• 标 题:Messenger Helper 2.10(Build 30124)
  • 作 者:fly
  • 时 间:2003/03/23 04:31pm 
  • 链 接:http://bbs.pediy.com

简单算法——Messenger Helper 2.10(Build 30124)



下载页面:http://www.helperstudio.com/Software/Messenger/gb/Download.asp  
软件大小:630K

【软件简介】:Messenger Helper 是基于MSN/Windows Messenger 的工具。 它能自动记录聊天信息,并能完美的再现聊天内容,如表情符号等。同时它还有更多丰富的功能。

【软件限制】:免费注册

【作者声明】:初学Crack,只是感兴趣,没有其它目的。失误之处敬请诸位大侠赐教!

【破解工具】:TRW2000娃娃修改版、Ollydbg1.09、FI2.5、W32Dasm8.93黄金版

—————————————————————————————————
【过    程】:


作者 风无痕/红山 先生的《开发历程随笔》可能是许多软件作者的共同体会,开发一个软件需要耗费作者无数的心血,的确不容易。因为这个软件还是免费提供注册的,所以我简单写了写算法过程,希望作者能够谅解。

MSNBrowser.exe无壳。Visual C++ 6.0编写。

E Mail:fly@hotmail.com(因为我不用MSN,所以随便填个帐号^-^^-^)
试炼码:13572468       (需要8位数字)

用TRW下BPX HMEMCPY断点,PMODULE,再过几个RET,很容易就到达核心了。
—————————————————————————————————
:00403631 E8C62E0300              call 004364FC
:00403636 8D7D60                  lea edi, dword ptr [ebp+60]
:00403639 8BCF                    mov ecx, edi
:0040363B E8BC2E0300              call 004364FC
:00403640 8B07                    mov eax, dword ptr [edi]
                                 ====>EAX=13572468

:00403642 8B0E                    mov ecx, dword ptr [esi]
                                 ====>ECX=fly@hotmail.com

:00403644 8B40F8                  mov eax, dword ptr [eax-08]
                                 ====>EAX=8  取试炼码位数

:00403647 8B59F8                  mov ebx, dword ptr [ecx-08]
                                 ====>EBX=F  取E Mail位数

:0040364A 50                      push eax
:0040364B 8BCF                    mov ecx, edi
:0040364D E850A60300              call 0043DCA2
:00403652 50                      push eax
:00403653 53                      push ebx
:00403654 8BCE                    mov ecx, esi
:00403656 E847A60300              call 0043DCA2
:0040365B 50                      push eax
:0040365C E8AF090000              call 00404010
                                 ====>关键CALL!进入!

:00403661 83C408                  add esp, 00000008
:00403664 85C0                    test eax, eax
                                 ====>EAX是否为0?

:00403666 7421                    je 00403689
                                 ====>不跳则OVER!

* Possible Reference to String Resource ID=00255: "z坥
"
                                 |
:00403668 6AFF                    push FFFFFFFF
:0040366A 6A00                    push 00000000

* Possible Reference to String Resource ID=00209: "鑼鲹e?魍皳e"
                                 |
:0040366C 68D1000000              push 000000D1
:00403671 E8EC1F0400              call 00445662
                                 ====>BAD BOY!

:00403676 5F                      pop edi
:00403677 5E                      pop esi
:00403678 5D                      pop ebp
:00403679 5B                      pop ebx
:0040367A 8B4C2408                mov ecx, dword ptr [esp+08]
:0040367E 64890D00000000          mov dword ptr fs:[00000000], ecx
:00403685 83C414                  add esp, 00000014
:00403688 C3                      ret

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00403666(C)
|
:00403689 E8F2130500              call 00454A80
:0040368E 8B4004                  mov eax, dword ptr [eax+04]
:00403691 8D4C2410                lea ecx, dword ptr [esp+10]
:00403695 8B908C000000            mov edx, dword ptr [eax+0000008C]
:0040369B 52                      push edx
:0040369C E83FA20300              call 0043D8E0
:004036A1 33DB                    xor ebx, ebx
:004036A3 6A5C                    push 0000005C
:004036A5 8D4C2414                lea ecx, dword ptr [esp+14]
:004036A9 895C2424                mov dword ptr [esp+24], ebx
:004036AD E8462A0300              call 004360F8
:004036B2 40                      inc eax
:004036B3 8D4C2410                lea ecx, dword ptr [esp+10]
:004036B7 50                      push eax
:004036B8 8D442418                lea eax, dword ptr [esp+18]
:004036BC 50                      push eax
:004036BD E8BE290300              call 00436080
:004036C2 50                      push eax
:004036C3 8D4C2414                lea ecx, dword ptr [esp+14]
:004036C7 C644242401              mov [esp+24], 01
:004036CC E8DAA20300              call 0043D9AB
:004036D1 8D4C2414                lea ecx, dword ptr [esp+14]
:004036D5 885C2420                mov byte ptr [esp+20], bl
:004036D9 E894A10300              call 0043D872

* Possible StringData Ref from Data Obj ->"AccReg.dat"
                                 ====>注册信息保存

:004036DE 6840B24700              push 0047B240
:004036E3 8D4C2414                lea ecx, dword ptr [esp+14]
:004036E7 E862A50300              call 0043DC4E
:004036EC 8B542410                mov edx, dword ptr [esp+10]
:004036F0 8B07                    mov eax, dword ptr [edi]
:004036F2 8B0E                    mov ecx, dword ptr [esi]
:004036F4 52                      push edx
:004036F5 50                      push eax
:004036F6 51                      push ecx

* Possible StringData Ref from Data Obj ->"RegData"

:004036F7 6838B24700              push 0047B238

* Reference To: KERNEL32.WritePrivateProfileStringA, Ord:02E5h
                                 |
:004036FC FF1500344600            Call dword ptr [00463400]

* Possible Reference to String Resource ID=00255: "z坥
"
                                 |
:00403702 6AFF                    push FFFFFFFF
:00403704 53                      push ebx

* Possible Reference to String Resource ID=00210: ",黩翔??彗龛寁??"
                                 |
:00403705 68D2000000              push 000000D2
:0040370A E8531F0400              call 00445662
                                 ====>呵呵,胜利女神!


—————————————————————————————————
进入关键CALL:40365C   call 00404010

* Referenced by a CALL at Address:
|:0040365C  
|
:00404010 83EC0C                  sub esp, 0000000C
:00404013 53                      push ebx

* Reference To: KERNEL32.lstrlenA, Ord:0308h
                                 |
:00404014 8B1D10344600            mov ebx, dword ptr [00463410]
:0040401A 57                      push edi
:0040401B 8B7C241C                mov edi, dword ptr [esp+1C]
:0040401F 57                      push edi
:00404020 FFD3                    call ebx
:00404022 83F808                  cmp eax, 00000008
                                 ====>注册号是否8位?

:00404025 740B                    je 00404032
                                 ====>不跳则OVER

:00404027 5F                      pop edi

* Possible Reference to String Resource ID=00135: "猆;p:"
                                 |
:00404028 B887000000              mov eax, 00000087
:0040402D 5B                      pop ebx
:0040402E 83C40C                  add esp, 0000000C
:00404031 C3                      ret


* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00404025(C)
|
:00404032 55                      push ebp
:00404033 56                      push esi
:00404034 8B742420                mov esi, dword ptr [esp+20]
:00404038 33ED                    xor ebp, ebp
:0040403A 56                      push esi
:0040403B FFD3                    call ebx
:0040403D 33C9                    xor ecx, ecx
:0040403F 85C0                    test eax, eax
:00404041 760B                    jbe 0040404E

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0040404C(C)
|
:00404043 0FBE1431                movsx edx, byte ptr [ecx+esi]
                         一、    ====>依次取E Mail的HEX值
                          1、    ====>EDX=66
                          2、    ====>EDX=6C
                          3、    ====>EDX=79
                       …… …… 省 略  …… ……
                         15、    ====>EDX=6D

:00404047 03EA                    add ebp, edx
                                 ====>累加!
                          1、    ====>EBP=66  + 00=66
                          2、    ====>EBP=66  + 6C=D2
                          3、    ====>EBP=D2  + 79=14B
                       …… …… 省 略  …… ……
                         15、    ====>EBP=579 + 6D=5E6

:00404049 41                      inc ecx
:0040404A 3BC8                    cmp ecx, eax
:0040404C 72F5                    jb 00404043
                                 ====>循环E Mail位数次 15次

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00404041(C)
|
:0040404E 0FBE7707                movsx esi, byte ptr [edi+07]
                          二、   ====>ESI=38   取试炼码第8位的HEX值

:00404052 0FBE4701                movsx eax, byte ptr [edi+01]
                                 ====>EAX=33   取试炼码第2位的HEX值

:00404056 2BF0                    sub esi, eax
                                 ====>ESI=38 - 33=5

:00404058 B800000000              mov eax, 00000000
:0040405D 7414                    je 00404073
:0040405F 8A0F                    mov cl, byte ptr [edi]
                          三、   ====>CL=31   取试炼码第1位的HEX值

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00404071(C)
|
:00404061 8A540702                mov dl, byte ptr [edi+eax+02]
                          1、    ====>DL=35   取试炼码第3位的HEX值
                          2、    ====>DL=37   取试炼码第4位的HEX值
                          3、    ====>DL=32   取试炼码第5位的HEX值
                          4、    ====>DL=34   取试炼码第6位的HEX值
                          5、    ====>DL=36   取试炼码第7位的HEX值

:00404065 2AD1                    sub dl, cl
                          1、    ====>DL=35 - 31=4
                          2、    ====>DL=37 - 31=6
                          3、    ====>DL=32 - 31=1
                          4、    ====>DL=34 - 31=3
                          5、    ====>DL=36 - 31=5

:00404067 80C230                  add dl, 30
                          1、    ====>DL=4 + 30=34
                          2、    ====>DL=6 + 30=36
                          3、    ====>DL=1 + 30=31
                          4、    ====>DL=3 + 30=33
                          5、    ====>DL=5 + 30=35

:0040406A 88540410                mov byte ptr [esp+eax+10], dl
                                 ====>DL 入 [esp+eax+10]处

:0040406E 40                      inc eax
                                 ====>EAX 依次增1

:0040406F 3BC6                    cmp eax, esi
                                 ====>ESI=5

:00404071 72EE                    jb 00404061
                                 ====>循环 5 次

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0040405D(C)
|
:00404073 C644041000              mov [esp+eax+10], 00
:00404078 8D442410                lea eax, dword ptr [esp+10]
                                 ====>EAX=46135  (上面运算的结果)

:0040407C 50                      push eax
:0040407D E8372D0200              call 00426DB9
                                 ====>将46135转换成16进制值 EAX=46135(D)=B437(H)

:00404082 83C404                  add esp, 00000004
:00404085 2BC5                    sub eax, ebp
                           四、  ====>EAX=B437-5E6=AE51
              实际是比较上面运算的结果与fly@hotmail.com帐号HEX值累加的结果是否相等?

:00404087 5E                      pop esi
:00404088 5D                      pop ebp
:00404089 5F                      pop edi
:0040408A 5B                      pop ebx
:0040408B 83C40C                  add esp, 0000000C
:0040408E C3                      ret

—————————————————————————————————
【算 法  总 结】:


一、将fly@hotmail.com的HEX值累加结果为5E6(H)=1510(D)
   对试炼码13572468运算得出B437(H)=46135(D)  
   如果这两者相等则OK


二、第二部分运算取试炼码的第8位-第2位=5,5是第三部分循环的次数。
因为我要得到的结果是5E6(H)=1510(D),所以只要循环4次,因此改第8位8为7。
37-33=4,这样第三部分运算就循环4次了。


三、看看第三部分的运算:

:0040405F 8A0F                    mov cl, byte ptr [edi]
                          三、   ====>CL=31   取试炼码第1位的HEX值

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00404071(C)
|
:00404061 8A540702                mov dl, byte ptr [edi+eax+02]
                          1、    ====>DL=35   取试炼码第3位的HEX值
                          2、    ====>DL=37   取试炼码第4位的HEX值
                          3、    ====>DL=32   取试炼码第5位的HEX值
                          4、    ====>DL=34   取试炼码第6位的HEX值
                          5、    ====>DL=36   取试炼码第7位的HEX值

:00404065 2AD1                    sub dl, cl
                          1、    ====>DL=35 - 31=4
                          2、    ====>DL=37 - 31=6
                          3、    ====>DL=32 - 31=1
                          4、    ====>DL=34 - 31=3
                          5、    ====>DL=36 - 31=5
                       —————————————————
我的简单求逆:(结果为1510)
                          1、    ====>DL=1=32 - 31  所以:注册号第3位是2
                          2、    ====>DL=5=36 - 31  所以:注册号第4位是6
                          3、    ====>DL=1=32 - 31  所以:注册号第5位是2
                          4、    ====>DL=0=31 - 31  所以:注册号第6位是1
                         因为只循环4次,所以我的注册号第7位可以是任意数字。


所以:我的注册号=13262167
           
—————————————————————————————————
【注册信息保存】:


同文件夹下的AccReg.dat文件中:
[RegData]
fly@hotmail.com=13262167

—————————————————————————————————
【整        理】:


E Mail:fly@hotmail.com
注册号:13262167

—————————————————————————————————

   
                   Cracked By 巢水工作坊——fly【OCN】

                            16:28 03-3-23