本文主要是介绍x32dbg动态调试--字符串搜索修补程序,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
观察程序
-
使用Detect It Easy检测目标程序为PE32
-
运行程序可以看到:程序有三个按钮:Serial/Name、Exit、Serial。我们先做“Serial”
-
Nag提示框
-
到达下图的界面后我们随便输入“987654321”这个时候有个弹框显示“Try Again!!”。所以这里的Try Again!!”就是我们需要搜索的关键字符串
-
IDA Pro载入目标程序可以搜索到上述字符串
分析过程
- 当我们把一个程序拖入到x64dbg中我们就可以看到下图的界面。这个时候我们需要注意的是它并不是在要调试程序的模块内
- 按F9运行直到显示下图的界面才真正进入目标程序内部,鼠标右键,再依次点击“搜索——>当前模块——>字符串”
修补程序:去掉Nag提示框
- 搜索nag提示框中的字符串
- 双击上图中的字符串跳转到地址空间处,并在0x42F797处设置软件断点
- 按F7单步步入“acid burn.42A170”函数空间内部,找到并将光标选择“call 0x004057A8(call <JMP.&MessageBoxA>)”所在行,鼠标右键选择“汇编”命令(或快捷键Space),填写
nop,再勾选“保持大小”和“剩余字节以NOP填充”两个选项,再点击“确定”即可。
- 鼠标右键选择“补丁”命令(或快捷键Ctrl+P),点击“修补文件”,填写文件名,最后点击“保存”即可。
第一关Serial
- 在下方的搜索框搜索
try字符串,x32dbg会自动筛选出所有类似的字符串。但是我们可以看到这里有三个字符串供我们选择
- 不知道具体是哪个字符串时,我们只需要给满足条件的字符串下断点就可以了,鼠标右键——>在所有命令上设置断点
- 按F9继续运行,接着在程序的文本框中输入“987654321”,点击“check it baby”按钮。程序会在下图的位置暂停下来。这个时候通过分析汇编代码,我们可以知道在“0x0042F4D0”这个函数为关键函数。
- 重新运行程序后,我们可以看到一个是我们输入的字符串,另一个是未知字符串而这个未知的字符串很有可能是“Serial”
- 再次重新运行并输入“Hello Dude!”,这个时候程序判断成功,执行“God Job dude!!”
第二关Serial/Name
- 重新运行程序,点击“Serial/Name”按钮,之后我们在名字部分输入“redbright”,注册码部分输入“9999999999”。之后运行程序,会在下图的位置断下。通过分析我们可以知道“0x0042FAFE”处调用比较函数
- 最后我们尝试输入“CW-9348-CRACKED”这个时候程序执行成功
算法破解
20 Serial中“CW-9348-CRACKED”中9348的计算方法:取Name第一个字母对应的ASCII值,比如说“redbright”中第一个字符r对应数字0x72,然后用它乘以0x29,结果再x2,将16进制数字转为10进制的字符串便是9348,然后再在前加上CW-,后加上-CRACKED,就组成了用户名对应的注册码
参考文献
- x64dbg入门系列(二)-搜索字符串
这篇关于x32dbg动态调试--字符串搜索修补程序的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
