题目:Winamp Skin Maker注册码分析
软件介绍:制作WinAmp的皮肤的一个小软件,可以用你喜欢的各种图片制作皮肤,设置各种效果。如果不注册,就在你制作的皮肤上显示“Unregistered
”字样,注册费$15.
目的:分析注册码算法逻辑,写个小注册机。
难度:Very Easy
工具:Softice ,PEiD
引子:今天又在光盘上找到这个小软件,来自电脑爱好者2002合订本,纯粹拿来解闷,没有想到太简单了,几分钟就搞定它,但我还是把分析过程稍微一
说吧。不要扔鸡蛋过来哟!!:)
用PEiD查看是否加壳,结果没有,是VC编写的,启动程序,打开Help菜单,点击里面的About,在弹出的对话框内,点击Register按钮,输入用户名和假注
册码,比如 wanggang,78787878。在SoftICE内下断点bpx hmemcpy,F5退出,点击OK按钮,被断下。按9次F12来到主程序代码处:
1.程序总体布局
00406346 . 8D4424 28 LEA EAX,DWORD PTR SS:[ESP+28]
0040634A . 6A 1E PUSH 1E
0040634C . 50 PUSH EAX
0040634D . 68 FD030000 PUSH 3FD
00406352 . 56 PUSH ESI
00406353 . FFD7 CALL EDI //取注册码长度
00406355 . 8D4424 08 LEA EAX,DWORD PTR SS:[ESP+8] //用户名地址送EAX
00406359 . 50 PUSH EAX
0040635A . E8 310B0000 CALL SKINNER.00406E90 //这个CALL是关键,需要F8跟入,代码在后面分析。
0040635F . 83C4 04 ADD ESP,4
00406362 . 8BF8 MOV EDI,EAX
00406364 . 8D4424 28 LEA EAX,DWORD PTR SS:[ESP+28] //前4位注册码地址送EAX。
00406368 . 50 PUSH EAX
00406369 . E8 A20B0000 CALL SKINNER.00406F10 //这个CALL是关键,需要F8跟入,代码在后面分析。
0040636E . 83C4 04 ADD ESP,4
00406371 . 85C0 TEST EAX,EAX
00406373 . 75 35 JNZ SHORT SKINNER.004063AA //此处跳转
*省去无用代码
004063AA > 3BC7 CMP EAX,EDI //这里比较得到的用户名累加和和注册码累加和。不相等就OVER。所以注册码就是EAX内用户名累加和
,然后转换为10进制数即可得到注册码。
004063AC . 75 34 JNZ SHORT SKINNER.004063E2
004063AE . 8D4424 08 LEA EAX,DWORD PTR SS:[ESP+8]
004063B2 . 8B3D EC334100 MOV EDI,DWORD PTR DS:[<&KERNEL32.lstrcpy>
004063B8 . 50 PUSH EAX
004063B9 . 68 00294100 PUSH SKINNER.00412900
004063BE . FFD7 CALL EDI
004063C0 . 8D4C24 28 LEA ECX,DWORD PTR SS:[ESP+28]
004063C4 . 51 PUSH ECX
004063C5 . 68 80264100 PUSH SKINNER.00412680
004063CA . FFD7 CALL EDI
004063CC . 6A 02 PUSH 2
004063CE . 56 PUSH ESI
004063CF . FF15 D0344100 CALL DWORD PTR DS:[<&USER32.EndDialog>]
======================================================
上面代码返回到下面代码处:
00406248 . 68 F80B4100 PUSH SKINNER.00410BF8
0040624D . 8B3D C8344100 MOV EDI,DWORD PTR DS:[<&USER32.SetDlgItemTextA>]
00406253 . 68 FB030000 PUSH 3FB
00406258 . 56 PUSH ESI
00406259 . FFD7 CALL EDI
0040625B . 68 00294100 PUSH SKINNER.00412900
00406260 . 68 F8030000 PUSH 3F8
00406265 . 56 PUSH ESI
00406266 . FFD7 CALL EDI
00406268 . 68 80264100 PUSH SKINNER.00412680
0040626D . 68 F9030000 PUSH 3F9
00406272 . 56 PUSH ESI
00406273 . FFD7 CALL EDI
00406275 . C705 140F4100 >MOV DWORD PTR DS:[410F14],1
0040627F . 6A 40 PUSH 40
00406281 . 68 F00B4100 PUSH SKINNER.00410BF0
00406286 . 68 C80B4100 PUSH SKINNER.00410BC8
0040628B . 56 PUSH ESI
0040628C . FF15 80344100 CALL DWORD PTR DS:[<&USER32.MessageBoxA>] //成功注册对话框
======================================================
2.重要函数分析:首先看40635A的 CALL 00406E90 ,代码如下:ECX'表示本轮循环的第一次赋值的结果
00406EAA |> 0FBE0E /MOVSX ECX,BYTE PTR DS:[ESI] //依次取姓名字符,符号扩展后送ECX
00406EAD |. 8BD1 |MOV EDX,ECX //字符也送EDX
00406EAF |. 46 |INC ESI
00406EB0 |. 8D0CC9 |LEA ECX,DWORD PTR DS:[ECX+ECX*8] //ECX=9*ECX'
00406EB3 |. 8D0CCA |LEA ECX,DWORD PTR DS:[EDX+ECX*8] //ECX=8*ECX+EDX=73*ECX'
00406EB6 |. 8D0CC9 |LEA ECX,DWORD PTR DS:[ECX+ECX*8] //ECX=9*ECX=9*73*ECX'
00406EB9 |. 03CA |ADD ECX,EDX //ECX=ECX+EDX=658*ECX'
00406EBB |. 8D0C49 |LEA ECX,DWORD PTR DS:[ECX+ECX*2] // ECX=3*ECX=3*658*ECX'=1974*ECX'
00406EBE |. 83C1 19 |ADD ECX,19 //ECX=ECX+19=1974*ECX'+19h
00406EC1 |. 03C1 |ADD EAX,ECX //累加到EAX内。
00406EC3 |. 803E 00 |CMP BYTE PTR DS:[ESI],0
00406EC6 |.^75 E2 \JNZ SHORT SKINNER.00406EAA //没有结束继续循环上述过程。
00406EC8 |> 8D0445 0B00000>LEA EAX,DWORD PTR DS:[EAX*2+B] //EAX=EAX*2+Bh,累加和乘以2,加B。
00406ECF |. 3D 82841E00 CMP EAX,1E8482 //与1E8482常量比较,
00406ED4 |. 72 1C JB SHORT SKINNER.00406EF2 //小于则跳走
00406ED6 |. 3D 3E548900 CMP EAX,89543E //与89543E常量比较
00406EDB |. 76 2A JBE SHORT SKINNER.00406F07 //小于等于则跳走
------------------------------------------------------------------------
00406EF2 |> 8D0445 0800000>/LEA EAX,DWORD PTR DS:[EAX*2+8] //继续乘以2 加8。
00406EF9 |. 3D 82841E00 |CMP EAX,1E8482
00406EFE |.^72 F2 \JB SHORT SKINNER.00406EF2 //小于这个常量则循环。
00406F00 |. 8D0445 0800000>LEA EAX,DWORD PTR DS:[EAX*2+8] //大于则继续乘以2 加8。
00406F07 |> 5E POP ESI
00406F08 \. C3 RETN
======================================================
3.再看第二个关键的CALL的内容:
00406F10 /$ 53 PUSH EBX
00406F11 |. 56 PUSH ESI
00406F12 |. 8B7424 0C MOV ESI,DWORD PTR SS:[ESP+C]
00406F16 |. 57 PUSH EDI
00406F17 |. 56 PUSH ESI
00406F18 |. 33DB XOR EBX,EBX
00406F1A |. FF15 50334100 CALL DWORD PTR DS:[<&KERNEL32.lstrlenA>] //取注册码长度
00406F20 |. 8D78 FF LEA EDI,DWORD PTR DS:[EAX-1] //注册码地址送EDI
00406F23 |. B9 01000000 MOV ECX,1
00406F28 |. 85C0 TEST EAX,EAX
00406F2A |. 7E 15 JLE SHORT SKINNER.00406F41
00406F2C |> 0FBE143E /MOVSX EDX,BYTE PTR DS:[ESI+EDI] //从最高位取注册码送EDX,循环开始
00406F30 |. 83EA 30 |SUB EDX,30 //减去30H,变成16进制数。
00406F33 |. 4F |DEC EDI
00406F34 |. 0FAFD1 |IMUL EDX,ECX //与ECX相乘,ECX是十进制数位权,个,十,百,千等。
00406F37 |. 03DA |ADD EBX,EDX //累加到EBX内
00406F39 |. 8D0C89 |LEA ECX,DWORD PTR DS:[ECX+ECX*4] //计算下一位的位权,ECX=5*ECX'
00406F3C |. 03C9 |ADD ECX,ECX //ECX=2*ECX=10*ECX',所以是按照10进制乘位权。
00406F3E |. 48 |DEC EAX
00406F3F |.^75 EB \JNZ SHORT SKINNER.00406F2C //如果EAX不为0,继续循环
00406F41 |> 8BC3 MOV EAX,EBX //累加和送EAX返回主调函数。
00406F43 |. 5F POP EDI
00406F44 |. 5E POP ESI
00406F45 |. 5B POP EBX
00406F46 \. C3 RETN
=======================================================
4.这个小程序的C语言注册机,已经调试通过:
/*keygen for skinner of winamp*/
#include "stdio.h"
main()
{
char name[20];
long c=0,s=0;
int l,i;
clrscr();
printf("This keygen is made by Mr.QduWg\n");
printf("please input your name,the lenth is less 20 letters without including space");
scanf("%s",name);
printf("%s\n",name);
l=strlen(name);
printf("%d\n",l);
for(i=0;i<l;i++)
{ printf("name[i]=%x",*(name+i));
c=name[i]*9;
c=8*c+name[i];
c=9*c;
c=c+name[i];
c=3*c;
c=c+25;
s=s+c;
}
printf("code1=%ld\n",s);
s=2*s+0xB;
printf("the code is %ld\n",s);
if(s<0x1e8482)
{do
s=s*2+8;
while(s<0x1e8482); }
else if(s<=0x89543e)
printf("Your Regsiter key is %ld\n",s);
printf("Thank you for use this keygen!\n");
getchar();
}
=======================================================
后记:经过2个小时的调试加写这篇破文,如Ku大侠说的那样,我们应该抽时间坐下来好好分析注册算法,只有这样才可以提高水平。这就是我响应其号召
的一篇注册码分析破文,算法实在简单,让大侠见笑了!要知道不积圭步,无以至千里!所以,从简单的开始比较容易积累信心和经验!一开始分析比较
复杂的程序算法,如果失败也是暂时的,但是让人感到郁闷!茶饭不思!
给出几个结果:
wanggang --------3324627
liuxin-----------2625731(731??听起来比较可怕吧)
ilovecracker-----5030363
感谢您花费宝贵时间浏览。
QduWg
qduwg@163.com
2006年1月14日晚完稿
[注意]APP应用上架合规检测服务,协助应用顺利上架!