初步分析
前两个校验我们已经初步分析过,分别是文件校验以及针对按钮的检测
紧接着我们以同样的方式分析第三个校验 0xF94
![图片[1]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/bade2c801bba08cfb5bff5e245f4e05a3ab60c844d16dff714c5eba8901a536566005af2a0dc1156fb3c4e7a2e608bac?pictype=scale&from=30013&version=3.3.3.3&fname=1%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
搜索常量 0xF94
![图片[2]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/027a19d4630a14ed3a4f79c39e776164a668f230ab8f3830b198decec6027d52eabe71ec4a6813419a42db4dce567db6?pictype=scale&from=30013&version=3.3.3.3&fname=2.png&size=750)
发现核心的赋值存在于鼠标移动的函数
![图片[3]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/7222bee7a26d08cba8b1796b571dbaf3511ec6fda205a44721358d19abbaf0f1dc3bed393cbad824f78521b8ab3849a4?pictype=scale&from=30013&version=3.3.3.3&fname=3%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
![图片[4]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/b86d2d04202a408f543f3827e585535e68d2a96e4ab0a961fd21728d6082cb2830be98c804013b0a85d591918d7e1da7?pictype=scale&from=30013&version=3.3.3.3&fname=4%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
同时通过分析我们发现,如果 0xF94 能成立,前面的判断必须能够成立
if ( *(*(a1 + 0x2E0) + 0x47) == 1 && a4 > 0xE2 && a5 > 0x12C )
*(a1 + 0x310) = 0x10; // 核心的赋值![图片[5]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/c841d527434a911a0ac83f8a60af47bec9b924bae2df0c1063cfeb66151e7b6f338db4b5eb01ad34c5f86495ae4b42fe?pictype=scale&from=30013&version=3.3.3.3&fname=5%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
进一步分析
我们可以明显看到 a1 + 0x2E0,还有 a1+ 0x2DC
根据以往的经验,我们猜测,它们可能是控件
通过 DarkDe4 工具,我们印证了这一猜想
Image2 的 ID 就是 0x2DC
Image3 的 ID 就是 0x2E0
![图片[6]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/5a31cd77bf09b66e1fb56d0a23127592b06bcf446bdb158acf3c4ba6ae75e817ef41890e79c9077a3af45a09ccf5e46a?pictype=scale&from=30013&version=3.3.3.3&fname=6%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
图片观察
通过观察,我们发现该程序有 4 张图片
人之初
![图片[7]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/1d16cd5ee63fb93d0fcb3f3a1f63734f83ae9d033a51e50e50bb1b47f36e542623d7e67d813e4baacc3ed07e8d54b55c?pictype=scale&from=30013&version=3.3.3.3&fname=7%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
性本善
![图片[8]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/efeb82d5718580b9247573804ceec90a9d87fd6e54ad09d639b594b982e1be68780b69e4a1c9869dcaed8f2c6e990bc0?pictype=scale&from=30013&version=3.3.3.3&fname=8%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
性相近
![图片[9]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/a8a2c067f0ca3681217d2a93b95970514fba3eaaaf408228fa75f22e13c80b7f76e3bdfc376f34673fc2059fc41ab2b4?pictype=scale&from=30013&version=3.3.3.3&fname=9%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
习相远
![图片[10]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/68effa1b9154611a10ce0845f00093298fc88b219dea96c4d6789d2c0f8837861dec7a00783a32f5a709e1f1feca4563?pictype=scale&from=30013&version=3.3.3.3&fname=10%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
调试分析 – 图片 ID
通过对关键地址下断,我们发现当性相近图片出现时,Image3 对象+0x47 值为 1
此时满足*(*(a1 + 0x2E0) + 0x47) == 1
所以 ID 是0x2E0 的Image3 的图片 就是 性相近
![图片[11]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/fef91ffb4ea06793a63d1c0bacd0b98f6b8c90a9f80a45145606e4d7efca06fe731f8148ee5e9397abb73f97c0959313?pictype=scale&from=30013&version=3.3.3.3&fname=11%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
分析剩余两次校验
该函数是鼠标移动的函数,那么我们是否可以推测 a4 以及 a5 与鼠标的坐标有关
推测要求:
鼠标 x 坐标 > 226
鼠标 y 坐标 > 300
![图片[12]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/d6a02db99ae47fd5497b46ec81b9d8ac82c8b30106504264a8fc99a1287cd3cff3965704b0dc4299fb26f5b73c198f28?pictype=scale&from=30013&version=3.3.3.3&fname=12%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
程序窗口的整个大小为 x:276,y:355
![图片[13]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/7d53bf9404443710d9b4c8dccbe0abf3c9bd556cfdb81d93c45bae83842aa226504b781aab3b1b81719aee7757122ca6?pictype=scale&from=30013&version=3.3.3.3&fname=13%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
满足二次校验的条件
![图片[14]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/f8193f709b7b9dfa7c236c6d8c59b6044b71eb6d37a3cdd6e43e70ac5cc30ead1bedad5de11fbfcce97592cfbaeb832c?pictype=scale&from=30013&version=3.3.3.3&fname=14.png&size=750)
鼠标 x 坐标 > 226
鼠标 y 坐标 > 300
如果想要满足后面两者,我们的鼠标需要从右下角划入图片
因为我们可以看到大概在 126 的 6 这个地方,鼠标的相对坐标对应 226,300
![图片[15]-52.逆向破解分析实战19:160crackme之005(03):分析三次校验-汇编语言社区论坛-技术社区-学技术网](https://picabstract-preview-ftn.weiyun.com/ftn_pic_abs_v3/9caa9673ea585831bb1b34501d5e95df277b53e5732afa73c5adc60ab63f84f6c52eb47f89403b3527a3f3f44756ba12?pictype=scale&from=30013&version=3.3.3.3&fname=15%E6%B0%B4%E5%8D%B0%E7%89%88.jpg&size=750)
总结过掉三次校验的绕过方法
- 观察
性相近图片出现 - 出现时
鼠标从右下角划入
没有回复内容