首页
社区
课程
招聘
[原创]借第一篇破文吹一下olldbg
发表于: 2005-8-15 08:11 13106

[原创]借第一篇破文吹一下olldbg

2005-8-15 08:11
13106

呵呵,这是本人的第一篇破文,不妥之处在所难免,希望诸位大虾看后笑得声音小一点。

软件名称:zillions
编程语言:vc
运行环境:Win9x/NT/2000/XP
保护措施:启动时注册号效验  
注册费用:14刀
软件介绍:老美写的一个游戏集锦,集成了各个国家地区的小游戏,包括中国象棋、韩国版的中国象棋(改得面目全非),国象,奥赛罗,还有其他一些民间益智游戏,共计40多种,还支持自己编写游戏,二人对战,聊天等等。当然,其中的大一点的游戏,象棋类,反应速度还是很慢的,估计算法不是很好,但小游戏还是蛮有趣的。
下载地址:不详,我是从d盘中找的,不知道官方网站还支持否。
未注册限制 :启动时弹出提示窗口,不能编制自己的游戏。
破解工具:olldbg/win32dasm
我的e-mail:whb123628@sohu.com

          记得大概是03年,我从图书馆看到看雪兄写的第一本书,用极大的篇幅介绍sice,但光盘里并没有。便傻愣愣的跑到论坛来问哪儿能弄到sice。当时,雪兄的回答是,没必要非得用sice,可以用olldbg代替。我哪儿明白这个?心想:靠,这不是敷衍俺们初学者吗?加之,乱七八糟的事儿一多,就把破解这回事儿给忘了。今年夏天闲来无事,玩起了这个小游戏,也就想到了破解。参考着论坛的文章,就开始了……
        我先使用sice(win2k下),设了getwindowtexta,点注册时拦倒是拦下了,可往后再按F12时候,跳来跳去的俺就晕了。靠,动态跟不行,就来静态分析,弄开w32dasm,导入,串式参考,找到that is not a valid key,双击来到:

0040E0F8  |.  E8 A8710400   CALL Zillions.004552A5
0040E0FD  |.  8BCE          MOV ECX,ESI
0040E0FF  |.  E8 6CFDFFFF   CALL Zillions.0040DE70                ;;关键call
0040E104  |.  391E          CMP DWORD PTR DS:[ESI],EBX
0040E106  |.  74 11         JE SHORT Zillions.0040E119                ;;关键跳转

0040E108  |.  6A 30         PUSH 30
0040E10A  |.  68 2C734800   PUSH Zillions.0048732C                   ;  ASCII "Sorry!"
0040E10F  |.  68 BC724800   PUSH Zillions.004872BC                   ;  ASCII "That is not a valid unlock key.  Please make                                                         sure your name and key are typed exactly as on the registration."
0040E114  |.  E9 4D010000   JMP Zillions.0040E266

        看到JE SHORT Zillions.0040E119没,为啥说是关键跳转呢?顺藤摸瓜到40e119处一看能知道,只要来到40e119,往下不管再怎么跳,总会是一个比较不错的结果,象是什么“already registered","thanks for registration"之类的;而如果不跳,那就只有死路一条:“当”的一声,然后对你说sorry。那关键的跳转找到了,暴力破解?可是改成jne后呢,是弹出注册成功了,但再次打开后,却告诉你已经在另一台机器注册了。这下俺又晕了(看官:怎么这么容易晕呢?回答:因为俺是菜鸟啊!)
        说到这儿,场外的老鸟可能会不耐烦地:你小子傻吗?它重开之后,还会再次检测序列号的,不对就跳到别处了。呵呵,老鸟息怒,这个道理俺也是后来才明白过来。俺相信,肯定有不少像俺一样初学破解的人,对整个过程充满疑问,为什么这个call是关键的?为什么不用这个方法?这样行不行?……所以,俺尽可能把思路说一下,包括不成功的。因为,俺也是试了好几种办法,才摸到门的。老鸟,不行,您先出去透透气儿?
        又有人要问:说到这儿,你还没跟主题挂钩呢?不错,俺这篇东东是吹olldbg,俺之所以这么写,主要是实事求是。也是想告诉您,其实以上用w32dasm所做的,用olldbg也可以完全代替,包括那些文字都是从olldbg里copy来的,w32dasm有此功能吗?没找到。详细的,你可以参考精华5中bjstan等的文章,俺就是从那儿入门的。对了要注意的就是,在选项--〉调试设置---〉异常中最好是把所有的钩都画上。否则会不断地因为异常中断,俺到这儿时,又晕了半天才发现这个窍门的。
        好的,以下开始olldbg:载入文件,F9运行,弹出对话框,确定,来到程序。来到olldbg,ALT+c,到代码窗口,ctr+g,输入0040E0FF,来到那个靠,看看到底靠什么?双击代码设上断点。回到zillion,help--〉unlock full version,重新输入name或key,(否则不判断的),按ok,拦下,F7跟入call,来到:

0040DE70  /$  81EC 04010000 SUB ESP,104
0040DE76  |.  53            PUSH EBX
0040DE77  |.  8B59 04       MOV EBX,DWORD PTR DS:[ECX+4]

        (此处略去几百字)
0040DE92  |.  BD 99F0F502   MOV EBP,2F5F099                                   ;;最后结果就在ebp中
        (此处略去几百字)

0040DEAD  |.  8BFB          MOV EDI,EBX                                      
0040DEAF  |.  83C9 FF       OR ECX,FFFFFFFF                                       
0040DEB2  |.  F2:AE         REPNE SCAS BYTE PTR ES:[EDI]
0040DEB4  |.  F7D1          NOT ECX
0040DEB6  |.  49            DEC ECX                                          ;  ;前四句算name的长度,是0的话跳走
0040DEB7  |.  74 2A         JE SHORT Zillions.0040DEE3
                                                                             ;第一种算法:
0040DEB9  |>  69ED 34BC6A61 /IMUL EBP,EBP,616ABC34                               
0040DEBF  |.  0FBE4C14 14   |MOVSX ECX,BYTE PTR SS:[ESP+EDX+14]              ;  每次循环取名字的一位,我的是'whb',下边小窗口
0040DEC4  |.  81C5 FFDEF302 |ADD EBP,2F3DEFF                                        能看到'w'
0040DECA  |.  8BFB          |MOV EDI,EBX                                     ;  ;'whb'
0040DECC  |.  81F5 7622E21D |XOR EBP,1DE22276
0040DED2  |.  33C0          |XOR EAX,EAX
0040DED4  |.  03E9          |ADD EBP,ECX                                     ;  ecx:the asc2 of 'w'
0040DED6  |.  83C9 FF       |OR ECX,FFFFFFFF
0040DED9  |.  42            |INC EDX                                         ;  ;计数器
0040DEDA  |.  F2:AE         |REPNE SCAS BYTE PTR ES:[EDI]                    
0040DEDC  |.  F7D1          |NOT ECX
0040DEDE  |.  49            |DEC ECX                                         ;上三句经典组合,计算'whb'长度
0040DEDF  |.  3BD1          |CMP EDX,ECX
0040DEE1  |.^ 72 D6         \JB SHORT Zillions.0040DEB9                      ;  ;rep 3 times
0040DEE3  |>  8B5424 10     MOV EDX,DWORD PTR SS:[ESP+10]                     ;DWORD PTR SS:[ESP+10]:输入的sn
0040DEE7  |.  33C0          XOR EAX,EAX
0040DEE9  |.  396A 08       CMP DWORD PTR DS:[EDX+8],EBP                     ;  ;compare sn and ebp
0040DEEC  |.  0F94C0        SETE AL                                          
0040DEEF  |.  85C0          TEST EAX,EAX                                     
0040DEF1  |.  75 5D         JNZ SHORT Zillions.0040DF50                             ;前四句,经典组合,判断你的注册码和他的是否同
0040DEF3  |.  8BFB          MOV EDI,EBX                                      
0040DEF5  |.  83C9 FF       OR ECX,FFFFFFFF
0040DEF8  |.  33F6          XOR ESI,ESI
0040DEFA  |.  BD 99F0F502   MOV EBP,2F5F099
0040DEFF  |.  F2:AE         REPNE SCAS BYTE PTR ES:[EDI]
0040DF01  |.  F7D1          NOT ECX
0040DF03  |.  49            DEC ECX
0040DF04  |.  74 3C         JE SHORT Zillions.0040DF42
                                                                             ;第二种算法:
0040DF06  |>  0FBE5434 14   /MOVSX EDX,BYTE PTR SS:[ESP+ESI+14]              ;  'w'=0x77
0040DF0B  |.  52            |PUSH EDX
0040DF0C  |.  E8 1D8B0200   |CALL Zillions.00436A2E                             ;把得到的asc码-0x20
0040DF11  |.  69ED 34BC6A61 |IMUL EBP,EBP,616ABC34                           ;  ;eax<--0x57
0040DF17  |.  81C5 FFDEF302 |ADD EBP,2F3DEFF
0040DF1D  |.  83C4 04       |ADD ESP,4
0040DF20  |.  81F5 7622E21D |XOR EBP,1DE22276
0040DF26  |.  83C9 FF       |OR ECX,FFFFFFFF
0040DF29  |.  03E8          |ADD EBP,EAX                                    
0040DF2B  |.  8B4424 10     |MOV EAX,DWORD PTR SS:[ESP+10]
0040DF2F  |.  46            |INC ESI
0040DF30  |.  8B78 04       |MOV EDI,DWORD PTR DS:[EAX+4]               
0040DF33  |.  33C0          |XOR EAX,EAX
0040DF35  |.  F2:AE         |REPNE SCAS BYTE PTR ES:[EDI]
0040DF37  |.  F7D1          |NOT ECX
0040DF39  |.  49            |DEC ECX
0040DF3A  |.  3BF1          |CMP ESI,ECX
0040DF3C  |.^ 72 C8         \JB SHORT Zillions.0040DF06                     
0040DF3E  |.  8B5424 10     MOV EDX,DWORD PTR SS:[ESP+10]
0040DF42  |>  8B72 08       MOV ESI,DWORD PTR DS:[EDX+8]                    
0040DF45  |.  33C0          XOR EAX,EAX
0040DF47  |.  3BF5          CMP ESI,EBP
0040DF49  |.  0F94C0        SETE AL
0040DF4C  |.  85C0          TEST EAX,EAX
0040DF4E  |.  74 07         JE SHORT Zillions.0040DF57
0040DF50  |>  8BCA          MOV ECX,EDX
0040DF52  |.  E8 F9FEFFFF   CALL Zillions.0040DE50
0040DF57  |>  5F            POP EDI
0040DF58  |.  5E            POP ESI
0040DF59  |.  5D            POP EBP
0040DF5A  |.  5B            POP EBX
0040DF5B  |.  81C4 04010000 ADD ESP,104
0040DF61  \.  C3            RETN

        注意到代码前那两个大括号没?代表了两个循环体那!当俺看到这里时,心里顿时凉了起来(夏天嘛,天热),舒服!稍微看一下代码,感觉结构差不多,再联想到,注册框中说的两种注册方式,这不就是代表了两种不同的算法吗?什么?汇编不好,没关系!结合olldbg的窗口,可以在其中做注释,猜也猜个差不多,不象sice,还得不停的d。右上角是寄存器,右下角是堆栈。左下角是内存,左上是代码,二者之间部分,能看到正在处理的数据。根据ebp中数据的变化得到第一种注册码是这么算出来的:regcode=(regcode)*0x616ABC34+0x2F3DEFF)^(0x1DE22276)+名字的各位asc码
第二种和第一种类似,只不过:regcode=(regcode)*0x616ABC34+0x2F3DEFF)^(0x1DE22276)+名字的各位asc码-0x20
       
        说到这儿,我又忍不住要吹一下olldbg:根据帮助文档(我的是1.04版),这款好用的东东是共享软件,所谓共享,其实就是向作者邮箱发一封e-mail提提意见,也就是不要钱,这与小可”有饭大家吃“的思想不谋而合。作者的这种敬业的精神也令人钦佩。都说trw与sice比肩,是国人的骄傲。不知道何时我们能有象olldbg这样的好东东,集静态分析,动态跟踪,编辑修改于一身,令众多的共享工具几于无用武之地。

附上注册机:(在vc6.0带的c编译器下通过)
#include "stdio.h"
#include "string.h"
main()
{
char name[80];
int i;
unsigned long regcode=0;
printf("\n\n\n**********keygen of zillions, made by whb603**********\n");
printf("\n\nPlease input your name:");
gets(name);
regcode=0x2F5F099;
for(i=0;name[i]!='\0';i++)
{
        regcode=((regcode*0x616ABC34)+0x2F3DEFF)^(0x1DE22276);
        regcode+=name[i];
}
printf("\nThe regcode is:%u\n",regcode);        //注意:不是%d
regcode=0x2F5F099;
for(i=0;name[i]!='\0';i++)
{
        regcode=((regcode*0x616ABC34)+0x2F3DEFF)^(0x1DE22276);
        regcode+=name[i]-32;
}
printf("\nAnother regcode is:%u\n\n\n",regcode);        //注意:不是%d
}
        最后,俺又要照应题目,吹一下olldbg,等一下……场外有人嘀咕:罗罗嗦嗦,真他妈唐僧!鸡蛋,矿泉水瓶,香蕉皮等铺天盖地而至……还是闪吧:-)。

10:44 2005-8-13


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 7
支持
分享
最新回复 (13)
雪    币: 98782
活跃值: (201044)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
2
第一篇,鼓励.
2005-8-15 09:11
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
支持一下了
2005-8-15 10:37
0
雪    币: 207
活跃值: (40)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
thanks.刚才去看了,官方网站还在www.zillions-of-games.com,好像又加了好多游戏,可惜俺在家里,用猫没法子下了。
2005-8-15 11:15
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
呵呵,学习学习,同是菜鸟
2005-8-15 19:07
0
雪    币: 300
活跃值: (412)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
6
鼓励! 第一篇就这样,强!
2005-8-15 19:25
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
7
支持!希望能过发点这样的东西!
2005-8-15 20:02
0
雪    币: 3838
活跃值: (4407)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
8
最初由 CrackerABC 发布
支持!希望能过发点这样的东西!


2005-8-15 20:28
0
雪    币: 232
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
OD真的是很强啊
2005-8-15 20:54
0
雪    币: 313
活跃值: (250)
能力值: ( LV9,RANK:650 )
在线值:
发帖
回帖
粉丝
10
可以可以,俺要学习学习,争取俺也出一篇
2005-8-15 21:44
0
雪    币: 334
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
俺也争取出一篇
2005-8-19 19:19
0
雪    币: 342
活跃值: (323)
能力值: ( LV9,RANK:450 )
在线值:
发帖
回帖
粉丝
12
同是菜鸟沦落人啊,我有机会也来个第一篇...
2005-8-20 01:26
0
雪    币: 214
活跃值: (70)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
13
比俺强。。。。。。
2005-8-20 02:30
0
雪    币: 61
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
14
2005-8-20 11:48
0
游客
登录 | 注册 方可回帖
返回
//