YuSec's blog 👋🏼

160个CrackMe-02 Start 整体生成的Serial算法比较简单，取输入Name的长度，乘固定值0x17CFB放到EDI中，然后调用rtcAnsiValueBstr取Name第一个字符的ASCII码加进EDI中，最后将EDI的值转成字符 最终对输入的Serial和计算得到的Serial进行比较： 很明显，Serial是错的，所以到这里跳转会实现，最终弹出You Get Wrong: 那么爆破的思路就是把je用nop填充或者将je改成jne就可以了，这里不再做演示。 0x03 编写注册机 由上面的分析可以得到Serial的算法：ord(Name[0]) + len(Name) * 0x17CFB 这里可以加大序列号的随机范围，所以可以将Name的长度范围设为4, 10 1random.sample(string.ascii_letters + string.digits, random.randint(4,10)) 整体框架与CrackMe01没啥区别： crackeMe02.py: 1# -*- coding: utf-8 -*- 2 3# Form ....

Start 0x01 简要 查壳： 该程序中的用到的dll是MSVBVM50.dll，所以可以大概判断是VB5.0 一打开可以看到会先跳出这个界面： 然后才加载出主界面： 随便输入点东西提示： 这里大概比CrackMe02多了个弹窗，并且错误提示也不一样了，失败一次之后直接退出程序，这里的任务就是先把弹窗去掉，然后再写出注册机 0x02 去除弹窗 关于VB去除弹窗的有两种方法，一个是关于时间的，这里打开之后的Neg持续时间很长，那么就可以修改时间为0达到效果，另一个就是用4C法 参考：https://www.cnblogs.com/zpchcbd/p/12080968.html 对于VB而言，会通过FormGUI表中Flag1的值决定窗体执行的先后 载入OD后的OEP，压入的值就是指向VBHeader的位置，直接跟随数据窗口： 此时0x4067D4指向的就是VBHeader： VBHeader的结构定义： 1Signature    BYTE[4]  //00H签名，必须为VB5！ 2Flag1    WORD //04....

160CrackMe-04 查壳： 拖进OD： 典型的Delphi程序，运行一下试试，可以看到有一个大的框，按了没啥反应 0x01 整体流程分析 拖进IDA： 定位该字符串： 既然是Delphi的程序，用Darkde4反编译试试： 双击TForm1： 可以看到运行程序中间的位置是一个大按钮，该按钮存在两个事件： Panel1Click Panel1DblClick 来到过程，定位这两个事件的RVA： Panel1DblClick -> 0x457E7C Panel1Click -> 0x457FB8 来到FormCreate事件，对于一个Delphi程序的窗口程序，首先会先通过FormCreate创建窗体： 这里都调用了unknown_libname_29函数对字符串进行了处理，这里大概可以知道是将字符串分别复制到a1 + 784和a1 + 788的位置。 0x02 破解注册码 载入OD，定位到上面分析到的两个事件的RVA，下断点，然后输入用户名和注册码，点击中间的按钮，程序成功停在0x457FB8，并且在该函数中存在字符串“恭喜恭喜，注册成功....

CrackMe-001 0x01 程序整体流程： 程序整体流程： 双击运行先弹出该框： 点击确定后出现： 点击Serial/Name: 随便输入： 0x02 定位与爆破 查壳： 载入IDA，查看IDA Signature： 查看字符串： 直接就可以定位到关键位置： 图中可以看到第一个if不满足的时候会跳转到LABEL_4，然后第二个if不满足也会跳到LABEL_4，注册失败的位置，所以这里应该是需要修改两处地方 1if ( sub_406930(dword_43176C) < 4 ) 2    goto LABEL_4; 载入OD，依旧通过字符串定位到关键位置： 跟踪找到关键跳： 第一个JCC指令jge，大于等于4实现跳转，这里直接改成jmp即可， 第二个JCC指令jnz，结果不为0则跳转，这里不为0指的是标志寄存器中的ZF标志位，这里要让跳转不实现。然后需要看一下这个位置是做了什么，前面是调用了一个函数，该函数有两个参数，edx和eax，观察寄存器，可以发现为输入的Serial和真正的Serial进行比较： 那么这里实现爆破的话直接....

API函数调用过程3环 比较重要的3环DLL： Kernel32.dll User32.dll GDI32.dll Ntdll.dll 以ReadProcessMemory为例 对于大部分3环的WinAPI，都只是一个接口， 例如ReadProcessMemory是三环的函数，由kernel32.dll提供，而该函数只是调用了NtReadVirtualMemory 基本上带Nt开头函数，都是由Ntdll.dll提供，而Ntdll.dll是进0环的一个dll，所以在 ntdll中可以发现，mov eax, 3Fh，这里提供了一个编号，通过这个编号，找到对应的函数，进入0环 API函数调用过程 3环进0环 _KUSER_SHARED_DATA 在User层和Kernel层分别定义了一个_KUSER_SHARED_DATA结构区域，用于共享数据 使用固定的地址值进行映射， User层中的地址为0x7FFE0000 Kernel层中的地址为0xFFDF0000 指向的是同一个物理页，但在User层是只读，Kernel层是可写的 进0环需要修改哪些寄存器： CS的权限由3变为0，意味着需....

以下内容皆基于x86 CPU进行学习 x86 CPU 模式 x86 CPU存在3个模式： 实模式 保护模式 虚拟8086模式 目前大多数的PC都运行在保护模式下，保护模式的特点： 通过段页机制，保护系统的一些重要的数据结构 段寄存器 例： 1mov dword ptr ds:[0x123456], eax 真正读写的地址为：ds.base + 0x123456 在x32 dbg中显示的有6个段寄存器： 实际上段寄存器共有8个 1GS FS ES DS CS SS LDTR TR 段寄存器的结构 段寄存器的长度共为96位 其中只有低16位是可见的，剩下的高80位皆为不可见部分 通过上图也可以发现，在x32 dbg中显示的段寄存器有32位，但实际上可见的只有低16位，高16位会显示为0 段寄存器的结构体： 1struct SegMent { 2 WORD Selector; 3 WORD Attributes; 4 DWORD Base; 5 DWORD Limit; 6} 由于可见部分只有16位，故在读取段寄存器的值时也只能读取16位 读的时候是读16位，但是写的时候是写....