第十三章-硬编码序列号寻踪-Part1

我觉得寻找序列号是最难的工作之一,特别是当我们遇到了强力的加密算法的时候,找序列号就更难了,我们先从简单的情况开始,慢慢的延伸到复杂的情况,逐步锻炼我们寻找序列号的能力。

这个部分我们专门讨论硬编码序列号,所谓的硬编码序列号就是不依赖于用户名来生成,总是由固定的字符和数字构成的固定不变的字符串,这种序列号通常比较容易找到,因此,我们从这种类型开始介绍,先看几个简单的,然后再看复杂的。

我们一共有4个练习的例子,本章是两个简单的例子,下一章是两个复杂点的例子。

首先第一个最简单的CrackMe名为Leccion_13_HARDCODED_1(原名称西班牙文,英文名称译为:Lesson_13_Hardcoded_1),我们用OD加载它。

作为最简单的硬编码序列号的例子,正确的序列号是作为全局字符串出现在程序中的,我们一起来看一看。

想要找到所有的全局字符串,我们在反汇编窗口中单击鼠标右键选择-Search for-All referenced text strings。

结果如下:

(Mal Muy MAL:西班牙文译为:错误)

这里,我们可以看到“FIACA”这个字符串,这个字符串可能就是序列号,但是我们不推荐在右侧的字符串列表中肉眼定位序列号,原因有二:

1.我们这个程序,只有两行,但是有的程序,有成千上万行,尝试肉眼逐一查找简直就是疯了,虽然当前这种情况,我们一眼就可以看出来正确的序列号,但是如果有千上万行的话,肉眼看就是不可取的了。

2.有些程序故意放置一些假的序列号在字符串列表中,当我们把这个序列号当做正确的序列号就恰恰中了作者的陷阱。较为妥当的做法是检查序列号的正确性。

首先通过在反汇编窗口中单击鼠标右键选择-Search for-Name(label) in current module来查看API函数列表。

程序中用了一些API函数,其中有几个我们比较熟悉。

GetDlgItemTextA获取用户输入的序列号,MessageBoxA提示输入的序列号正确,错误与否。我们给这两个API函数设置断点。

单击鼠标右键选择-Toggle breakpoint on import或者在命令栏中输入bp GetDlgItemTextA,bp MessageBoxA。

好了,按F9键,运行CrackMe。

(Verficar西班牙文译为:验证,Salir译为:取消)

我们在序列号窗口中随便输入一个人名,比如说narvajita。

单击Verificar(验证)按钮,可以看到断在了我们刚刚设置的断点处。

从堆栈中可以看出我们断在了GetDlgItemTextA处,该函数用于获取用户输入的序列号,并且该函数的Buffer参数是用于存放获取到的序列号的缓冲区首地址,这里,缓冲区的首地址为403010。

我们在该参数上单击鼠标右键选择-Follow in Dump定位到缓冲区在数据窗口中的位置。

当前缓冲区为空,因为该API函数还没有执行。

我们选择主菜单中项Debug-Execute till return执行到函数返回。

现在我们到了RET指令处。

该函数将用户输入的序列号保存到了缓冲区中。

我们按F7键单步返回到主程序中。

这里我们可以看到比较和条件跳转指令,两个分支分别为提示Mal Muy MAL(错误)的消息框和提示Muy BIEN(正确)的消息框。

很明显,401087是其中一个分支。通常我们可以通过修改程序流程来达到爆破的目的,但是这里我们是要找到序列号,所以我们还是一起来看看程序是怎么比较的吧。

401066地址处的指令将403010地址处的DWORD内容保存到EBX中,我们在该语句上单击鼠标右键选择-Follow in Dump-Memory address定位403010在数据窗口中的位置。

提示窗口中我们可以看到7672616E,在403010开始的内存单元中是倒序存放的,(小端存储我们前面章节已经介绍过),这4个字节是错误的序列号,被保存到EBX中。

按F7键单步,来到下一条指令处。

这里,我们看到该指令将EBX(包含了我们刚刚输入的错误序列号的前4个字节)的值与403008内存单元中的内容进行比较。跟之前操作一样我们在数据窗口中转到403008处。

我们可以看到该指令将”FIACA”的前4个字节与我们输入的序列号的前4个字节进行比较,如果它们是相等的,则零标志位Z被置1,然后跳转到提示”Muy BIEN”(正确)的消息框处,如果不相等的话,就提示”Mal Muy MAL”(错误)的消息框。

很明显它们不相等,所以会直接提示”Mal Muy MAL”(错误)的消息框。我们按F9键运行。

我们断在了MessageBoxA处。

从参数我们可以看出是提示”Mal Muy MAL”(错误)。我们按F9键运行起来。

正如你所看到的,弹出了错误消息提示框,我们单击”Aceptar”(确定)按钮,然后输入正确的序列号”FIACA”。

单击”Verificar”(验证)按钮,并重复上面的步骤,再次到达比较指令为止。

跟之前一样,EBX的值与403008内存单元的内容进行比较。

根据提示窗口来看,它们是相等的,零标志位置1,我们按F7键单步执行。

可以看到零标志位置1,所以JE指令将跳转。

跳转到了”Muy BIEN”(正确)的消息框处。我们按F9键运行。

根据堆栈窗口中该API函数的参数可以看出将弹出提示正确的消息框。

虽然作者忘了修改窗口的标题,但是我们还是找到了正确的序列号,这个硬编码序列号的例子很简单。

这个例子是我朋友Redhawk写的,哈哈,他有点懒,连正确提示框的标题都没有改。接下来一个CrackMe的提示框的标题做了修改。

我们用OD打开”Leccon 13 HARDCODED 2”。

这个例子和刚才那个例子非常的相似,但是正确的序列号并不在字符串列表窗口中。

并没有”FIACA”,嘿嘿。

是的,正确的序列号并不是”FIACA”

我们只能来到比较指令处。

我们在401064处下个断点,然后运行起来。

我们随便输入一个错误的序列号,这里我们输入LUCKY。

单击”Verificar”(验证)。

我们可以看到断在了我们刚刚设置的断点处,我们在数据窗口中定位40300C内存单元。

该指令40300C内存单元中4字节的内容保存到EBX寄存器中。

我们按F7键单步。

该指令将40204B内存单元中内容保存到EDX寄存器中,我们来看看40204B内存单元的内容是什么。

这里存放着4个字节的字符串”9898”,当我们输入的序列号前4个字节与”9898”相等的话,就跳转到正确的消息框处。不相等的话,就提示错误的消息框。我们重启OD输入正确的序列号”9898”。

单击”Verificar”(验证)。

当前EBX和EDX的值都是38393839,对应字符串”9898”,所以会跳转到提示”Muy BIEN”(正确)的消息框处。

我们可以看到,在这里我朋友把正确提示框的标题改成了”Bravo”(恭喜),哈哈,我们又找到了正确的序列号。

接下来的章节,我们将增加难度-两个相对难一点的硬编码序列号的CrackMe。

这里给一个练习的小例子,第3个CrackMe,名为”Mielecrackme1.zip”。

提供一点思路,关键API函数-lstrcmpA,这个CrackMe会直接进行字符串的比较。你定位到了该函数以后,看看堆栈中函数参数情况。

接下来的第14章,我们再来介绍这个两个相对难一点的硬编码的例子,这里,大家先练习一下这第3个CrackMe吧。

使用OllyDbg从零开始Cracking 第十三章-硬编码序列号寻踪-Part1