Всем салют!
Сегодня мы с вами разберём крякми для самых начинающих в реверсе. Написан он на C под Win, а опубликован на crackmes.one.

Название: StupidCrackMe
Автор: Funny_Gopher
Ссылка: Crackmes
Сложность: 1.0
Качество: 2.8
Язык/технология: С
Платформа: Windows
Архитектура: x86

Пароль к архиву с заданием:

1. Быстрый статический анализ
Первым делом проведём быстрый статический анализ файла. Это значит, что мы не будем его запускать в отладчике. Хотя будет спойлером, что тут даже отладка не нужна. Быстрый из-за того, что сама сложность лёгкая. Вряд ли будет что-то из антиотладки или упаковки/протекторов.
Файлы с crackmes.one рекомендуется проверять на VirusTotal и запускать в ВМ. Бывали случаи, что попадается вредоносное ПО вместо самих крякми.
Да и вообще все потенциально опасные файлы запускаем в ВМ + VirusTotal



Линк на результат. Всё гуд.
Помимо исполняемого файла есть ещё и PDB. Но о нём чуть позже. Теперь отправим файл на анализ в Detect It Easy. Для такой сложности нас будет интересовать в основном компилятор, да язык и технологии, с помощью которых файл создан.



Компилятор - MSVC (Microsoft Visual C/C++). Значит, файл на языке Си или C++. Приложение 32-битное, консольное. Можно также посмотреть на строки в файле.



Из чего-то необычного в строках сразу замечаем это:



Но лучше будет посмотреть всё в дизассемблере. Будем использовать IDA Free. Гайд по её установке можно прочитать тут.

2. Анализ программы в IDA
Открываем IDA.



Жмём "New".



Теперь OK. Настроек по умолчанию хватает в 90% случаев решения Crackme.



Теперь IDA обнаружила, что этот EXE был собран вместе с отладочной информацией, что хранится по пути на скрине в PDB-файле.
PDB-файл - это файл базы данных, который содержит отладочную информацию для исполняемых файлов, таких как EXE или DLL и включает в себя:

• Символы для функций и переменных.
  
• Информацию о строках исходного кода.
  
• Данные о типах и структурах.

Проще говоря, упрощает жизнь при отладке.
Нажмём Yes. IDA автоматически найдёт его в той же директории, что и наш EXE-файл.





С этой функции начнётся выполнение
(
). Нам нужно 2 раза кликнуть левой кнопкой мыши по
для перехода к её коду. В этой функции будет код самого крякми.



Тут видны стандартные функции из языка Си -
,
,
и
. Сейчас мы видим дизассемблированный код. Но можно представить его в виде кода на Си через F5. Точность, в отличие от дизассемблера, не 100%.



Нажимаем
, чтобы убрать приведение типов. В этом простом задании оно нам ни к чему.



Через
выводятся приветственные сообщения, через
программа получает от нас ввод. Далее через
сравнивает ввод с нужным и выводит сообщение об успехе/провале. Если хотите понять, где в ассемблере какой блок из языка Си, то нажмите ПКМ, а затем сюда.





Подтверждаем, что комментарии в дизассемблированном коде будут уничтожены и заменены на комменты от IDA. Мы всё равно не оставляли никаких комментариев.



Кстати, вот тут правильный пароль - с чем сравнивается наш ввод.



Крякми решён!