• 标 题:用KEYMAKE制作内存注册机特殊一例 (11千字)
  • 作 者:飞鹰[BCG]
  • 时 间:2002-8-14 23:58:58
  • 链 接:http://bbs.pediy.com

用KEYMAKE制作内存注册机特殊一例

软件名称:鼠×××3.0(国产软件)
未注册版限制:1、每次启动时出现注册窗体;
            2、保存的图标、位图可能被随机加上一些杂点。
破解工具:pe-scan 3.12、W32DASM 8.93汉化版、OllyDbg v1.07b。
破解人:飞鹰[BCG]
E-mail:flithawk@163.com
网址:http://flithawk.longcity.net
破解步骤:用 pe-scan 检测可以知道软件被 ASPack1.07b 加了壳,先找个自动脱壳工具脱壳。脱壳后启动软件,首先跳出一个注册窗体,在这个窗体的注册码框中输入20位的注册码后,软件要求重启校验注册码。这时,你会发现软件所在的目录下生成了一个 sign.ini 文件,该文件中存放的就是你刚才所输入的注册码,注册码的形式为*****-*****,其中用“-”符号把你输入的注册码分为前半部分和后半部分。下面,我们就从 sign.ini 文件入手开始破解,用 W32DASM 反编译后查找“sign.ini”,共可找到下面两处地方:

查找到的第一处:

* Possible StringData Ref from Data Obj ->"注册"
                                  |
:00404D1C 6820224100              push 00412220

* Possible StringData Ref from Data Obj ->"程序需要关闭以更新设置,再次启动后即可知道注册是否成功"
                                  |
:00404D21 68E8214100              push 004121E8
:00404D26 50                      push eax

* Reference To: USER32.MessageBoxA, Ord:01BEh
                                  |
:00404D27 FF15C4014100            Call dword ptr [004101C4]

* Possible StringData Ref from Data Obj ->"wb"
                                  |
:00404D2D 6834214100              push 00412134

* Possible StringData Ref from Data Obj ->"sign.ini"
                                  |
:00404D32 68DC214100              push 004121DC
:00404D37 E8E8220000              call 00407024
:00404D3C 83C408                  add esp, 00000008
:00404D3F 8D4C240C                lea ecx, dword ptr [esp+0C]
:00404D43 8BF0                    mov esi, eax
:00404D45 6800010000              push 00000100
:00404D4A 51                      push ecx
:00404D4B 8B8FE8000000            mov ecx, dword ptr [edi+000000E8]
:00404D51 E8EAC3FFFF              call 00401140
:00404D56 8D54240C                lea edx, dword ptr [esp+0C]
:00404D5A 56                      push esi
:00404D5B 52                      push edx
:00404D5C E845240000              call 004071A6
:00404D61 8B4604                  mov eax, dword ptr [esi+04]
:00404D64 83C408                  add esp, 00000008
:00404D67 48                      dec eax
:00404D68 894604                  mov dword ptr [esi+04], eax
:00404D6B 780C                    js 00404D79
:00404D6D 8B06                    mov eax, dword ptr [esi]
:00404D6F C6002D                  mov byte ptr [eax], 2D
:00404D72 8B06                    mov eax, dword ptr [esi]
:00404D74 40                      inc eax
:00404D75 8906                    mov dword ptr [esi], eax
:00404D77 EB0B                    jmp 00404D84
..................................................省
..................................................略

这里是把你输入的注册码写入到 sign.ini 文件中后,并重新启动软件。

查找到的第二处:

* Referenced by a CALL at Addresses:
|:00401C17  , :00405381 
|
:00405770 A004394100              mov al, byte ptr [00413904]
:00405775 81EC94010000            sub esp, 00000194
:0040577B 84C0                    test al, al
:0040577D 56                      push esi
:0040577E 0F8511010000            jne 00405895

* Possible StringData Ref from Data Obj ->"rb"
                                  |
:00405784 68B0204100              push 004120B0

* Possible StringData Ref from Data Obj ->"sign.ini"
                                  |
:00405789 68DC214100              push 004121DC
:0040578E E891180000              call 00407024
:00405793 8BF0                    mov esi, eax
:00405795 83C408                  add esp, 00000008
:00405798 85F6                    test esi, esi
:0040579A 7511                    jne 004057AD
:0040579C C6050439410001          mov byte ptr [00413904], 01
:004057A3 32C0                    xor al, al
:004057A5 5E                      pop esi
:004057A6 81C494010000            add esp, 00000194
:004057AC C3                      ret
..................................................省
..................................................略
:00405885 51                      push ecx
:00405886 52                      push edx
:00405887 E824FCFFFF              call 004054B0==>比较注册码,进入此Call继续跟踪
:0040588C 83C418                  add esp, 00000018
:0040588F A205394100              mov byte ptr [00413905], al
:00405894 5F                      pop edi

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0040577E(C)
|
:00405895 A005394100              mov al, byte ptr [00413905]
:0040589A C6050439410001          mov byte ptr [00413904], 01
:004058A1 5E                      pop esi
:004058A2 81C494010000            add esp, 00000194
:004058A8 C3                      ret

这里是软件启动时判断从 sign.ini 文件中读取的注册码是否正确。

进入 004054B0 后,来到下面这里:

设:(1) code1=你输入的假注册码前半部分,code2=真注册码前半部分,code3=你输入的假注册码后半部分,code2=真注册码后半部分;(2) 初始状态时 x1=code1的第一位,y1=code2的第一位,x3=code3的第一位,y3=code4的第一位;(3) 动态变量 x2,y2,x4,y4。

004054B0  /$ 83EC 18        SUB ESP,18
004054B3  |. 53            PUSH EBX
004054B4  |. 56            PUSH ESI
004054B5  |. 57            PUSH EDI
004054B6  |. E8 C5FFFFFF    CALL 鼠×××.00405480
004054BB  |. 8BF8          MOV EDI,EAX
004054BD  |. 8D4424 0C      LEA EAX,DWORD PTR SS:[ESP+C]
004054C1  |. 81F7 17108519  XOR EDI,19851017
004054C7  |. 6A 24          PUSH 24                                  ; /Arg3 = 00000024
004054C9  |. 50            PUSH EAX                                ; |Arg2
004054CA  |. 57            PUSH EDI                                ; |Arg1
004054CB  |. E8 CFA70000    CALL 鼠×××.0040FC9F                  ; \鼠×××.0040FC9FFC9F
004054D0  |. 8B4424 34      MOV EAX,DWORD PTR SS:[ESP+34]==>这里 d eax 可以看到真注册码前半部分
004054D4  |. 83C4 0C        ADD ESP,0C
004054D7  |. 8D7424 0C      LEA ESI,DWORD PTR SS:[ESP+C]
**********************************开始比较前半部分注册码****************************************
004054DB  |> 8A10          /MOV DL,BYTE PTR DS:[EAX]          //x2=x1;dl=x2
004054DD  |. 8A1E          |MOV BL,BYTE PTR DS:[ESI]          //y2=y1;bl=y2
004054DF  |. 8ACA          |MOV CL,DL                          //cl=dl
004054E1  |. 3AD3          |CMP DL,BL                          //比较dl是否等于bl
004054E3    75 1E          JNZ SHORT 鼠×××.00405503        //不相等跳转则注册失败
004054E5    84C9          TEST CL,CL                          //判断code1中是否还有值需要比较
004054E7    74 16          JE SHORT 鼠到擒来.004054FF          //相等跳转则说明code1中已无值
004054E9  |. 8A50 01        |MOV DL,BYTE PTR DS:[EAX+1]        //x2=x2+1;dl=x2
004054EC  |. 8A5E 01        |MOV BL,BYTE PTR DS:[ESI+1]        //y2=y2+1;bl=y2
004054EF  |. 8ACA          |MOV CL,DL                          //cl=dl
004054F1  |. 3AD3          |CMP DL,BL                          //比较dl是否等于bl
004054F3    75 0E          JNZ SHORT 鼠×××.00405503        //不相等跳转则注册失败
004054F5  |. 83C0 02        |ADD EAX,2                          //x1=x1+2;eax=x1
004054F8  |. 83C6 02        |ADD ESI,2                          //y1=y1+2;esi=y1
004054FB  |. 84C9          |TEST CL,CL                        //判断code1中是否还有值需要比较
004054FD  |.^75 DC          \JNZ SHORT 鼠×××.004054DB        //跳转说明code1中还有值,循环比较
**********************************结束比较前半部分注册码****************************************
004054FF  |> 33C0          XOR EAX,EAX
00405501  |. EB 05          JMP SHORT 鼠×××.00405508
00405503  |> 1BC0          SBB EAX,EAX
00405505  |. 83D8 FF        SBB EAX,-1
00405508  |> 85C0          TEST EAX,EAX
0040550A    75 6B          JNZ SHORT 鼠×××.00405577
0040550C  |. B8 01000000    MOV EAX,1
00405511  |> 8BC8          /MOV ECX,EAX
00405513  |. 0FAFF9        |IMUL EDI,ECX
00405516  |. 40            |INC EAX
00405517  |. 83F8 0A        |CMP EAX,0A
0040551A  |.^7C F5          \JL SHORT 鼠×××.00405511
0040551C  |. 8D5424 18      LEA EDX,DWORD PTR SS:[ESP+18]
00405520  |. 6A 24          PUSH 24                                  ; /Arg3 = 00000024
00405522  |. 52            PUSH EDX                                ; |Arg2
00405523  |. 57            PUSH EDI                                ; |Arg1
00405524  |. E8 76A70000    CALL 鼠×××.0040FC9F                  ; \鼠×××.0040FC9FFC9F
00405529  |. 8B4424 38      MOV EAX,DWORD PTR SS:[ESP+38]==>这里 d eax 可以看到真注册码后半部分
0040552D  |. 83C4 0C        ADD ESP,0C
00405530  |. 8D7424 18      LEA ESI,DWORD PTR SS:[ESP+18]
**********************************开始比较后半部分注册码****************************************
00405534  |> 8A10          /MOV DL,BYTE PTR DS:[EAX]          //x4=x3;dl=x4
00405536  |. 8A1E          |MOV BL,BYTE PTR DS:[ESI]          //y4=y3;bl=y4
00405538  |. 8ACA          |MOV CL,DL                          //cl=dl
0040553A  |. 3AD3          |CMP DL,BL                          //比较dl是否等于bl
0040553C  |. 75 28          |JNZ SHORT 鼠×××.00405566        //不相等跳转则注册失败
0040553E  |. 84C9          |TEST CL,CL                        //判断code3中是否还有值需要比较
00405540  |. 74 16          |JE SHORT 鼠×××.00405558        //相等跳转则说明code3中已无值
00405542  |. 8A50 01        |MOV DL,BYTE PTR DS:[EAX+1]        //x4=x4+1;dl=x4
00405545  |. 8A5E 01        |MOV BL,BYTE PTR DS:[ESI+1]        //y4=y4+1;bl=y4
00405548  |. 8ACA          |MOV CL,DL                          //cl=dl
0040554A  |. 3AD3          |CMP DL,BL                          //比较dl是否等于bl
0040554C  |. 75 18          |JNZ SHORT 鼠×××.00405566        //不相等跳转则注册失败
0040554E  |. 83C0 02        |ADD EAX,2                          //x3=x3+2;eax=x3
00405551  |. 83C6 02        |ADD ESI,2                          //y3=y3+2;esi=y3
00405554  |. 84C9          |TEST CL,CL                        //判断code3中是否还有值需要比较
00405556  |.^75 DC          \JNZ SHORT 鼠×××.00405534        //跳转说明code3中还有值,循环比较
**********************************结束比较后半部分注册码****************************************
00405558  |> 33C0          XOR EAX,EAX
0040555A  |. 5F            POP EDI
0040555B  |. 85C0          TEST EAX,EAX
0040555D  |. 5E            POP ESI
0040555E  |. 5B            POP EBX
0040555F  |. 0F94C0        SETE AL
00405562  |. 83C4 18        ADD ESP,18
00405565  |. C3            RETN

如果想分析注册算法,写注册器的话,可以进入 CALL 鼠×××.0040FC9F 就知道真注册码是如何算出来的了。但我汇编功力有限,对该软件的注册算法没有研究清楚,所以就先用KEYMAKE制作一个内存注册机吧!

通过上面的分析,我们可以看出该软件比较注册码分为前后两个部分,如果前半部分的注册码错误,用内存注册机就只能得到前半部分的真注册码,无法得到后半部分的真注册码。所以,在制作内存注册机时,需要把该软件内存地址 004054E3 处的 751E 修改为 7527,即把JNZ SHORT 鼠×××.00405503 改为 JNZ SHORT 鼠×××.0040550C,这样当用户输入错误注册码时就可以从内存中直接取得真注册码前后两部分的值了。

我用的KEYMAKE版本号为1.69,要使用1.40以上的版本才具有修改内存的功能。设置如下:

1、中断地址:405529-->中断次数:1-->第一个字节:8B-->指令长度:4;
2、选中“保存下列信息为注册码”-->选择“内存方式”-->内存地址:68F428(真注册码前半部分的存放地址)-->在结尾处插入字符:-(真注册码前后部分的分隔符);
3、主界面上选择“修改内存”-->修改地址:4054E4-->修改长度:1-->原始指令:1E-->修改指令:27;
4、主界面上的注册码方式选择“内存方式”-->寄存器:EAX(真注册码后半部分的存放地址)。

经过这四步以后,运行制作出来的内存注册机就可以完全正确显示出真的注册码了,显示出来的注册码格式为:*****-*****。至此,内存注册机制作完成。

仅以此篇献给我们的BCG组织,也算是自己的一次Crack练习吧!


                                          Crack by 飞鹰[BCG]  flithawk@163.com  2002.8.15
                                          欢迎光临汉化新世纪: http://www.hanzify.org