• 标 题:教菜鸟写注册机——高级篇
  • 作 者:RoBa
  • 时 间:004-09-07,10:51
  • 链 接:http://bbs.pediy.com

教菜鸟写注册机——高级篇(注意我这里说的高级只是对偶辈菜鸟来说是难一些)

HEYA,我又来灌喽!还是那个系列的第3位CRACKME。下载:
http://opencrackmes.crackmes.de/ope...ackmes/k4n3.zip点击此处本地下载

用W32DASM来反,(可以先看后面说明)

代码:
:004011BF 6A45                    push 00000045 :004011C1 50                      push eax :004011C2 A4                      movsb * Reference To: USER32.GetDlgItemTextA, Ord:0104h                                   | :004011C3 8B3DA8404000            mov edidword ptr [004040A8]  ;注意这里把地址放在EDI * Possible Reference to Dialog: DialogID_0065, CONTROL_ID:03E8, ""                                   | :004011C9 68E8030000              push 000003E8 :004011CE 51                      push ecx :004011CF FFD7                    call edi    ;实际是CALL GetDlgItemTextA,得到用户名 :004011D1 8BF0                    mov esieax :004011D3 85F6                    test esiesi :004011D5 0F844B010000            je 00401326 :004011DB 83FE40                  cmp esi, 00000040 :004011DE 0F8742010000            ja 00401326 :004011E4 8B4508                  mov eaxdword ptr [ebp+08] :004011E7 8D5594                  lea edxdword ptr [ebp-6C] :004011EA 6A13                    push 00000013 :004011EC 52                      push edx * Possible Reference to Dialog: DialogID_0065, CONTROL_ID:03E9, ""                                   | :004011ED 68E9030000              push 000003E9 :004011F2 50                      push eax :004011F3 FFD7                    call edi    ;再次调用GetDlgItemText,得到注册码 :004011F5 6BC003                  imul eax, 00000003  ;EAX是注册码的长度 :004011F8 C1E002                  shl eax, 02    ;左移二位 :004011FB 05CD000000              add eax, 000000CD  ;加上0CD :00401200 8945FC                  mov dword ptr [ebp-04], eax :00401203 817DFCA5010000          cmp dword ptr [ebp-04], 000001A5;看看计算结果是不是1A5 :0040120A 0F85BC000000            jne 004012CC    ;不是就死,可以逆算出(1A5-0CD)>>2=12 :00401210 33C0                    xor eaxeax    ;即注册码不能小于12h位 :00401212 8A4594                  mov albyte ptr [ebp-6C] :00401215 84C0                    test alal :00401217 7413                    je 0040122C :00401219 8D4D94                  lea ecxdword ptr [ebp-6C] * Referenced by a (U)nconditional or (C)onditional Jump at Address: |:0040122A(C) | :0040121C 3C30                    cmp al, 30 :0040121E 0F82C6000000            jb 004012EA    ;注册码每位不能小于30h,即'0' :00401224 8A4101                  mov albyte ptr [ecx+01] :00401227 41                      inc ecx :00401228 84C0                    test alal :0040122A 75F0                    jne 0040121C * Referenced by a (U)nconditional or (C)onditional Jump at Address: |:00401217(C) | :0040122C E8CFFDFFFF              call 00401000    ;这是什么呀?好像很重要哟,进去看看! :00401231 8D852CFFFFFF            lea eaxdword ptr [ebp+FFFFFF2C] :00401237 50                      push eax :00401238 E843FEFFFF              call 00401080    ;转换过程一,跟进 :0040123D 8945FC                  mov dword ptr [ebp-04], eax :00401240 E8BBFDFFFF              call 00401000    ;还进去不?呀....别打我! :00401245 8D8D2CFFFFFF            lea ecxdword ptr [ebp+FFFFFF2C] :0040124B 56                      push esi :0040124C 51                      push ecx :0040124D E8BEFDFFFF              call 00401010 :00401252 83C40C                  add esp, 0000000C :00401255 33C9                    xor ecxecx * Referenced by a (U)nconditional or (C)onditional Jump at Address: |:00401284(C) | :00401257 8B45FC                  mov eaxdword ptr [ebp-04] \ :0040125A 33D2                    xor edxedx                | :0040125C BE1A000000              mov esi, 0000001A           | :00401261 F7F6                    div esi                     | :00401263 8A941510FFFFFF          mov dlbyte ptr [ebp+edx-000000F0] :0040126A 88540DC8                mov byte ptr [ebp+ecx-38], dl| :0040126E 8B45FC                  mov eaxdword ptr [ebp-04] | :00401271 C1E003                  shl eax, 03                 |---转换过程二 :00401274 BA45230100              mov edx, 00012345           | :00401279 F7E8                    imul eax                     | :0040127B 03C2                    add eaxedx                | :0040127D 8945FC                  mov dword ptr [ebp-04], eax | :00401280 41                      inc ecx                     | :00401281 83F912                  cmp ecx, 00000012           | :00401284 72D1                    jb 00401257                 / :00401286 E875FDFFFF              call 00401000       :0040128B 33C0                    xor eaxeax * Referenced by a (U)nconditional or (C)onditional Jump at Address: |:004012A2(C) | :0040128D 8A4C0594                mov clbyte ptr [ebp+eax-6C] \ :00401291 8A5405C8                mov dlbyte ptr [ebp+eax-38] | :00401295 80E930                  sub cl, 30                    | :00401298 32D1                    xor dlcl                    |---转换过程三 :0040129A 885405C8                mov byte ptr [ebp+eax-38], dl | :0040129E 40                      inc eax                       | :0040129F 83F812                  cmp eax, 00000012             | :004012A2 72E9                    jb 0040128D                   / :004012A4 E857FDFFFF              call 00401000 :004012A9 8D55C8                  lea edxdword ptr [ebp-38] :004012AC 52                      push edx :004012AD E85EFEFFFF              call 00401110    ;转换过程四 :004012B2 E849FDFFFF              call 00401000     :004012B7 8D45C8                  lea eaxdword ptr [ebp-38] * Possible StringData Ref from Data Obj ->"KEYGENNING4NEWBIES"                                   | :004012BA 6814514000              push 00405114    ;固定字串"KEYGENNING4NEWBIES" :004012BF 50                      push eax    ;上面转换而来的字串 :004012C0 E86BFEFFFF              call 00401130    ;进行比较 :004012C5 83C40C                  add esp, 0000000C :004012C8 85C0                    test eaxeax :004012CA 753C                    jne 00401308    ;关键跳转

找串式参考,然后向上很容易找到关键跳转。可以发现是对EAX进行判断,在一般情况下这EAX就是上面CALL的返回值了。再看CALL上面有两个PUSH,猜猜是什么?应该是对字符串比较吧。在上面就可以看出405114是一个固定的字串"KEYGENNIG4NEWBIES",动态跟一跟看EAX是啥,果然,也是一个同样长度的字符串。这时几乎可以肯定这个EAX就是我们的用户名和注册码进行某种运算产生的结果。那么我们就跟一跟看:

从前面的方法找到这个函数的开头,开头还是一些初始化的东东,向下看,可以找到一个API:GetDlgItemText这个API从名字猜猜看,就是我们介绍过的GetDlgItem和GetWindowText和“合体” 具体说明请查资料,我不写了。值得一提的是程序把这个CALL的地址先放在EDI里,以后每次调用时只用CALL EDI就行了,这是多次调用同一API时翻译器的优化方法,注意!

调用这个API后返回值是得到的文本的长度,然后在后面对注册码的长度进行一些计算(注释在上面),我们可以反算出注册码的长度为12h位(多于12h位也可以,因为只取前12h位)。

然后就是一个CALL 401000,我直觉感到这是一个重要的CALL,结果跟进去一看:!@#$%,只是把几个寄存器清零了,这告诉我们:直觉会有出错的时候,代码才是检验真理的唯一标准

下面一个CALL 401080,在它前面压入了一个参数正是我们的用户名,我直觉感到这个CALL有问题。跟进看看,这回对了啦:
代码:
* Referenced by a CALL at Address: |:00401238    | :00401080 55                      push ebp :00401081 8BEC                    mov ebpesp :00401083 51                      push ecx :00401084 53                      push ebx :00401085 56                      push esi :00401086 57                      push edi * Possible StringData Ref from Data Obj ->"eheh"                                   | :00401087 6880504000              push 00405080 :0040108C 6A00                    push 00000000 :0040108E E8ADFFFFFF              call 00401040    ;这个CALL有问题 :00401093 83C408                  add esp, 00000008 :00401096 8BD8                    mov ebxeax :00401098 E863FFFFFF              call 00401000 * Possible StringData Ref from Data Obj ->" is a whore."                                   | :0040109D BF70504000              mov edi, 00405070 :004010A2 83C9FF                  or ecx, FFFFFFFF :004010A5 33C0                    xor eaxeax :004010A7 F2                      repnz :004010A8 AE                      scasb :004010A9 F7D1                    not ecx :004010AB 2BF9                    sub ediecx :004010AD 8BF7                    mov esiedi :004010AF 8B7D08                  mov edidword ptr [ebp+08] :004010B2 8BD1                    mov edxecx :004010B4 83C9FF                  or ecx, FFFFFFFF :004010B7 F2                      repnz :004010B8 AE                      scasb :004010B9 8BCA                    mov ecxedx :004010BB 4F                      dec edi :004010BC C1E902                  shr ecx, 02 :004010BF F3                      repz :004010C0 A5                      movsd :004010C1 8BCA                    mov ecxedx :004010C3 83E103                  and ecx, 00000003 :004010C6 F3                      repz :004010C7 A4                      movsb :004010C8 33FF                    xor ediedi :004010CA 33F6                    xor esiesi    ;上面这一段是不是有点晕,没关系,只看结果 * Referenced by a (U)nconditional or (C)onditional Jump at Address: |:004010F6(C) | :004010CC 8B4508                  mov eaxdword ptr [ebp+08] :004010CF 50                      push eax    ;在这里D eax看看是什么,RoBa is a whore. :004010D0 56                      push esi    ;ESI每次加4,从第ESI个字符开始取值 :004010D1 E86AFFFFFF              call 00401040    ;还是上面的CALL :004010D6 8B8E30504000            mov ecxdword ptr [esi+00405030];这也是一个表,从里面取值 :004010DC 83C408                  add esp, 00000008 :004010DF 33CF                    xor ecxedi :004010E1 03C1                    add eaxecx :004010E3 8945FC                  mov dword ptr [ebp-04], eax :004010E6 C145FC07                rol dword ptr [ebp-04], 07  ;ROL是一个“滚动”移位 :004010EA 8B45FC                  mov eaxdword ptr [ebp-04] :004010ED 83C604                  add esi, 00000004 :004010F0 33D8                    xor ebxeax    ;进行一些运算,EBX最初是"eheh"=68656865 :004010F2 47                      inc edi :004010F3 83FE40                  cmp esi, 00000040  ;ESI每次加4,所以这是计算10H=16次 :004010F6 7CD4                    jl 004010CC    ;这里是循环计算 :004010F8 5F                      pop edi :004010F9 8BC3                    mov eaxebx :004010FB 5E                      pop esi :004010FC 5B                      pop ebx :004010FD 8BE5                    mov espebp :004010FF 5D                      pop ebp :00401100 C3                      ret

呵呵,别害怕,这是整个程序最复杂的一处运算,过了这儿就简单了

一上来压入了一个"eheh",一个0,然后一个CALL 401040,我跟进。。。。别着急,先带过看返回值是什么?嗯,EAX=68656865。作了这么多练习了,你的“先死”练出来了么?这个EAX怎么这么别扭,就是"eheh"倒过来了呀。'e'=65h,'h'=68h。当然如果没有看出来,跟进一下更保险了

再向下,一个字串" is a whore."(whore什么意思牙,我英语太菜)接下来就是倒来倒去。记住repnz scasb/ repnz movsd这样的计算经常是字符串的计算。我们不算三七二十一先走过这一段看看结果如何。走到4010CF时下D eax。呵呵,是"RoBa is a whore."(到底是什么意思?不是骂我的吧)。可见上面那一段就是把用户名接上一个" is a whore." 所以,看不懂的计算不妨先跳过去,往往结果却非常明了。

接下来就是一个循环。又用了CALL 401040。这次是从字串"RoBa is a whore."里取值,而第二个参数ESI每次加4,可以看出它是控制从第几个字符开始取。从循环的最后可以看出要算10h次。

每次从字串中取出四个字符放在EAX中后,再从[405030]这个表里从一个值,进行一些计算,把结果与EBX进行XOR,(EBX最初是上面得到的68656865)。这个CALL返回的值就是10H次计算后的EBX。(这一段较乱,也不太好说明,亲自跟一下就会明白,有疑问请看我的注册机是如何实现的。或者直接找我啦)

好了,我们出来喽,往下走,把返回放在[EBP-4],清空一些寄存器,又来到一个循环。(过程二)
代码:
:00401257 8B45FC                  mov eaxdword ptr [ebp-04]  ;最初这里是上面过程一的结果 :0040125A 33D2                    xor edxedx       :0040125C BE1A000000              mov esi, 0000001A     :00401261 F7F6                    div esi      ;除以1Ah=26 :00401263 8A941510FFFFFF          mov dlbyte ptr [ebp+edx-000000F0];根据余数从表中取值 :0040126A 88540DC8                mov byte ptr [ebp+ecx-38], dl  ;把取得的值组成一个字串 :0040126E 8B45FC                  mov eaxdword ptr [ebp-04]   :00401271 C1E003                  shl eax, 03       :00401274 BA45230100              mov edx, 00012345     :00401279 F7E8                    imul eax       :0040127B 03C2                    add eaxedx      ;进行一些计算,准备下次再取 :0040127D 8945FC                  mov dword ptr [ebp-04], eax   :00401280 41                      inc ecx      ;ECX是循环变量 :00401281 83F912                  cmp ecx, 00000012    ;共计算12h=18次 :00401284 72D1                    jb 00401257      

先讲下DIV除法运算。它把商放在EAX,余数放在EDX。在这里我们可以看到除以1Ah即26。[ebp-F0]看看是啥,哈哈是一个字符表"ABCDEFGHIJKLMNOPQRSTUVWXYZ"。根据除得的余数从这个表中取出一个字符,(恰好除以26)。然后把取出的字符放在[ebp+ecx-38]这个地方,因为ECX是递增的,这样就形成了一个新串。对后面的计算也有一点要说明。imul eax这句,是两个32位的数相乘,这样结果会是64位,结果的高32位放在EDX,低32放入EAX,一定要注意!

下面我们来到过程三:
代码:
:0040128D 8A4C0594                mov clbyte ptr [ebp+eax-6C]  ;循环取假注册码 :00401291 8A5405C8                mov dlbyte ptr [ebp+eax-38]  ;循环取过程二的结果字串 :00401295 80E930                  sub cl, 30       :00401298 32D1                    xor dlcl       :0040129A 885405C8                mov byte ptr [ebp+eax-38], dl   :0040129E 40                      inc eax      ;EAX是循环变量 :0040129F 83F812                  cmp eax, 00000012    ;还是18位 :004012A2 72E9                    jb 0040128D      

又一个循环,EAX是循环变量,[EBP-38]记得是什么,就是过程二得到的那个新串。[EBP-6C]呢,在很远的上面,就是我们的假注册码。用EAX控制每次取一个字符,然后(假码的字符-30h) XOR 新串的字符,生成的新的新串还放在[EBP-38].

好了,先别晕,下面还有:

lea edx,[EBP-38]。这时EDX是过程三产生的新串了,又压进去,然后CALL 401110。跟进过程四:
代码:
:00401110 8B4C2404                mov ecxdword ptr [esp+04]  ;[ESP+4]就是上面PUSH来的字串啦 :00401114 33C0                    xor eaxeax * Referenced by a (U)nconditional or (C)onditional Jump at Address: |:00401122(C) | :00401116 8A1408                  mov dlbyte ptr [eax+ecx]  ;依次取过程三产生的新串 :00401119 32D0                    xor dlal      ;与循环变量XOR :0040111B 881408                  mov byte ptr [eax+ecx], dl  ;放好结果 :0040111E 40                      inc eax :0040111F 83F812                  cmp eax, 00000012    ;EAX为循环变量,计算12H=18次 :00401122 72F2                    jb 00401116   :00401124 C3                      ret

这个比较简单吧。CHEERS!最终结果终于出来了,然后判断这个最终结果是不是一个固定字串。当然我们的胡乱输入得不到字串"KEYGENNING4NEWBIES"的。那么应该怎么办呢?过程一和过程二都是对用户名的计算,这两步是不可逆的。也就是说从用户名N算出一个新串K,我们不能从K算出N来(我以为是这样,即使可逆应该也十分复杂)可以表示成 F12(N)=K。然后新串K和注册码S都参考计算,又得出一个新串K'。这是过程三,这个计算可逆(不明白?我在最后有说明)。F3(K,S)=K'。再从K'得到一个K''(过程四,也是可逆的)。最后判断这个K''是不是等于固定字串,即判断是否F4(K')=K''="KEYGENNING4NEWBIES"。

我们写注册机时呢,既然过程一和二(F12)不可逆,我们把它照抄下来得到K,然后可以从"KEYGENNING4NEWBIES"反算(过程四的逆运算)F4'("KEYGENNING4NEWBIES")=K''。最后F2可逆,所以可以求出F3'(K,K')=S。这样就根据用户名求出了注册码S。

(不知各位看懂没有,我自己都说晕了,这种符号表示真麻烦。其实只要想一想就发现很简单的。)

注册机:(C,写得很烂,各位将就)
代码:
#include <stdio.h> #include <stdlib.h> #include <string.h> void main() {   unsigned int iEAX,iEBX,i;   char st[]="KEYGENNING4NEWBIES";   char alpha[]="ABCDEFGHIJKLMNOPQRSTUVWXYZ";  //过程二用到的表   char name[70]={0};   int st1[]={     0x12,0x5C,0x34,0x22,0xAB,0x9D,0x54,0x00,     0xDD,0x84,0xAE,0x66,0x31,0x78,0x73,0xCF  //过程一用到的表     };   char st2[20]={0};   char password[20]={0};   printf("Please input your name:");   scanf("%s",name);   strcat(name," is a whore.");      iEBX=0x68656865;   for (i=0;i<16;i++)   {     iEAX=(name[i*4])|(name[i*4+1]<<8)|       (name[i*4+2]<<16)|(name[i*4+3]<<24);     iEAX+=(st1[i]^i);     iEAX=(iEAX<<7)|(iEAX>>25);  //我用这个表示ROL     iEBX^=iEAX;   }        //过程一   iEAX=iEBX;   for (i=0;i<0x12;i++)   {     int k=iEAX%26;     st2[i]=alpha[k];     __asm     {       mov eax,iEAX       shl eax,3       mov edx,12345h       imul eax       add eax,edx       mov iEAX,eax     }      //用了汇编   }        //过程二   for (i=0;i<18;i++)     st[i]=st[i]^i;    //过程四的逆运算   for (i=0;i<18;i++)   {     password[i]=st2[i]^st[i];     password[i]+=0x30;   }        //过程三的逆运算,得到注册码   printf("Your Serial number is:\n%s\n",password);   printf("Keygen by RoBa\nEnjoy Cracking!\n"); }

一个可用的用户名:RoBa
注册码::98D34M<N9?:AH85F

这个CRACKME设计有点缺陷,算出的注册码有可能是不可显示字符。开始我以为是我注册机错了,可把字符串粘贴过去以后是正确的。

一点说明:过程二的那个乘法我前面说了,其实结果是64位的,而高级语言里表示64位真的很麻烦,我只知道C里面有一个__int64,但程序老是出错,不得已加进了一段汇编,简单几句就解决了,可见汇编决不能丢掉

还有过程三和过程四为什么可逆,我想各位菜鸟同胞搞不清的可能就是异或。我可以明确的告诉大家,XOR运算是可逆的,逆运算仍然是XOR。下面我来证明:因为XOR是按位计算,所以只要一个二进制位的XOR可逆,那么整个数的计算也就可逆。来看

当A=0,B=0时,C=A XOR B=0,那么A=C XOR B=0,B=C XOR A=0
当A=0,B=1时,C=A XOR B=1,那么A=C XOR B=0,B=C XOR A=1
当A=1,B=0时,C=A XOR B=1,那么A=C XOR B=1,B=C XOR A=0
当A=1,B=1时,C=A XOR B=0,那么A=C XOR B=1,B=C XOR A=1
 
我说的对吧?

后记:这个CRACKME单从注册算法来说算是比较复杂的了,能够达到大部分共享软件的水平(某些采用密码学算法的BT除外)。对于新手来说可能会有些吃力(写破文更费劲),但如果能够弄明白的话,相信你已经能够搞定很大一部分软件的算法了。

当然,在具体的软件保护中不光是要解开算法,PE文件知识、壳的知识等也非常重要。(我正学脱壳,已经能脱UPX,ASPack了,呵呵,是不是很白痴。。。)让我们一起努力吧。