[原创]Tray.Commander.v2.3 注册算法分析
发表于:
2005-11-18 12:01
8554
[原创]Tray.Commander.v2.3 注册算法分析
【破解作者】 隐者无疆[BCG]
【使用工具】 Peid,OD
【破解平台】 Win XP SP2
【软件名称】 Tray.Commander.v2.3
【下载地址】 http://www.ardamax.com
【软件简介】
Tray Commander is a tray launcher that lets you gain quick access to your most frequently used applications
and system commands via a customizable menu. Not only can you open applications and files, but also
launch screen savers, shutdown, reboot your computer and much more, all from the system tray!
【软件大小】 912kb
【加壳方式】 ACProtectV1.3X-1.4XDLL->risco *
【破解声明】 我是一只小菜鸟,偶得一点心得,愿与大家分享:)
--------------------------------------------------------------------------------
【破解内容】 1.Peid 侦壳,显示"ACProtectV1.3X-1.4XDLL->risco *" 。这里直接带壳调试
2.OD载入,用IsDebugPresent插件隐藏调试器标志。F9运行
在所有调用"GetWindowTextA" 处下断点; 输入下列内容进行试注册。
Registration Name:abcde
Registration Key :123456789
程序在431749处被断下,取消断点。F8单步运行,返回上一层调用。
察看寄存器窗口可知,前面这个Call (Call 431725)的作用是获得输入的Name;紧接着下面还有一个相同的Call,
猜测它的作用是获得输入的Key。F8单步运行至41b7ad,察看寄存器窗口,可以看到我们输入的Key,这就证明了我
们的猜测。
下面的一段代码检验输入的Name和Key是否为空,F4运行到41b7fa。
F8单步运行到41b838,看到我们前面输入的Name和Key全部被压入栈中。F7跟进。
3.运行到40464的时候,可以看到栈中压入了两个字符串,其中一个为我们输入的Key,另外一个则很像是真实的注
册码。事实证明我们的猜测是正确的。
4.在前面的404b52处下断,重新注册。被断在404b52。F7跟进
将此Call中的反汇编代码贴出如下
00403190 /$ push ecx ; TC.00489190
00403191 |. push ebx
00403192 |. push esi
00403193 |. push edi
00403194 |. mov edi ,dword ptr ds :[<&KERNEL32.lstrlenA>] ; kernel32.lstrlenA
0040319A |. push TC.0046AF88 ; /String = "5391026E7F829842"
0040319F |. call edi ; \lstrlenA
004031A1 |. mov esi ,eax ; eax =0x10
004031A3 |. mov eax ,dword ptr ss :[esp +14]
004031A7 |. push eax ; /String
004031A8 |. mov dword ptr ss :[esp +10],esi ; |
004031AC |. call edi ; \lstrlenA
004031AE |. mov ebx ,eax
004031B0 |. test ebx ,ebx
004031B2 |. jnz short TC.004031C1
004031B4 |. mov ecx ,dword ptr ss :[esp +18]
004031B8 |. pop edi
004031B9 |. pop esi
004031BA |. mov byte ptr ds :[ecx ],al
004031BC |. pop ebx
004031BD |. pop ecx
004031BE |. retn 8
004031C1 |> mov edi ,dword ptr ss :[esp +18]
004031C5 |. push TC.0046AF88 ; /String2 = "5391026E7F829842"
004031CA |. push edi ; |String1
004031CB |. call dword ptr ds :[<&KERNEL32.lstrcpyA>] ; \lstrcpyA
004031D1 |. cmp ebx ,esi
004031D3 |. jle short TC.004031DD
004031D5 |. mov eax ,ebx
004031D7 |. mov dword ptr ss :[esp +18],eax
004031DB |. jmp short TC.004031E3
004031DD |> mov eax ,esi
004031DF |. mov dword ptr ss :[esp +18],esi
004031E3 |> xor ecx ,ecx ; ecx = index
004031E5 |. test eax ,eax
004031E7 |. jle short TC.00403226
004031E9 |. push ebp
004031EA |. jmp short TC.004031F4
004031EC | lea esp ,dword ptr ss :[esp ]
004031F0 |> mov esi ,dword ptr ss :[esp +10] ; esi <= len of STR
004031F4 |> mov eax ,ecx
004031F6 |. cdq
004031F7 |. idiv esi ; 0x10 ;len of STR
004031F9 |. mov eax ,ecx ; store index ;edx!
004031FB |. mov ebp ,19
00403200 |. add ecx ,1 ; index ++
00403203 |. mov esi ,edx ; esi <= edx!
00403205 |. cdq
00403206 |. idiv ebx ; ebx = 5 注册名的长度
00403208 |. mov eax ,dword ptr ss :[esp +18] ; eax <= name ;edx!
0040320C |. movsx eax ,byte ptr ds :[edx +eax ]
00403210 |. movsx edx ,byte ptr ds :[esi +edi ] ; edi == STR
00403214 |. xor eax ,edx
00403216 |. cdq
00403217 |. idiv ebp ; ebp = 0x19 所有大写字母的数目
00403219 |. add dl ,41
0040321C |. cmp ecx ,dword ptr ss :[esp +1C]
00403220 |. mov byte ptr ds :[esi +edi ],dl
00403223 |.^ jl short TC.004031F0
00403225 |. pop ebp
00403226 |> pop edi
00403227 |. pop esi
00403228 |. pop ebx
00403229 |. pop ecx
0040322A \. retn 8
5.上面已经写出了简要的注释。下面总结注册算法如下:char str []="5391026E7F829842" ;char name[]=输入的Namechar key[20]int strlen=0x10; //str字符串的长度 int namelen=输入的Name的长度int i; //index for (i=0;i< 0x10;i++)
{
key[i]=( (name[i%namelen]^str [i%strlen]) % 0x19 ) + 0x41;
}
key[i]=0;
--------------------------------------------------------------------------------
【版权声明】 本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!