一款印章制作软件的暴力破解与注册码的分析
说明：此文纯属技术爱好、技术交流之作，如果侵犯了你的知识产权，请谅解。
学习几天逆向知识，很想找一款软件练练手，就从**卫士的软件管理里面随便下载了一款叫做印章制作的收费软件。
一．        先查壳，显示“UPX 0.89.6 - 1.02 / 1.05 - 1.24 (Delphi) stub -> Markus & Laszlo”，采用ESP定律、修复输入表脱壳成功。
二．        用ＯＤ载入，运行，输入假的注册码。没有显示注册码错误的消息框。但是软件主窗口显示未注册。不能从MessageBox入手了，就从输入注册码的对话框下断点吧。重新运行，输入假码：０１２３４５６７８９０１２３４５６７８９，点确定被断下来了，单步往下走，直到看到
006247BF    8B45 F8         mov     eax, dword ptr [ebp-8]
006247C2    E8 75C0FDFF     call    0060083C

堆栈 ss:[0012FD94]=00D36E14, (ASCII "01234567890123456789")
eax=0012FD28

它把注册码放入ＥＡＸ，很可疑，就跟了进去：
0060083C    55              push    ebp
0060083D    8BEC            mov     ebp, esp
0060083F    51              push    ecx
00600840    50              push    eax                        //注册码压入栈
00600841    8BC1            mov     eax, ecx
00600843    E8 28010000     call    00600970
00600848    5A              pop     edx                        //弹出注册码，此时EDX指向注册码
00600849    85D2            test    edx, edx                        //判断是否为空
0060084B    74 38           je      short 00600885
0060084D    8A22            mov     ah, byte ptr [edx]
0060084F    8A42 05         mov     al, byte ptr [edx+5]
00600852    C1E0 10         shl     eax, 10
00600855    8A62 0A         mov     ah, byte ptr [edx+A]
00600858    8A42 0F         mov     al, byte ptr [edx+F]
0060085B    3D 6570756C     cmp     eax, 6C757065
00600860    75 71           jnz     short 006008D3                        //很可疑
00600862    8A62 13         mov     ah, byte ptr [edx+13]
00600865    8A42 0E         mov     al, byte ptr [edx+E]
00600868    C1E0 10         shl     eax, 10
0060086B    8A62 09         mov     ah, byte ptr [edx+9]
0060086E    8A42 04         mov     al, byte ptr [edx+4]
00600871    59              pop     ecx
00600872    36:8B11         mov     edx, dword ptr ss:[ecx]
00600875    8B52 04         mov     edx, dword ptr [edx+4]
00600878    3BC2            cmp     eax, edx
0060087A    74 13           je      short 0060088F                        //很可疑
0060087C    51              push    ecx
0060087D    90              nop
0060087E    90              nop
0060087F    90              nop
00600880    90              nop
00600881    C490 90905936   les     edx, fword ptr [eax+36599090]
00600887    8B09            mov     ecx, dword ptr [ecx]
00600889    C701 2D3E2F2E   mov     dword ptr [ecx], 2E2F3E2D
0060088F    C9              leave
00600890    C3              retn
继续单步往下走，看到它开始取密码了，有两处跳转。
分析一下，肯定不能让它跳。就没让它跳，结果F8接着运行，囧，显示一消息框“谢谢您：软件已成功注册”！
这也太简单了吧。
好了，开始爆破吧！把JNZ、JE改成JE、JNE，保存，提示“载入基址不同……”，没有理它，虽然它是在一个DLL文件中的。试试吧，看看行不行。搞这个，就得多试试，也靠运气吧！
删除注册表中的注册信息，替换文件，重新运行软件，任意输入注册码，确定。哈哈，显示已注册。
爆破成功！
注册码分析：注册码是20位，通过上面代码的分析得知，第11位是‘p’，第16位是‘e‘，第10位是‘T’，第5位是‘U’，执行“00600852    C1E0 10         shl     eax, 10“后EAX为6C750000——6C75FFFF（也可能是溢出后的结果），“00600871    59              pop     ecx”中ＥＣＸ是一个通过硬盘信息计算出的原始码，在输入注册码时显示的有并且不能修改。
本来是想写一个注册码生成器的，但是限于自己的水平，只能分析这么多了。
希望高手能指点一下。
总结：这次真实自己的运气好啊，总体上说比较顺利，花了两三个小时把它搞定了，这是本人第一次独立搞这个。不足和瑕疵之处还请大家指教。本人将虚心学习。谢谢了

看看能不能上传附件，把它传上去，文件7M多，上传不了，大家多多谅解啊

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课