CFB
00402426   .  51            push ecx                                       ; /String
00402427   .  0F80 91020000 jo Afkayas_.004026BE                           ; |计算出来的结果>=0x80000000 就异常
0040242D   .  FF15 F8404000 call dword ptr ds:[<&MSVBVM50.#516>]           ; \rtcAnsiValueBstr
00402433   .  0FBFD0        movsx edx,ax                                   ;  返回账户的第一个字符代码
00402436   .  03FA          add edi,edx                                    ;  返回的字符代码与账户长度 * 0x17CFB相加
00402438   .  0F80 80020000 jo Afkayas_.004026BE                           ;  结果大于0x80000000就异常
0040243E   .  57            push edi                                       ;  这个函数是将I4转换成STR
0040243F   .  FF15 E0404000 call dword ptr ds:[<&MSVBVM50.__vbaStrI4>]     ;  msvbvm50.__vbaStrI4
00402445   .  8BD0          mov edx,eax                                    ;  返回值为390240字符串

这段代码实现了一个​​用户名到序列号的转换算法​​，核心逻辑为：
序列号 = (用户名长度 × 97531) + 用户名首字符的ASCII值
最终将计算结果转换为字符串输出

自己写了一下注释如下：

004023ED   call dword ptr ds:[eax+0xA0]  ; 调用COM对象方法获取账户属性
004023F3   cmp eax,edi                   ; 比较返回值
004023F5   jge XAfkayas_.00402409        ; 返回值≥0则跳过错误处理
004023F7   push 0xA0                     ; 错误处理路径开始
...
00402403   call dword ptr ds:[__vbaHresultCheckObj] ; VB错误检查[6,8](@ref)0040240F   mov eax,dword ptr ss:[ebp-0x1C] ; 账户字符串指针
00402412   push eax                       ; 压入字符串参数
00402415   call dword ptr ds:[__vbaLenBstr] ; 调用VB长度函数[9](@ref)
0040241B   mov edi,eax                    ; 长度结果存入EDI00402420   imul edi,edi,0x17CFB          ; edi = edi * 0x17CFB (97531)
00402426   jo Afkayas_.004026BE           ; 溢出检查
0040242D   call dword ptr ds:[rtcAnsiValueBstr] ; 取首字符ASCII值
00402433   movsx edx,ax                  ; 符号扩展ASCII值到32位
00402436   add edi,edx                   ; edi = (长度*97531) + ASCII值
00402438   jo Afkayas_.004026BE           ; 再次检查溢出0040243E   push edi                      ; 压入计算结果
0040243F   call dword ptr ds:[__vbaStrI4] ; 整数转字符串[6,8](@ref)
00402445   mov edx,eax                   ; 字符串句柄存入edx

AfKayAs.2

打开程序

跟前几个一样，xdbg打开，找到开始函数（vb弹窗函数是rtcMsgBox，可以找到这个），下断点，nop，

很简单的流程，但是接着要找到它的算法和逻辑。
往上翻，找到了push ebp;move ebp,esp;
像是程序入口，下断点开始逐步跑

后面的代码有点长，这里就不全部贴出来了。
跑到下面显示发现eax中出现了输入的账户，走到0x408225的时候突然eax变成了一个新的序列（根据输入的name算出来的），它上面有个函数被call了。

先下个断点，接着跑，发现eax在后面又发生了多次变化，最后又走到前面原本Nop的判断代码位置，这个再下个断点，俩断点之间的部分就是计算密码的部分。

中间计算逻辑注释一下：

004081F2   push eax         ; 输入字符串地址 (如"3333")
004081F5   call __vbaLenBstr ; 计算字符串长度 (len=4)
004081FD   mov ecx, [ebp-0x18] ; 获取字符串内容
00408200   imul edi, eax, 0x15B38 ; edi = 4 * 88888 = 355552
0040820D   call rtcAnsiValueBstr ; 取首字符ASCII值 ('3'=51)
00408216   add edi, eax     ; edi = 355552 + 51 = 355603
··············
0040821F   call __vbaStrI4  ; 整数转字符串 -> "355603"
0040822A   call __vbaStrMove ; 保存到[ebp-0x20]
···············
004083FB   fmul qword [0x401010] ; 355605.0 * 3.0 = 1066815.0
00408404   fsub qword [0x401018] ; 1066815.0 - 2.0 = 1066813.0
···············
004084E5   fsub qword [0x401020] ; 1066813.0 - (-15.0) = 1066828.0
················
004085D2   call __vbaR8Str   ; 用户输入序列号转浮点 S
004085E2   call __vbaR8Str   ; 计算值转浮点 C=1066828.0
004085F1   fdivr            ; 计算 C / S
0040861A   fcomp qword [0x401028] ; 与密钥常量比较
···············
00408622   test ah, 0x40   ; 检查浮点比较结果是否相等
00408625   je 40862E       ; 不相等则跳转
00408627   mov esi, 1      ; 验证成功标记
0040862E   xor esi, esi    ; 验证失败标记
·············
00408677   je 4086DB        ; 关键跳转：若esi=0则跳失败处理
0040867F   push "You Get It" ; 验证成功提示

逻辑大体是：

# 输入 "3333" 的运算过程：
T1 = len("3333") * 88888 + ord('3') = 355603
T2 = T1 + (10.0 / 5.0)       = 355605.0
T3 = T2 * 3.0                = 1066815.0
T4 = T3 - 2.0                = 1066813.0
T5 = T4 - (-15.0)            = 1066828.0

ajj.1

打开后发现没有按钮

peid查过没壳，拖进xdbg打开
搜索字符串之后发现有明文信息，找到了弹出的信息。

回到程序上，发现鼠标挪动到下面灰色方框的时候，会出现提示，说注册成功后会出现一张照片。

xdbg上往上翻翻，发现jne跳转（会先看到一个向上跳转的，然后再往上找），发现这个跳转阻止了程序进入注册成功的代码部分，所以nop掉


然后就可以发现照片出来了。

简要总结

一次性做了四个（其实是五个），第五个ajj.2有点复杂，没搞出来逻辑，等之后整理一下接着写，前面这几个都是比较老的cm了，逻辑和破解手法都比较简单，权当是复健一下动调和汇编了。之后再接着更新吧，再次感谢吾爱破解的大神们。