AfkayAs.1

2022-01-23

蜡树银山炫皎光，朔风独啸静三江。

1. 信息收集

拿到我们的crackme后先查壳，无壳，VB写的，PE结构，32位

查壳后没有什么特殊的信息，接下来打开我们的crackme，跑一下，看看这个crackme是做什么的

一个经典的Serial/Name结构，随机输入aaa/bbb，提示报错Try Again

2. 分析过程

2.1 程序爆破

这个程序和我们以前看到的还略有不同，搜索ASCII搜索不到字符，需要搜索UNICODE

搜索到字符串后，随意选中一个，进入到我们的函数块中。然后拉到最上面函数的起始处下断

运行，输入Name/Serial，点击OK，程序成功断在这里

一路F8向下，可以看到在00402415 0040242D两处分别调用了vbLenBstr rtcAnsiValueBstr函数来计算Name长度，并取出Name[0]的ASCII值

继续往下，看到在经过0040243F处的call函数后，返回了一串数字292690。经过后续分析并不是在这个call函数里面计算的，计算过程在上面就已经结束了，这个我们后面在看。

猜测上面获得的数字和我们的key值有关，但是还是猜测，所以继续F8往下看

经过00402523处的call函数后，将一个字符串AKA-和我们上面获得的数字拼接在了一起。这下是key值的可能性更大了，但是不急，我们继续往下看

继续往下，我们看到了一个关键跳转je short Afkayas_.004025E5，在跳转的下面还有You Get It一类的字样。由此判断这里就是我们可以爆破的地方。nop掉这个跳转后，程序提示破解成功。

2.2 算法分析

当然，我们的目的并不是爆破掉这个crackme，我们需要的是它的算法流程。因此我们重新来过，回到我们上面提到的地方。

004023EB   .  8B03          mov eax,dword ptr ds:[ebx]               ;  MSVBVM50.740E5A95
004023ED   .  FF90 A0000000 call dword ptr ds:[eax+0xA0]             ;  获取账户
004023F3   .  3BC7          cmp eax,edi
004023F5   .  7D 12         jge short Afkayas_.00402409
004023F7   .  68 A0000000   push 0xA0
004023FC   .  68 5C1B4000   push Afkayas_.00401B5C
00402401   .  53            push ebx
00402402   .  50            push eax
00402403   .  FF15 04414000 call dword ptr ds:[<&MSVBVM50.__vbaHresu>;  MSVBVM50.__vbaHresultCheckObj
00402409   >  8B95 50FFFFFF mov edx,dword ptr ss:[ebp-0xB0]
0040240F   .  8B45 E4       mov eax,dword ptr ss:[ebp-0x1C]          ;  vbaLenBstr 获取 账户的长度，eax返回长度
00402412   .  50            push eax                                 ; /String = 00000003 ???
00402413   .  8B1A          mov ebx,dword ptr ds:[edx]               ; |
00402415   .  FF15 E4404000 call dword ptr ds:[<&MSVBVM50.__vbaLenBs>; \__vbaLenBstr
0040241B   .  8BF8          mov edi,eax                              ;  账户长度存储在EDI中
0040241D   .  8B4D E8       mov ecx,dword ptr ss:[ebp-0x18]
00402420   .  69FF FB7C0100 imul edi,edi,0x17CFB                     ;  将账户长度 * 0x17CFB
00402426   .  51            push ecx                                 ; /String = "a"
00402427   .  0F80 91020000 jo Afkayas_.004026BE                     ; |
0040242D   .  FF15 F8404000 call dword ptr ds:[<&MSVBVM50.#rtcAnsiVa>; \rtcAnsiValueBstr
00402433   .  0FBFD0        movsx edx,ax                             ;  返回账户的第一个字符的ASCII
00402436   .  03FA          add edi,edx                              ;  返回的字符ASCII与账户长度 * 0x17CFB相加
00402438   .  0F80 80020000 jo Afkayas_.004026BE
0040243E   .  57            push edi
0040243F   .  FF15 E0404000 call dword ptr ds:[<&MSVBVM50.__vbaStrI4>;  MSVBVM50.__vbaStrI4
00402445   .  8BD0          mov edx,eax                              ;  返回计算出的key

经过我们的分析，可以得到这个crackme的算法就是，取我们Name的Len，乘0x17CFB，然后去Name[0]的ASCII值，与上一步的计算结果相加

1	Len[Name] * 0x17CFB + Name[0]

3. 注册机

#include <stdio.h>
#include <string.h>
int main()
{
	printf("Input Name: \r\n");
	char buff[100];
	gets(buff);
	int nLen = strlen(buff);
	if(nLen > 0){
		int nRet = nLen * 0x17CFB;
		nRet += buff[0];
		printf("AKA-%d\r\n",nRet);
	}else{
		printf("Input error!\r\n");
	}
	return 0;
}

本文作者： foxcookie
发布时间： 2022-01-23
最后更新： 2023-07-21
本文标题： AfkayAs.1
本文链接： https://foxcookie.github.io/2022/01/23/AfkayAs-1/
版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处！