=============================
freshsw X-NetStat Professional 5.42 crack tutorial
=============================

=============================
程序说明

X-NetStat Professional shows your current Internet and network connections in realtime.
These connections are established each time you visit a web page,
send an instant message,check your email,
or anytime you do network activity that requires you to connect to another computer.
They also appear when outside computers attempt to connect to your machine, authorized or not.
=============================

=============================
破解说明

程序加壳 - 无壳
保护方式 - 试用期+注册码
注册保存 - 注册表
保护算法 - MD5

破解目的：
使用内存注册机方式，跳过算法分析的鸿沟 ^_^

破解结果：
Name  = MrBeer[CCG]
Email = middlebeer@sohu.com
Key   = 27490-2FFF4-2A4FE-CC645-8291B
=============================

=============================
破解分析

47E9EC  CALL xchange
5981FC  CALL MD5

1. 第一步是对程序进行查壳/脱壳，这个对于任何破解应该都是不可免除的一步。
   用PEiD检测主程序xns5.exe，无壳，BORLAND DELPHI开发。
   
2. 第二步是侦测软件的加密算法，使用Kanal，发现SHA1、MD5等算法。
   但好像通过后来的跟踪分析，发现MD5与注册算法无关。
   
3. 第三步是运行程序，进行注册，观察程序反应。
   在Register界面输入FADE用户名和注册码，分别为：
   Name  = MrBeer[CCG]
   Email = middlebeer@sohu.com
   Key   = 12345678900987654321
   注册后，程序提示"You registration key is invalid....."
   
4. 第四步是静态分析，有助于把握软件的整体构架，理清思路。
   启用PLL621大侠的C32ASM，反汇编，查看字符串。
   搜索"You registration key is invalid....."，BINGO，找到。
   
5. 第五步动态分析。XP系统下，当然是OllyDbg了。
   对访问该字符串的CALL设断，很容易跟出Key的判断跳转语句。
   通过分析，验证过程是（逻辑过程，有程序实际的实现过程有出入)：
   a. 处理Name/Email字符串，得到字符串M1。对M1进行MD5运算，运算结果转换为字符串。
      取该字符串前5位作为Key的第1段。
   b. 处理Name/Email字符串，得到字符串M2。对M2进行MD5运算，运算结果转换为字符串。
      取该字符串前5位作为Key的第2段。
   c. 处理Name/Email字符串，得到字符串M3。对M3进行MD5运算，运算结果转换为字符串。
      取该字符串前5位作为Key的第3段。
   d. 处理Name/Email字符串，得到字符串M4。对M4进行MD5运算，运算结果转换为字符串。
      取该字符串前5位作为Key的第4段。
   e. 处理Name/Email字符串，得到字符串M5。对M5进行MD5运算，运算结果转换为字符串。
      取该字符串前5位作为Key的第5段。
   f. 将计算得到5段Key与输入的Key比较，各段相同，则注册成功。
   g. 相关信息写入HKEY_CURRENT_USER\Software\X-NetStat Professional 5\Registration
   
   因为该程序的注册算法不存在单向的问题，写出注册机是不成问题的。
   不过该程序生成各段Key的所用的的对Name/Email的字符串运算相当复杂，还原出来比较费劲。
   而且该程序才用的MD5算法与以前遇见的标准MD5字符串运算都不相同，比较怪异。
   因此，决定偷懒了，采用内存注册机的办法来获得注册码，呵呵。
   
   总结：该软件的虽然使用强力的MD5算法，对Name/Email进行HASH运算，
   但最后竟然使用明码比较的方式认证注册码，功亏一篑啊。
   只有有动态调试工具，2分钟就可以跟到自己的注册码。   
=============================

=============================
源码分析

通过对字符串"You registration key is invalid....."时段，很容易跟踪到这里：
0055B0EC     /.  55                    push ebp                     ; --->整个注册算法开始
0055B0ED     |.  8BEC                  mov ebp,esp
0055B0EF     |.  83C4 E8               add esp,-18
0055B0F2     |.  33C9                  xor ecx,ecx
0055B0F4     |.  894D F8               mov dword ptr ss:[ebp-8],ecx
0055B0F7     |.  894D F4               mov dword ptr ss:[ebp-C],ecx
0055B0FA     |.  894D F0               mov dword ptr ss:[ebp-10],ecx
0055B0FD     |.  8955 E8               mov dword ptr ss:[ebp-18],edx
0055B100     |.  8945 FC               mov dword ptr ss:[ebp-4],eax
0055B103     |.  33C0                  xor eax,eax
0055B105     |.  55                    push ebp
0055B106     |.  68 88B25500           push xns5.0055B288
0055B10B     |.  64:FF30               push dword ptr fs:[eax]
0055B10E     |.  64:8920               mov dword ptr fs:[eax],esp
0055B111     |.  8D55 F8               lea edx,dword ptr ss:[ebp-8]
0055B114     |.  8B45 FC               mov eax,dword ptr ss:[ebp-4]
0055B117     |.  8B80 0C030000         mov eax,dword ptr ds:[eax+30C]
0055B11D     |.  E8 FE74EFFF           call xns5.00452620             ;  --->得到输入的Name
0055B122     |.  8D55 F4               lea edx,dword ptr ss:[ebp-C]
0055B125     |.  8B45 FC               mov eax,dword ptr ss:[ebp-4]
0055B128     |.  8B80 1C030000         mov eax,dword ptr ds:[eax+31C]
0055B12E     |.  E8 ED74EFFF           call xns5.00452620             ;  --->得到输入的Email
0055B133     |.  8D55 F0               lea edx,dword ptr ss:[ebp-10]
0055B136     |.  8B45 FC               mov eax,dword ptr ss:[ebp-4]
0055B139     |.  8B80 10030000         mov eax,dword ptr ds:[eax+310]
0055B13F     |.  E8 DC74EFFF           call xns5.00452620             ;  --->得到输入的Key
0055B144     |.  6A 02                 push 2
0055B146     |.  8B4D F0               mov ecx,dword ptr ss:[ebp-10]
0055B149     |.  8B55 F4               mov edx,dword ptr ss:[ebp-C]
0055B14C     |.  8B45 F8               mov eax,dword ptr ss:[ebp-8]
0055B14F     |.  E8 BC020000           call xns5.0055B410             ; --->关键运算/判断CALL
0055B154     |.  8845 EF               mov byte ptr ss:[ebp-11],al
0055B157     |.  807D EF 00            cmp byte ptr ss:[ebp-11],0
0055B15B     |.  0F84 C3000000         je xns5.0055B224               ; --->不跳！注册成功，将相关信息写入注册表
0055B161     |.  E8 A2FDFFFF           call xns5.0055AF08

关键运算/判断CALL：
0055B410      $  55                    push ebp
0055B411      .  8BEC                  mov ebp,esp
0055B413      .  51                    push ecx
0055B414      .  B9 0C000000           mov ecx,0C
0055B419      >  6A 00                 push 0
0055B41B      .  6A 00                 push 0
0055B41D      .  49                    dec ecx
0055B41E      .^ 75 F9                 jnz short xns5.0055B419
0055B420      .  51                    push ecx
0055B421      .  874D FC               xchg dword ptr ss:[ebp-4],ecx
0055B424      .  53                    push ebx
0055B425      .  894D F4               mov dword ptr ss:[ebp-C],ecx
0055B428      .  8955 F8               mov dword ptr ss:[ebp-8],edx
0055B42B      .  8945 FC               mov dword ptr ss:[ebp-4],eax
0055B42E      .  8B45 FC               mov eax,dword ptr ss:[ebp-4]
0055B431      .  E8 9A9BEAFF           call xns5.00404FD0
0055B436      .  8B45 F8               mov eax,dword ptr ss:[ebp-8]
0055B439      .  E8 929BEAFF           call xns5.00404FD0
0055B43E      .  8B45 F4               mov eax,dword ptr ss:[ebp-C]
0055B441      .  E8 8A9BEAFF           call xns5.00404FD0
0055B446      .  33C0                  xor eax,eax
0055B448      .  55                    push ebp
0055B449      .  68 9BB75500           push xns5.0055B79B
0055B44E      .  64:FF30               push dword ptr fs:[eax]
0055B451      .  64:8920               mov dword ptr fs:[eax],esp
0055B454      .  C645 E3 00            mov byte ptr ss:[ebp-1D],0
0055B458      .  8D4D EC               lea ecx,dword ptr ss:[ebp-14]
0055B45B      .  8B55 F8               mov edx,dword ptr ss:[ebp-8]
0055B45E      .  8B45 FC               mov eax,dword ptr ss:[ebp-4]
0055B461      .  E8 F2F3FFFF           call xns5.0055A858             ; --->运算Name & Email得到Key
0055B466      .  8D45 E4               lea eax,dword ptr ss:[ebp-1C]
0055B469      .  8B55 EC               mov edx,dword ptr ss:[ebp-14]  ; --->EDX=计算得到Key地址
0055B46C      .  E8 5797EAFF           call xns5.00404BC8
0055B471      .  8D45 E8               lea eax,dword ptr ss:[ebp-18]
0055B474      .  8B55 F4               mov edx,dword ptr ss:[ebp-C]
0055B477      .  E8 4C97EAFF           call xns5.00404BC8
0055B47C      .  0FB745 08             movzx eax,word ptr ss:[ebp+8]
0055B480      .  83F8 1F               cmp eax,1F                     ;  Switch (cases 0..1F)
0055B483      .  0F87 A6020000         ja xns5.0055B72F
0055B489      .  8A80 96B45500         mov al,byte ptr ds:[eax+55B496>
0055B48F      .  FF2485 B6B45500       jmp dword ptr ds:[eax*4+55B4B6>

Name&Email的详细算法不再详细分析，有兴趣的可以自己做。反正很繁琐。
运行过55B469，EDX中即为正确Key的地址。
让我们来内存注册之吧 ^_^

=============================

=============================
KeyGen

使用KeyMake2.0。

启动内存注册机，添加：
中断地址 55B46C
中断次数 1
第一字节 E8
指令长度 5
保存下列信息为注册码 - 内存方式
寄存器 EDX

=============================

=============================
Greeting

感谢PEiD/C32ASM/OllyDbg及其插件的开发、修改者，没有他们的杰出工作也就没有本文。
=============================

=============================
MrBeer[CCG]
16/Jul/2005
=============================

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)