Acid burn

老160个crack_me的第一个例子，最近接触这个，做一个笔记，并且发个帖子。

寻找MessageBox

我们的目的是找到序列号或者序列号的计算规则，那么分析的目标便是找到正确的函数，再分析函数的功能，那么我们首先用onlydbg加载并调试程序，点击check it，弹出窗口，我们要去定位窗口调用的位置，因为我们需要依据这个MessageBox定位判断函数；

搜索所有模块间的调用，

找到MessageBoxA，在所有调用设置断点；
此处也可在弹窗时暂停，查看调用堆栈，并定位函数地址。

我们可以分析出弹窗调用发生在地址0x42A1A9 call <jmp.&user32.MessageBoxA> ; \MessageBoxA

追溯判断逻辑

保留这个断点，再次运行程序，点击check it! 可以发现在右下角堆栈处找到最近一条Return语句：

0019F704 |0042FB37 返回到 Acid_bur.0042FB37 来自 Acid_bur.0042A170

右键Follow in Disassm..(反汇编跟随)，

如下代码：

看到了提示框显示的字符串，那么错误提示弹窗应该是发生在这里，注意到0x42FB1F,以及

0042FB03 75 1A jnz short Acid_bur.0042FB1F

可以推断出jnz处的判断与弹窗关系密切，尝试将这里nop掉，并取消MessageboxA的断点，并点击check it运行；

虽然序列号是随意输入的，但依然得到了正确弹窗，说明0x42FB03就是我们找到的判断位置，并且成功爆破！恢复指令，继续分析。

断点调试，寻找序列号

将该位置之前的几处调用设置断点，call，继续check it，并F8单步，观察寄存器值的变化；

运行到最后一个call之前，在寄存器中发现了错误的序列号和疑似正确的序列号‘CW-7954-CRACKED’，这个序列号是不是就是我们要找的呢？

果然，我们尝试换用户名，会发现改序列号是变化的，是根据用户名计算的；

尝试保留序列号不变，改变用户名，会发现只要第一个字符是a，序列号永远是对的，说明改序列号是根据第一位计算出来的；

接下来去分析计算规则；

分析计算规则

接下来用IDA静态分析计算规则，直接跳转到我们分析出的0x42FB03，

按空格查看控制流图，发现了两处try again以及一处good job，根据汇编代码，可以得到这样的结论，

• 数据段dword_43176C与4做了比较，大于4（jge）才可能到达good job！并且在输入用户名和序列号时，我们能够发现用户名长度必须大于4个字符；

• 并且发现了imul指令，有符号乘法，dword_431750与eax做乘法，并且赋值给了dword_431750；

• 接着执行了mov和add，这段代码很容易看出是将两个数加了起来，也就是乘积的结果乘以2；

再次回到OD，在乘积这里每一行下断点，主要追踪EAX和dword_431750的值，运行代码check it！；

我们可以发现EAX的变化，abcds->0x61->0xF89->0x1F12, EAX的值先是被保存到了dword_431750，后又在0x42FAC8处赋值给EAX；

• abcds是输入的用户名name；
• 0x61十进制为97，是a的ascii码；
• 0xF89十进制为3977，3977除以97的值为41，之,3977还要再乘以2；
• 0x1F12十进制为7954，3977*2的结果；
• 注意到7954和序列号‘CW-7954-CRACKED’中的数字部分一个样；

计算规则是：首字符的ascii码值*41*2？

我们在IDA中查看伪代码，验证我们分析到的规则：找到了dword_431750的值确实为41，并且找到了乘积运算，不仅如此，我们还发现str_CW和str_CRACKED以及str__(下划线),

说明我们分析的规则是正确的；

最终注册机的表达式：
CW-s-CRACKED，s为用户名的第一个字符的ascii码值*0x29*2

附：伪代码