零度x's blog » 逆向学习

PE头变形~~

零度x — Fri, 28 May 2010 05:50:28 +0000

思路来自小鱼的文章

show图纪念~！~

手工给PE文件添加区块

零度x — Mon, 24 May 2010 03:55:57 +0000

1.在区块表(section table)中最后一个IMAGE_SECTION_TABLE后面添加一个IMAGE_SECTION_TABLE
IMAGE_SECTION_TABLE 结构如下
typedef struct _IMAGE_SECTION_HEADER {
    BYTE    Name[IMAGE_SIZEOF_SHORT_NAME];
    union {
            DWORD   PhysicalAddress;
            DWORD   VirtualSize;
    } Misc;
    DWORD   VirtualAddress;
    DWORD   SizeOfRawData;
    DWORD   PointerToRawData;
    DWORD   PointerToRelocations;
    DWORD   PointerToLinenumbers;
    WORD    NumberOfRelocations;
    WORD    NumberOfLinenumbers;
    DWORD   Characteristics;
} IMAGE_SECTION_HEADER, *PIMAGE_SECTION_HEADER;
按照结构添加一个长度为1000h名为.lingdux的区块：

名称：.lingdux
真实长度：1000h
RVA地址：290000h
文件中对齐后的尺寸：1000h
在文件中的偏移：0028d730
其他00填充
区块属性：E0200000(可读可写可执行)

添加好后修改PE头处NumberOfSections,从4改为5

修正SizeOfImage，文件大小发生变化，故修改之

2.在文件末尾插入1000h的数据块

EZ VIDEO TO AVI Converter注册码分析

零度x — Fri, 07 May 2010 04:01:01 +0000

Eztoo AVI Video Converter 是一个功能强大的AVI格式转换工具，可以将MPEG(MPG)、WMV(ASF、ASX)、AVI(DivX、XviD)、VCD格式转换为AVI格式的文件。它使用方便，鼠标点击就可以完成转换，转换速度很快，质量也很好，支持进行批量和自动转换，也可以自己设定相应的参数来输出AVI文件。在它的帮助下，转换工作变得非常轻松。

下载地址：http://www.newhua.com/soft/56777.htm

安装后运行，提示注册，随意输入提示“invalid register code! please retry!”

然后找字符串的调用位置如下：

004B03F6   . 55            push    ebp
004B03F7   . 68 FE054B00   push    004B05FE
004B03FC   . 64:FF30       push    dword ptr fs:[eax]
004B03FF   . 64:8920       mov     dword ptr fs:[eax], esp
004B0402   . C605 9C7D4B00>mov     byte ptr [4B7D9C], 1             ; 全局变量
004B0409   . FF05 987D4B00 inc     dword ptr [4B7D98]               ; ———-3次输入限制————-

004B040F   . 833D 987D4B00>cmp     dword ptr [4B7D98], 3
004B0416      7E 07         jle     short 004B041F
004B0418   . 8BC7          mov     eax, edi
004B041A   . E8 B907FDFF   call    00480BD8                         ; ————————————————
004B041F   > 8D55 F4       lea     edx, dword ptr [ebp-C]
004B0422   . 8B87 1C030000 mov     eax, dword ptr [edi+31C]
004B0428   . E8 0342FBFF   call    00464630                         ; 取用户名
004B042D   . 8B45 F4       mov     eax, dword ptr [ebp-C]
004B0430   . 8D55 FC       lea     edx, dword ptr [ebp-4]
004B0433   . E8 7C82F5FF   call    004086B4
004B0438   . 8D55 F0       lea     edx, dword ptr [ebp-10]
004B043B   . 8B45 FC       mov     eax, dword ptr [ebp-4]
004B043E   . E8 A582F5FF   call    004086E8                         ; strcpy复制用户名
004B0443   . 8B55 F0       mov     edx, dword ptr [ebp-10]
004B0446   . 8D45 FC       lea     eax, dword ptr [ebp-4]
004B0449   . E8 763EF5FF   call    004042C4
004B044E   . BB 15000000   mov     ebx, 15                          ; —————–比较用户名——————–
004B0453   . BE CC5A4B00   mov     esi, 004B5ACC
004B0458   > 8B45 FC       mov     eax, dword ptr [ebp-4]           ; 用户名
004B045B   . 8B16          mov     edx, dword ptr [esi]             ; 真正的用户名
004B045D   . E8 D641F5FF   call    00404638                         ; 比较
004B0462   . 75 09         jnz     short 004B046D
004B0464   . C605 9C7D4B00>mov     byte ptr [4B7D9C], 0             ; 相等则全局变量置0
004B046B   . EB 06         jmp     short 004B0473
004B046D   > 83C6 04       add     esi, 4
004B0470   . 4B            dec     ebx
004B0471   .^ 75 E5         jnz     short 004B0458
004B0473   > 803D 9C7D4B00>cmp     byte ptr [4B7D9C], 0
004B047A   . 74 1A         je      short 004B0496
004B047C   . 6A 00         push    0
004B047E   . 66:8B0D 0C064>mov     cx, word ptr [4B060C]
004B0485   . B2 02         mov     dl, 2
004B0487   . B8 18064B00   mov     eax, 004B0618                    ; invalid register code! please retry!
004B048C   . E8 7B55F8FF   call    00435A0C
004B0491   . E9 2D010000   jmp     004B05C3                         ; ————————————————
004B0496   > 8D55 EC       lea     edx, dword ptr [ebp-14]
004B0499   . 8B87 20030000 mov     eax, dword ptr [edi+320]
004B049F   . E8 8C41FBFF   call    00464630                         ; 取序列号
004B04A4   . 8B45 EC       mov     eax, dword ptr [ebp-14]
004B04A7   . 8D55 F8       lea     edx, dword ptr [ebp-8]
004B04AA   . E8 0582F5FF   call    004086B4
004B04AF   . 8D55 E8       lea     edx, dword ptr [ebp-18]
004B04B2   . 8B45 F8       mov     eax, dword ptr [ebp-8]
004B04B5   . E8 2E82F5FF   call    004086E8                         ; strcpy复制序列号
004B04BA   . 8B55 E8       mov     edx, dword ptr [ebp-18]
004B04BD   . 8D45 F8       lea     eax, dword ptr [ebp-8]
004B04C0   . E8 FF3DF5FF   call    004042C4
004B04C5   . 837D FC 00    cmp     dword ptr [ebp-4], 0             ; 用户名是否为空
004B04C9   . 0F84 F4000000 je      004B05C3
004B04CF   . 837D F8 00    cmp     dword ptr [ebp-8], 0             ; 序列号是否为空
004B04D3   . 0F84 EA000000 je      004B05C3
004B04D9   . 8B45 F8       mov     eax, dword ptr [ebp-8]
004B04DC   . E8 0B40F5FF   call    004044EC                         ; 取序列号长度
004B04E1   . 85C0          test    eax, eax
004B04E3   . 7E 35         jle     short 004B051A
004B04E5   . BA 01000000   mov     edx, 1                           ; ———–判断序列号每一位是不是数字——————-
004B04EA   > 8B4D F8       mov     ecx, dword ptr [ebp-8]
004B04ED   . 0FB64C11 FF   movzx   ecx, byte ptr [ecx+edx-1]        ; 序列号数组
004B04F2   . 83F9 30       cmp     ecx, 30
004B04F5   . 7C 05         jl      short 004B04FC
004B04F7   . 83F9 39       cmp     ecx, 39
004B04FA   . 7E 1A         jle     short 004B0516
004B04FC   > 6A 00         push    0
004B04FE   . 66:8B0D 0C064>mov     cx, word ptr [4B060C]
004B0505   . B2 02         mov     dl, 2
004B0507   . B8 18064B00   mov     eax, 004B0618                    ; invalid register code! please retry!
004B050C   . E8 FB54F8FF   call    00435A0C
004B0511   . E9 AD000000   jmp     004B05C3
004B0516   > 42            inc     edx
004B0517   . 48            dec     eax
004B0518   .^ 75 D0         jnz     short 004B04EA                   ; ———————————————-
004B051A   > 33F6          xor     esi, esi
004B051C   . 8B45 FC       mov     eax, dword ptr [ebp-4]
004B051F   . E8 C83FF5FF   call    004044EC                         ; 取用户名长度
004B0524   . 85C0          test    eax, eax
004B0526   . 7E 13         jle     short 004B053B
004B0528   . BB 01000000   mov     ebx, 1                           ; ———-用户名ASC求和——————-
004B052D   > 8B55 FC       mov     edx, dword ptr [ebp-4]
004B0530   . 0FB6541A FF   movzx   edx, byte ptr [edx+ebx-1]
004B0535   . 03F2          add     esi, edx
004B0537   . 43            inc     ebx
004B0538   . 48            dec     eax
004B0539   .^ 75 F2         jnz     short 004B052D                   ; ———————————————
004B053B   > 69C6 90B70B00 imul    eax, esi, 0BB790                 ; (用户名ASC和*0×0bb790+0×314)/2
004B0541   . 05 14030000   add     eax, 314
004B0546   . D1F8          sar     eax, 1
004B0548   . 79 03         jns     short 004B054D
004B054A   . 83D0 00       adc     eax, 0
004B054D   > 8BF0          mov     esi, eax
004B054F   . 8B45 F8       mov     eax, dword ptr [ebp-8]
004B0552   . E8 B183F5FF   call    00408908                         ; 序列号转换成十进制数
004B0557   . 3BF0          cmp     esi, eax
004B0559   . 75 53         jnz     short 004B05AE
004B055B   . 6A 00         push    0
004B055D   . 66:8B0D 0C064>mov     cx, word ptr [4B060C]
004B0564   . B2 02         mov     dl, 2
004B0566   . B8 48064B00   mov     eax, 004B0648                    ; congratuation! you have successfully registered!
004B056B   . E8 9C54F8FF   call    00435A0C
004B0570   . A1 9C5E4B00   mov     eax, dword ptr [4B5E9C]
004B0575   . C600 01       mov     byte ptr [eax], 1
004B0578   . A1 945F4B00   mov     eax, dword ptr [4B5F94]
004B057D   . 8B00          mov     eax, dword ptr [eax]
004B057F   . 33C9          xor     ecx, ecx
004B0581   . BA 04000000   mov     edx, 4
004B0586   . 8B18          mov     ebx, dword ptr [eax]
004B0588   . FF53 14       call    dword ptr [ebx+14]
004B058B   . 8B15 9C5E4B00 mov     edx, dword ptr [4B5E9C]          ; EZ_VIDEO.004B7DAC
004B0591   . A1 945F4B00   mov     eax, dword ptr [4B5F94]
004B0596   . 8B00          mov     eax, dword ptr [eax]
004B0598   . B9 01000000   mov     ecx, 1
004B059D   . E8 A2E3F6FF   call    0041E944
004B05A2   . A1 947D4B00   mov     eax, dword ptr [4B7D94]
004B05A7   . E8 2C06FDFF   call    00480BD8
004B05AC   . EB 15         jmp     short 004B05C3
004B05AE   > 6A 00         push    0
004B05B0   . 66:8B0D 0C064>mov     cx, word ptr [4B060C]
004B05B7   . B2 02         mov     dl, 2
004B05B9   . B8 18064B00   mov     eax, 004B0618                    ; invalid register code! please retry!
004B05BE   . E8 4954F8FF   call    00435A0C
004B05C3   > 33C0          xor     eax, eax
004B05C5   . 5A            pop     edx
004B05C6   . 59            pop     ecx
004B05C7   . 59            pop     ecx
004B05C8   . 64:8910       mov     dword ptr fs:[eax], edx
004B05CB   . 68 05064B00   push    004B0605
004B05D0   > 8D45 E8       lea     eax, dword ptr [ebp-18]
004B05D3   . E8 543CF5FF   call    0040422C
004B05D8   . 8D45 EC       lea     eax, dword ptr [ebp-14]
004B05DB   . E8 4C3CF5FF   call    0040422C
004B05E0   . 8D45 F0       lea     eax, dword ptr [ebp-10]
004B05E3   . E8 443CF5FF   call    0040422C
004B05E8   . 8D45 F4       lea     eax, dword ptr [ebp-C]
004B05EB   . E8 3C3CF5FF   call    0040422C
004B05F0   . 8D45 F8       lea     eax, dword ptr [ebp-8]
004B05F3   . BA 02000000   mov     edx, 2
004B05F8   . E8 533CF5FF   call    00404250
004B05FD   . C3            retn
004B05FE   .^ E9 8935F5FF   jmp     00403B8C
004B0603   .^ EB CB         jmp     short 004B05D0
004B0605   . 5F            pop     edi
004B0606   . 5E            pop     esi
004B0607   . 5B            pop     ebx
004B0608   . 8BE5          mov     esp, ebp
004B060A   . 5D            pop     ebp
004B060B   . C3            retn

用户名用数组存放，是给定的，只要满足：

序列号=(用户名ASC和*0×0bb790+0×314)/2

就可以注册成功

用户名和注册码如下：

用户名:                                               序列号:
VqhfwqY-VI3fg486                     517556906
Perf7gJ-T8ydwt86                       529843114
tawer98-SYrw3w76                    533298610
TqervDR-S1e2feP6                      516405074
OafegD6-LVrs5eU1                      509878026
Taqevq9-S7el9qT1                       529075226
rdgtrp6-ZV1m8ynN                     559406802
BqredCw-VQvWVdB1                 536754106
BsdewfA-VKmVBaB1                   517172962
BMertyD-VAwkEBKB                   522548178
Ouijnsr-AKzO0u47                      539057770
Oftyuf8-KO109vf1                        504886754
iknfEML-VKdiMPO1                     515253242
Ipdwwa6-VEJ6yvU1                   527923394
IgvcdJT-BBYsrYX1                     526771562
DawqaUl-tqeLwlV1                     575916394
SsegbT6-DVlrmf99                      531378890
erswqwS-AKfnlp41                      569005402
SweNrvQ-TTdtgjN1                    560174690
gaeuprE-MIrgbnN3                   561326522
ZsfdeS6-M9ofvpN3                     535986218

加密解密中的一个crackme分析

零度x — Tue, 05 Jan 2010 13:13:03 +0000

最近在看加密解密，看到了第五章序列号保护方式的crackme，分析了一下。

在输入用户名和序列号的地方随便输入，弹出错误对话框。

用lordPE查看输入表发现user32模块中有GetDlgItemTextA，直接OD加载对其下断，运行回到程序领空：

004012B5 |. 6A 0B         |push    0B                              ; /Count = B (11.)
004012B7 |. 68 8E214000   |push    0040218E                        ; |Buffer = serial.0040218E
004012BC |. 68 E8030000   |push    3E8                             ; |ControlID = 3E8 (1000.)
004012C1 |. FF75 08       |push    dword ptr [ebp+8]               ; |hWnd
004012C4 |. E8 07020000   |call       ; \GetDlgItemTextA    得到用户名

004012C9 |. 83F8 01       |cmp     eax, 1                          ; 判断得到用户名是否为空
004012CC |. C745 10 EB030>|mov     dword ptr [ebp+10], 3EB
004012D3 |.^ 72 CC         \jb      short 004012A1
004012D5 |. 6A 0B         push    0B                               ; /Count = B (11.)
004012D7 |. 68 7E214000   push    0040217E                         ; |Buffer = serial.0040217E
004012DC |. 68 E9030000   push    3E9                              ; |ControlID = 3E9 (1001.)
004012E1 |. FF75 08       push    dword ptr [ebp+8]                ; |hWnd
004012E4 |. E8 E7010000   call        ; \GetDlgItemTextA    得到序列号
004012E9 |. B8 01000000   mov     eax, 1
004012EE |. EB 07         jmp     short 004012F7
004012F0 |> B8 00000000   mov     eax, 0
004012F5 |.^ EB 8D         jmp     short 00401284
004012F7 |> 50            push    eax                              ; /Result
004012F8 |. FF75 08       push    dword ptr [ebp+8]                ; |hWnd
004012FB |. E8 B2010000   call              ; \EndDialog    关闭输入对话框
00401300 |. B8 01000000   mov     eax, 1
00401305 \.^ E9 7AFFFFFF   jmp     00401284

继续跟来到这里

00401228   . 68 8E214000   push    0040218E                         ; ASCII “lingdux”
0040122D   . E8 4C010000   call    0040137E                         ; 用户名算法call
00401232   . 50            push    eax                              ; 保存用户名加密后的值
00401233   . 68 7E214000   push    0040217E                         ; ASCII “123456″
00401238   . E8 9B010000   call    004013D8                         ; 序列号的算法call
0040123D   . 83C4 04       add     esp, 4
00401240   . 58            pop     eax                              ; 从堆栈中取出之前保存的用户名加密后的结果
00401241   . 3BC3          cmp     eax, ebx                         ; 序列号算完保存在ebx中，与用户名比较
00401243   . 74 07         je      short 0040124C

nop掉这处je就可以爆破了，然后分析两个算法call

第一个call 0040137E是加密用户名的，跟进去分析。。

004013D2 /$ 2C 20         sub     al, 20                  ; 小写字母asc值加0×20就是对应的大写
004013D4 |. 8806          mov     byte ptr [esi], al
004013D6 \. C3            retn

用户名中不能有数字，小写字母均转换成大写并所有字母的数值加和与0×5678异或得出的值用来做比较

下面分析序列号加密。。

序列号的加密方法就是：把输入的字符串转换成一个数然后和0×1324异或

由于异或是可逆的，非常容易写出算法注册机。

char name[256];
cin>>name;
CharUpper(name);
int s=0;
int i=0;
while(name[i])
{
s+=name[i];
i++;
}
s^=0×5678;
s^=0×1234;
cout<

上面代码编译执行，输入用户名就输出序列号了～！～