CrackMe032:UPX脱壳+keyfile+DarkDe+Process Monitor

最新推荐文章于 2025-06-08 09:20:16 发布
最新推荐文章于 2025-06-08 09:20:16 发布
阅读量969 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: CrackMe160思路 文章标签: 安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44531336/article/details/125013671

下面是网上的160个CrackMe的部分逆向笔记,包括逆向思路、注册机实现和逆向中常用的知识整理

注意:逆向前一定要先操作一下软件,熟悉软件的运行现象;逆向一定要自己操作一遍,看是很难看会的(高手除外)

文章目录

提示:这个CrackMe例子适合手动调试一下,因为涉及到了UPX脱壳,keyfile文件,DarkDe工具、Process Monitor、IDA和OD的配合使用;学一下逆向中常用工具的使用场景

1.脱壳+基本分析

在这里插入图片描述

运行程序,只有一个提示框弹出来,显示缺少一个Reg.dat文件,没有其他操作了;查看程序介绍,需要keyFile文件、正确的用户名和序列号

在这里插入图片描述

脱壳

逆向前先了解一下程序的基本信息,PEiD加载后发现有UPX壳,是Delphi编写;直接使用upx -d 文件名原始命令脱壳,脱壳后程序可以正常运行

在这里插入图片描述

DarkDe分析

因为是Delphi程序,所以直接使用DarkDe工具先分析一波

在这里插入图片描述

可以看到程序有3个对话框,看样式可以确定有一个是用户名和密码的校验窗口,因此,先要想办法去掉缺少文件的提示框(这个提示框也可以当成是NAG窗口)

2.KeyFile破解

KeyFile基础知识

一种利用文件来注册软件的保护方式,简单的是检查文件是否存在,复杂一点的就是检查文件里某个值是否符合要求或者文件相关属性是否正确等等

常用函数

FindFisrtFileA					//基本上是用来遍历,检查文件是否存在时调用
CreateFileA、_lopen			   //确定文件是否存在,这个在逆向程序操作文件中非常重要的函数
GetFileSize、GetFileAttribute   //获取文件大小,属性等函数在逆向KeyFile时也要十分注意
SetFilePointer、ReadFile		   //移动文件指针、读取文件内容

破解KeyFile的常用方法

  • 1.使用Process Monitor等工具监视对文件的操作,主要关注对KeyFile文件名的操作

  • 2.在相应路径伪造一个KeyFile文件;如果需要的话,用16进制工具编辑KeyFile文件

  • 3.给CreateFileA设置断点,查看文件名指针和返回的句柄;给ReadFileA设置断点,分析是怎么操作的文件;这步最好结合IDA一起进行分析

    提示:步骤3非必须,当要检查KeyFile文件里的内容时才需要

破解本程序

既然是缺少文件,那么程序启动的某个时刻一定会检查文件是否存在;常规的针对错误框中错误字符串的方法就不用了

直接使用Process Monitor监控被逆向程序,设置好过滤项:

  • 1.进程名是crackme.2.exe

  • 2.路径中包含Reg.dat
    在这里插入图片描述

设置好过滤后,启动程序,过滤结果如下:

最低0.47元/天 解锁文章

200万优质内容无限畅学
CrackMe034:Process Monitor逆向keyfile一篇就够了
可乐松子的博客
05-30 544
文章目录1.程序基本信息2.KeyFile文件是否存在?3.算法分析4.示例验证5.注册机6.参考 1.程序基本信息 CrackMe033和CrackMe034都是《使用OllyDbg从零开始Cracking》第九章的案例 程序运行就是一个简单的界面,没有注册按钮;如果不是事先知道这个程序是需要KeyFile文件,一定会一脸懵逼 这也提醒自己,下次遇到类似的情况,一定要多一个思路,想一想程序是不是需要KeyFile文件(其实很多商用程序都需要配置文件的) 2.KeyFile文件是否存在? 首先想到用Pro
CrackMe004:Darkde工具+.MAP辅助OD调试
可乐松子的博客
05-21 1086
下面是网上的160个CrackMe的部分逆向笔记,包括逆向思路、注册机实现和逆向中常用的知识整理 注意:逆向前一定要先操作一下软件,熟悉软件的运行现象;逆向一定要自己操作一遍,看是很难看会的(高手除外) CrackMe004:Darkde工具和.MAP文件 CrackMe004和CrackMe005是同一个作者用Delphi写的小程序;由于平时逆向C++程序多一些,因此CrackMe005就没有逆向 1.现象 程序输入用户名和验证码后,没有提示信息,也没有验证按钮弹出,此时CrackMe001的关键字
UPX自动脱壳工具(2019测试成功)
04-09
UPX自动脱壳工具(2019测试成功),全自动脱壳,对于不会用OD的朋友,非常有用。
upx脱壳教程(简单易学,附安装包)
2303_80796023的博客
03-29 8999
很简单的upx脱壳教程
Free UPX 脱壳工具:轻松优化可执行文件
最新发布
weixin_32324637的博客
06-08 1539
UPX(Ultimate Packer for eXecutables)是一款广泛使用的可执行文件压缩工具,旨在减小Windows、Linux、Mac OS X等系统的32位和64位可执行文件的大小。它通过压缩程序代码、数据以及资源,能够在不损害程序功能的前提下,实现对执行文件的高效压缩。Free UPX的图形用户界面(GUI)设计直观易用,对于习惯于图形操作环境的用户来说,是一个非常受欢迎的功能。GUI的布局分为几个主要区域,包括菜单栏、工具栏、状态栏、以及最重要的工作区域。在菜单栏。
Process Monitor源代码
06-14
c++语言编译的进程监控 含有技术有 钩子技术 内核函数
特别好用的UPX脱壳工具
07-20
UPX脱壳工具,好用界面友好
upx命令行脱壳
m0_74148881的博客
07-28 3188
try upx.exe -d
linux 软件脱壳机,关于UPX脱壳后程序无法运行
weixin_29164497的博客
05-06 2182
如何实现upx脱壳(请详细说明步骤和软件)?upx 关于脱壳的命令格式如下:upx -d 要脱壳的文件如:UPX -d 132.EXEpEID 里有个通用脱壳机,可以试试而且手工找入口点也是很简单的找pushad对应的Popad,在popad旁的跳转命令就是跳到文件的原入口点了啊D壳UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Marku...
upx3.94手动脱壳
海阔天空
07-15 5260
工具: 吾爱破解论坛Ollydbg ImportREConstructor upx3.94下载地址:https://github.com/upx/upx/releases/download/v3.94/upx394w.zip 环境:XP(还是XP下方便,win7有ASRL干扰,ImportREConstructor识别的基地址不对) 自己写了一个很简单的程序,用upx加壳,使用ESP定...
UPX脱壳源码探寻-待发表
KD的疯狂实验室
08-19 3062
一些小实验,未整理完成
upx(脱壳工具)
10-29
upx(脱壳工具)
ProcessMonitor:简单的程序化 Windows 进程监视器
06-20
进程监视器 简单的程序化 Windows 进程监视器。 它能够: 获取有关进程的基本信息 进程关闭后自动重启 获取进程命令行参数 日志信息 订阅流程事件(关闭、崩溃、启动)
Process Monitor
04-11
Process Monitor 监控系统所有的一切注册表文件进程等。
go_process_monitor
03-03
go_process_monitor
Process Monitor监控
04-16
Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程
手动UPX脱壳演示
qq_41426887的博客
07-03 7168
首先,用PEid打开加壳后的程序CrackmeUPX.exe,可以发现使用的是UPX壳。UPX壳是一种比较简单的压缩壳,只需要根据堆栈和寄存器的值进行调试,就能找到程序的正确入口点。当然,如果不怕麻烦的话,也可以全程单步调试,直到出现像正常程序的入口点一样特征的代码,这样就找到了入口点。 用我爱破解版ollydbg打开CrackmeUPX.exe,可以看到第一条指令是pushad,这显...
upx脱壳(最简单方法之一)
2301_80820096的博客
04-13 4478
发现刚开始又四个push,把四个寄存器压入栈中,相当于pushed,为了使栈平衡,对应的应该有4个pop或一个poped(这一段入栈出栈操作就是壳的程序)根据入栈出栈为相反动作,直接搜索(ctrl+f)关键指令 pop rbp。首先运行到程序入口,执行push命令,发现esp(栈顶在变化)再次拖入ida中,发现出现main函数进一步分析即可。找到pop后真正的oep也就在紧接着的jmp指令中。可看到这就是程序真正的入口点(在此处进行脱壳即可)首先拖入到od中,找到程序的入口点。首先使用快速脱壳的方法。
【免费下载】 UPX自动脱壳工具(2019测试成功)
gitblog_09798的博客
10-17 1339
UPX自动脱壳工具(2019测试成功) 【下载地址】UPX自动脱壳工具2019测试成功 UPX自动脱壳工具是一款专为逆向工程爱好者和安全研究人员设计的辅助工具。该工具针对使用了UPX加壳的可执行文件进行了特别优化,实现了自动化脱壳处理流程。在2019年的测试环境中已验证其有效性和稳定性,尤其适合那些对使用OllyDbg(...
层层防护的CrackMe0051:Delphi壳与深度分析揭秘
"CrackMe0051 是一款由某位作者设计的多层次、高强度的密码保护软件或插件,其主要功能是测试用户的逆向工程技能和破解能力。在这款CrackMe中,作者设置了多达六层的防护机制,每层都需要通过特定的交互和逻辑分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值