C源码级混乱的 CrackMe 调试过程.docVIP

C源码级混乱的 CrackMe 调试过程 C源码级混乱的 CrackMe 调试过程 标 题: C源码级混乱的 CrackMe 作 者: vcasm 时 间: 2005-03-19 22:19 附 件: crackme.rar 链 接: /showthread.php?t=12217 详细信息: C源码级混乱的 CrackMe，大家尝试一下破解 级别 : 未知 任务 : 找出一个给自己用的序号 条件 : 不限 信息 : VC 6 写的 exe，没有加壳，没有修改 IAT 标 题: C源码级混乱的 CrackMe 调试过程 作 者: csjwaman 时 间: 2005-03-27 23:08 链 接: /showthread.php?t=12449 详细信息: C源码级混乱的 CrackMe 调试过程 　　　　　日期：2005年3月27日　　　调试人：csjwaman[DFCG] ——————————————————————————————————————————— 【软件名称】：C源码级混乱的 CrackMe　 【下载地址】：/showthread.php?s=threadid=12217 【调试声明】：初学Crack，只是感兴趣，没有其它目的。失误之处敬请诸位大侠赐教！ 【操作系统】：winxp　sp1 【调试工具】：OD 【调试过程】： 　　这个CrackMe 是vcasm的，据称是“算法特别简单，不过可能源码不好跟踪”。到底是不是不好跟踪，我们来试试。 　　 　　用OD载入后，忽略所有异常：/$ 55 push ebp////载入后停在这里。 |. 8BEC mov ebp,esp |. 6A FF push -1 68 push 403408 0040271A 68 push 402896 ; SE handler installation 0040271F 64:A1 0000000mov eax,dword ptr fs:[0] 50 push eax 64:8925 00000mov dword ptr fs:[0],esp F9运行，出现注册界面，输入用户名和验证码，点“注册”居然异常在： 56 db 56 ; CHAR V 57 db 57 ; CHAR W 8B db 8B 0040164A F9 db F9 0040164B CC int3////异常在这里!（把这里NOP掉是不行的，见后面分析。） 0040164C 9D db 9D 0040164D 42 db 42 ; CHAR B 0040164E 48 db 48 ; CHAR H 0040164F 2A db 2A ; CHAR * 　　异常后程序自动退出。往下看看发现有不少类似的代码！看来是CREACKME发现被跟踪了。那么程序是如何发现被跟踪的呢？我们一起来分析一下吧！ 　　重新用OD载入后，忽略所有异常：/$ 55 push ebp////入口处。 |. 8BEC mov ebp,esp |. 6A FF push -1 68 push 403408 0040271A 68 push 402896////SE handler 到402896处F2下断，不然程序跑飞！installation 0040