逆向程序思维《做题思路》

这个CM做了很久爆破很容易找到注册码也很容易但是读懂算法比较难下面来一步一步的进行分析第一：爆破首先运行程序观察出现的字符串将程序载入OD查找字符串在程序中找到这个的位置这样就可以找到关键的跳转了然后将0040258B7458jeXAfkayas_.004025E5给nop掉第二：找注册码这次是第一次逆向VB写的代码然后开始不知道怎么入手查了一下资料VB中一些常见的断点比较字符串的有bpxmsvbvm50!__vbaStrCmp比较字符串是否相等bpxmsvbvm50!__vbaStrComp比较字符串是否相等bpxmsvbvm50!__vbaVarTstNe比较变量是否不相等bpxmsvbvm50!__vbaVarTstEq比较变量是否相等找到跳转出的那个位置继续向上找我们就会不小心看到这个地方00402533.FF1528414000calldwordptrds:[<&MSVBVM50.__vbaStrCm>;MSVBVM50.__vbaStrCmp然后在这里下断点然后重新载入然后运行然后F8观察堆栈你就可以看到注册码了第三：读算法读算法是最难的了找了好久各种跟各种坑不过学到很多东西下面开始读算法最开始我想下消息断点但是失败了不知道是不是自己姿势不对后来学会了一种方法用一个工具VBEXplorer这个工具可以找到按钮的事件的地址然后在OD中找到这个地址开始往下分析0040241D.8B4DE8movecx,dwordptrss:[ebp-0x18]00402420.69FFFB7C0100imuledi,edi,0x17CFB;字符串的长度*17CFB00402426.51pushecx;/String00402427.0F8091020000joAfkayas_.004026BE;|0040242D.FF15F8404000calldwordptrds:[<&MSVBVM50.#516>];\rtcAnsiValueBstr00402433.0FBFD0movsxedx,ax;edx=54=T00402436.03FAaddedi,edx我们观察寄存器中edi的值我们继续走的时候会发现当我们F8下面一个Call的时候注册码就出来了所以这里我们要跟进去注意观察堆栈如果单步步过一个函数出现了注册码那我们就要跟进去然后我们发现了这个我们注意到当前执行到反汇编信息窗口可以看到eax被赋给的值是我们刚刚的edi里面的值然后下面就是一个做除法的一个运算75EFE8BA8B4508moveax,dwordptrss:[ebp+0x8]75EFE8BD33D2xoredx,edx75EFE8BF6A0Apush0xA75EFE8C15Bpopebx75EFE8C2F7F3divebx75EFE8C483C230addedx,0x3075EFE8C766:8911movwordptrds:[ecx],dx75EFE8CA41incecx75EFE8CB41incecx75EFE8CC894508movdwordptrss:[ebp+0x8],eax75EFE8CF85C0testeax,eax75EFE8D1^77E7jaXOLEAUT32.75EFE8BA在下面的就是将的到的余数逆位75EFE8B953pushebx75EFE8BA8B4508moveax,dwordptrss:[ebp+0x8]75EFE8BD33D2xoredx,edx75EFE8BF6A0Apush0xA75EFE8C15Bpopebx75EFE8C2F7F3divebx75EFE8C483C230addedx,0x3075EFE8C766:8911movwordptrds:[ecx],dx75EFE8CA41incecx75EFE8CB41incecx75EFE8CC894508