时间到了 v1.5 简单注册算法分析 + 注册机源代码(tc2)
破解目标:时间到了 1.5
官方主页:无
软件简介:本软件可以安排X分钟后“显示一段信息”、“执行某个文件”、“锁定屏幕”、“关闭Windows”、“循环锁屏”其中一个且只有一个任务。但在非Win9x操作系统下取消了有关锁屏的功能(即是说在非Win9x系统下不能使用上述的全部功能).“循环锁屏(隔时锁屏)”只向注册用户开放,除此没有限制。注:在Windows
2000/xp/NT可以使用,但封印了部分功能。
下载地址:http://count.skycn.com/softdown.php?id=11656&url=http://on165-down.skycn.net/down/sjdl.rar
使用工具:FI 2.50、CASPr 1.10、W32Dasm、Ollydbg 1.09b 汉化版
作者:炎之川[BCG]
时间:2003.4.12
主页:http://skipli.yeah.net/
声明: 此文仅用于学习及交流,若要转载请保持文章完整。
这个软件是昨天在 fixdown 的国产软件破解更新里面看到的,只有一个注册码,所以就随便下载了一个,开始时发现其中用了一些浮点指令,本来有些怕,不过把注册流程跟了一遍才发现那是哄人的……
用 Fileinfo 2.50 征测,得知软件是用 ASPack 1.082 加的壳,真是很古老的版本啊~用 CASPr 轻松脱掉壳。
使用 W32Dasm 分析,可以找到注册成功、失败等提示信息,稍作分析后用 OD 装入程序,在 48CCF8 处下断点,然后 Ctrl+F2
重新载入程序,F9 运行,输入注册名及假注册码并点击“验证”:
Name: lovefire
Serial: 787878
注意注册名必须为8位,这是软件提示你的。
浮点指令的解释参考自看雪大哥的 Crack Tutorial 2001
0048CCF8 /.
55 PUSH EBP //断在这里
0048CCF9
|. 8BEC MOV EBP,ESP
0048CCFB |. 33C9
XOR ECX,ECX
0048CCFD |. 51
PUSH ECX
0048CCFE |. 51
PUSH ECX
0048CCFF |. 51
PUSH ECX
0048CD00 |. 51
PUSH ECX
0048CD01 |. 51
PUSH ECX
0048CD02 |. 51 PUSH
ECX
0048CD03 |. 51 PUSH ECX
0048CD04 |. 51 PUSH ECX
0048CD05 |. 53 PUSH EBX
0048CD06
|. 56 PUSH ESI
0048CD07 |.
57 PUSH EDI
0048CD08 |. 8BF0
MOV ESI,EAX
0048CD0A |. 33C0
XOR EAX,EAX
0048CD0C |. 55
PUSH EBP
0048CD0D |. 68 58CE4800
PUSH un.0048CE58
0048CD12 |. 64:FF30 PUSH
DWORD PTR FS:[EAX]
0048CD15 |. 64:8920 MOV
DWORD PTR FS:[EAX],ESP
0048CD18 |. 8D55 F4
LEA EDX,DWORD PTR SS:[EBP-C]
0048CD1B |. 8B86 00040000 MOV EAX,DWORD
PTR DS:[ESI+400]
0048CD21 |. E8 B205FAFF CALL un.0042D2D8
0048CD26 |. 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]
//用户名送eaxDWOR
0048CD29 |. E8 0670F7FF CALL un.00403D34
//这个call取得用户名的长度
0048CD2E |. 83F8 08 CMP
EAX,8 //比较输入的用户名是否等于8?
0048CD31 |. 74 21
JE SHORT un.0048CD54 //等于则跳转到下面的注册码计算部分
0048CD33
|. 6A 40 PUSH 40
0048CD35 |. 68 68CE4800
PUSH un.0048CE68
0048CD3A |. 68 70CE4800 PUSH un.0048CE70
0048CD3F |. A1 E4384900 MOV EAX,DWORD PTR DS:[4938E4]
0048CD44 |. E8 C366FAFF CALL un.0043340C
0048CD49
|. 50 PUSH EAX
; |hOwner
0048CD4A |. E8 159DF7FF CALL <JMP.&user32.MessageBoxA>
; \MessageBoxA //不等于8,则弹出提示“注册标识符长度不足!”
0048CD4F |. E9 D9000000 JMP un.0048CE2D
0048CD54
|> 8D55 F0 LEA EDX,DWORD PTR SS:[EBP-10]
0048CD57
|. 8B86 00040000 MOV EAX,DWORD PTR DS:[ESI+400]
0048CD5D |. E8
7605FAFF CALL un.0042D2D8 //再次取用户名
0048CD62 |. 8B45
F0 MOV EAX,DWORD PTR SS:[EBP-10] //用户名送eax
0048CD65 |. E8 CA6FF7FF CALL un.00403D34 //用户名长度
0048CD6A |. 8BD8 MOV EBX,EAX //长度送ebx
0048CD6C |. 85DB TEST EBX,EBX
//比较ebx是否为0
0048CD6E |. 7C 32 JL
SHORT un.0048CDA2 //小于则跳过循环,直接失败(这里验证注册名是否有输入?)
0048CD70 |. 43
INC EBX //ebx是用户名长度,ebx+1=9 作计数器
0048CD71 |. 33FF XOR EDI,EDI //edi清零
0048CD73 |> 8D55 EC /LEA EDX,DWORD
PTR SS:[EBP-14]
0048CD76 |. 8B86 00040000 |MOV EAX,DWORD PTR
DS:[ESI+400]
0048CD7C |. E8 5705FAFF |CALL un.0042D2D8
//再次取用户名
0048CD81 |. 8B45 EC |MOV EAX,DWORD
PTR SS:[EBP-14 //用户名送eax
0048CD84 |. 0FB64438 FF
|MOVZX EAX,BYTE PTR DS:[EAX+EDI-1] //逐位取用户名
//由于上面将ebx计数器+1,所以第一次循环时[EAX+EDI-1]的值为0,什么也取不到
0048CD89 |. 69C0 43020000 |IMUL EAX,EAX,243 /eax=eax*243,注意第一次循环时eax=0,第二次循环开始,eax为注册名的ASCII值
0048CD8F |. 05 89000000 |ADD EAX,89 //eax=eax+89
0048CD94 |. 8945 E8 |MOV DWORD PTR SS:[EBP-18],EAX
//得出的eax值放入堆栈SS
0048CD97 |. DB45 E8 |FILD
DWORD PTR SS:[EBP-18] //浮点指令!装入整数到st(0)
0048CD9A |. DD5D F8
|FSTP QWORD PTR SS:[EBP-8] //dest <- st(0),即将目的操作数(dest)放入
[EBP-8]
0048CD9D |. 9B |WAIT
0048CD9E |. 47 |INC EDI
//edi+1
0048CD9F |. 4B |DEC
EBX //ebx-1
0048CDA0 |.^75 D1
\JNZ SHORT un.0048CD73 //没有取完就跳回去继续
第一次循环,取得的eax值为0,所以 eax=eax*243+89=0*243+89=89,st(0)=137.00000000000000000
第二次循环,取得的eax值为6C(即“l”),所以 eax=eax*243+89=6C*243+89=F4CD,st(0)=62669.000000000000000
…………
第九次循环,取得的eax值为65(即“e”),所以 eax=eax*243+89=65*243+89=E4F8,st(0)=58616.00000000000000000
结果这个循环的真实作用就是:
(注册名最后一个字符ASCII值)*243+89
所以只有最后一次的计算有效,前面的计算均无实际用途。
0048CDA2 |> 8D55 E4 LEA EDX,DWORD PTR
SS:[EBP-1C]
0048CDA5 |. 8B86 04040000 MOV EAX,DWORD PTR DS:[ESI+404]
0048CDAB |. E8 2805FAFF CALL un.0042D2D8 //取假码
0048CDB0 |. 8B45 E4 MOV EAX,DWORD PTR SS:[EBP-1C]
//假码放入eax
0048CDB3 |. 50 PUSH
EAX //假码入栈
0048CDB4 |. DD45 F8 FLD
QWORD PTR SS:[EBP-8] //又一个浮点指令,作用是装入实数到st(0),此时 [EBP-8] 中放的数据就是上面最后一次循环得出的值
0048CDB7 |. 83C4 F4 ADD ESP,-0C
0048CDBA
|. DB3C24 FSTP TBYTE PTR SS:[ESP]
; | dest <- st(0),即将目的操作数(dest)放入
[ESP]
0048CDBD |. 9B WAIT
; |
0048CDBE |. 8D45 E0
LEA EAX,DWORD PTR SS:[EBP-20]
; |
0048CDC1 |. E8 AEBEF7FF CALL un.00408C74
;
\ //得出实数部分,即真实注册码,放在[EBP-20]中
0048CDC6 |. 8B55 E0
MOV EDX,DWORD PTR SS:[EBP-20] //真码送edx
0048CDC9
|. 58 POP EAX //假码出栈
0048CDCA
|. E8 7570F7FF CALL un.00403E44 //比较真假注册码
0048CDCF
|. 75 40 JNZ SHORT un.0048CE11 //不同则注册失败
0048CDD1 |. 6A 40 PUSH 40
0048CDD3
|. 68 88CE4800 PUSH un.0048CE88
0048CDD8 |. 68 94CE4800
PUSH un.0048CE94
0048CDDD |. A1 E4384900 MOV EAX,DWORD
PTR DS:[4938E4]
0048CDE2 |. E8 2566FAFF CALL un.0043340C
0048CDE7 |. 50 PUSH EAX
; |hOwner
0048CDE8 |. E8 779CF7FF
CALL <JMP.&user32.MessageBoxA> ; \MessageBoxA
//这里弹出注册失败的MessageBox
归根到底,虽然软件用了一些浮点指令,但根本没有用到小数部分的计算,全部都是实数部分的计算。
算法总结:
(注册名的最后一个字符的ASCII值)*243+89,结果转换为10进制就是注册码。
注册信息保存在系统目录下的
vsde.dll 文件中,这其实是一个ini文件,注册后内容如下:
[set]
vnt=1
left=320
top=171
finished=1
reg=1 //注册后增加此行
至此,时间到了 v1.5 注册算法分完成,由于是国产软件,所以不提供可用的注册码。
----------------------------------------------------------
注册机源代码(TC
2.0)
以下是注册机源代码,TC 中似乎不能进行浮点计算,但软件的算法部分的浮点指令并不是计算指令,只是数据传递和对常量的操作指令,且只用到了实数部分,并没有用小数,所以姑且按普通的整型写一下注册机,想来应该不会有什么大问题吧^_^
另外由于水平非常有限,写的代码可能比较一般……^_^
/* KeyGen by 炎之川[BCG],2003.4.12
*/
/* KeyGen by 炎之川[BCG],2003.4.12,修正于 2003.4.13 */
/* 感谢 wscn
兄的指点 */
#include <stdio.h>
#include <string.h>
main()
{
char name[80];
int name_len,i;
unsigned long int sn1;
unsigned long int sn2=0;
clrscr();
printf(" _/_/_/
_/_/_/ _/_/_/\n _/ _/ _/
_/\n _/_/_/ _/
_/ _/_/\n _/ _/ _/ _/
_/\n_/_/_/ _/_/_/ _/_/_/\n\n -= shijiandaole
1.5 KeyGen by lovefire[BCG] =-\n\n\nPlease enter your name: ");
gets(name);
name_len=strlen(name);
if (name_len>7 && name_len<9)
{
for (i=0;i<name_len;i++)
{
sn2=name[i]*0x243+0x89;
}
printf("\nok, try this serial: %u\n",sn2);
printf("\n\nNOTE: serial only for test!");
printf("\nIf you like it, buy
it to support the soft's author!");
}
else
{
printf("\nReg Name MUST have 8 char.
;)\n");
}
printf("\n\nhave fun^^\nwelcome to http://skipli.yeah.net/");
getch();
}
----------------------------------------------------------
炎之川
属于中国破解组织BCG(Beginner's Cracking Group)
_/_/_/ _/_/_/ _/_/_/
_/
_/ _/ _/
_/_/_/ _/
_/ _/_/
_/ _/ _/
_/ _/
_/_/_/ _/_/_/
_/_/_/
- 标 题:时间到了 v1.5 简单注册算法分析 + 注册机源代码(tc2) (9千字)
- 作 者:炎之川
- 时 间:2003-4-12 15:16:28
- 链 接:http://bbs.pediy.com