首页 > 其他分享 >3、AfKayAs.2

3、AfKayAs.2

时间:2024-12-19 20:03:07浏览次数:3  
标签:AfKayAs.2 mov ds st eax dword ptr

3、AfKayAs.2

1、简述

操作系统: Windows(95)[I386, 32 位, GUI]

编译器: Microsoft Visual Basic(5.0)

语言: VB

2、初探

  1. 打开后会有一个七秒左右的弹窗。这个东西对我们的能力提升没有什么帮助,所以我们直接选择第二个吧

我们这里直接使用AfKayAs.2_pack.Exe​ 这个来调试把。

打开后也是和之前一样。用户名密码所生产的,所以这里我们就直接开始 操作

3、定位爆破跳转点

00408674   | 8945 B4    | mov dword ptr ss:[ebp-4C],eax                    |
00408677   | 74 62      | je afkayas.2_pack.4086DB                         |
00408679   | 8B35 14B14 | mov esi,dword ptr ds:[<&__vbaStrCat>]            |
0040867F   | 68 C06F400 | push afkayas.2_pack.406FC0                       | 406FC0:L"You Get It"
00408684   | 68 DC6F400 | push afkayas.2_pack.406FDC                       | 406FDC:L"\r\n"
00408689   | FFD6       | call esi                                         |
0040868B   | 8BD0       | mov edx,eax                                      |
0040868D   | 8D4D E8    | lea ecx,dword ptr ss:[ebp-18]                    |
00408690   | FF15 94B14 | call dword ptr ds:[<&__vbaStrMove>]              |
00408696   | 50         | push eax                                         |
00408697   | 68 E86F400 | push afkayas.2_pack.406FE8                       | 406FE8:L"KeyGen It Now"

其实这个je就是关键点,思路有两个,

一个是改成相反的,一个是直接nop掉。,注意nop占一个字节,所以要nop两个

爆破就完成了。

4、分析算法

①、定位密码注册码生成部分汇编

这里定位有个巧妙的方法,就是 无脑调试,然后寻找我们的用户名,什么时候在堆栈中出现,因为我们就算是用指针,一般指针也在栈区,这时候,x32dbg的好处就出来了,他会自动显示字符串根据, 会调几个函数。然后依次打断点即可。

这里就不多说了。

00408194   | 8B03       | mov eax,dword ptr ds:[ebx]                 |
00408196   | FF90 A0000 | call dword ptr ds:[eax+A0]                 |
0040819C   | 3BC7       | cmp eax,edi                                |

这个函数执行结束后出现的用户名。所以这里就可以直接大概确定这个函数是一个读取的函数,进去看一下是不是系统api就知道了。

进入后发现正如我们所猜测,在msvbvm50.dll文件上。

004081EF   | 8B45 E4    | mov eax,dword ptr ss:[ebp-1C]              | 开始各种计算了
004081F2   | 50         | push eax                                   |
004081F3   | 8B1A       | mov ebx,dword ptr ds:[edx]                 |
004081F5   | FF15 F8B04 | call dword ptr ds:[<&__vbaLenBstr>]        |
004081FB   | 8BF8       | mov edi,eax                                |
004081FD   | 8B4D E8    | mov ecx,dword ptr ss:[ebp-18]              | [ebp-18]:L"weiran"
00408200   | 69FF 385B0 | imul edi,edi,15B38                         |
00408206   | 51         | push ecx                                   | ecx:L"weiran"

还原为

len(username) * 0x15b38 = 00082350

下一个

0040820D   | FF15 0CB14 | call dword ptr ds:[<&rtcAnsiValueBstr>]    |
00408213   | 0FBFD0     | movsx edx,ax                               | edx:L"eiran"
00408216   | 03FA       | add edi,edx                                | edx:L"eiran

这个函数是提取出来第一个,的大小。,放ax中。并加上上面的结果

int(username[0]) + len(username) * 0x15b38 = 00082350 + number = 000823C7

后面username都用weiran 吧 要不然太难受了。

0040821E   | 57         | push edi                                   |
0040821F   | FF15 F4B04 | call dword ptr ds:[<&__vbaStrI4>]          |
00408225   | 8BD0       | mov edx,eax                                | eax:L"533447"

把上面的结果转为十进制

也就是

000823C7  转换成十进制 0045A964

再往后看有几个浮点数的计算

004082E9   | FF15 74B14 | call dword ptr ds:[<&__vbaR8Str>]         |
004082EF   | D905 08104 | fld st(0),dword ptr ds:[401008]           |

这两个有点意思哦。

先是把参数的值转换成浮点数,如何往st(0)的位置写入 401008 位置的值,也就是10.0

这时候1 2 3位置的依次都向后移动。这里类似于一个固定大小的队列。

004082FE   | D835 0C104 | fdiv st(0),dword ptr ds:[40100C]          |

这里有一个运算 0x40100c位置的值是40a000000 这个值是5.0 所以,绥中st(0)位置的值是2.0

这里就可以说了。我觉得我编译器还是挺不错的。

00408314   | DFE0       | fnstsw ax                                 |
00408316   | A8 0D      | test al,D                                 |
00408318   | 0F85 A1040 | jne afkayas.2_pack.4087BF                 |
0040831E   | DEC1       | faddp st(1),st(0)                         |
00408320   | DFE0       | fnstsw ax                                 |

这里哟一个运算,就是st(1) + st(0)

但是外层的也需要理解。跟上次一样留后面把 ,先把 大体逻辑旅顺了。

后面又来一个

004083FB   | DC0D 10104 | fmul st(0),qword ptr ds:[401010]      |

也就是这个值

401010 位置id值为:0x 4008000000000000 转换成 小数就是3.0

多以这个也就是 533449 * 3 = 1600347

00408404   | DC25 18104 | fsub st(0),qword ptr ds:[401018]      |

这里又减去了一个2

也就是 1600347 - 2 = 1600345

004084E5   | DC25 20104 | fsub st(0),qword ptr ds:[401020]      |   C02E000000000000 

其实就是1600345 - ( -15.0) = 1600360

好了所有的计算已经欧克了。

也就是用户名是weiran 密码就需要是1600360

验证一下

搞定了。

这个算法还原一个是无聊的吧。就一堆加减乘除,没什么很高级的操作。注册机就不写了

标签:AfKayAs.2,mov,ds,st,eax,dword,ptr
From: https://www.cnblogs.com/blogwr/p/18617825/3-afkayas2-zo83pp

相关文章