@

1、软件暴力破解的思路比较简单，一是寻找程序的关键跳转，并修改其跳转逻辑；二是动态调试程序，在内存中寻找正确的注册码（一般在strcmp函数附近）。
2、具体分析
2.1 对程序进行查壳分析

2.2 程序未加壳，利用olldbg加载改程序，寻找关键提示字符


2.3 跳转至关键提示地址，修改程序的关键跳转逻辑或从内存中直接提取出注册码，如下图所示，我们可以将跳转修改为jmp，或直接复制出注册码。

暴力破解的思路比较简单，下面分析程序生成注册码的代码逻辑（主要是太菜只能多动手，当作简单的练习拉~）
1、寻找check按钮的消息处理函数位置
这里我使用了两种方法，利用od下消息断点和利用IDA分析流程（第一种失败了，从系统的消息处理函数开始，没找到程序自己的消息处理函数，不知道原因，欢迎大佬指出，感谢~）。

1.1 利用od下消息断点
1.1.1 打开od图像界面窗口（点导航栏的w）

1.1.2 在check 按钮处下消息断点（这里是0x202消息，具体是0x201还是0x202，请自行测试）

1.1.3 点击check 触发系统消息处理函数，并在代码段下内存访问断点，运行程序（后面找了很久没找到，请大佬指点~）


1.2 利用IDA分析代码逻辑
1.2.1 根据IDA的自动分析，start函数中DialogBoxParamA函数的 DialogFunc参数即为消息处理函数。

1.2.2 寻找check按钮的消息处理函数，这里是先寻找WM_COMMAND消息，再寻找对应的按钮。

1.2.3 在OD中加载程序，跳转至消息处理函数处

2.分析代码逻辑
本程序的注册码一共分4个部分，下面逐一分析
2.1 代码片段一
本部分主体为一个循环，循环次数为用户名的长度，最后的结构地址保存在ebx中，故我们重点分析给ebx赋值的语句：
从下往上分析
sub ebx,eax ebx的值来自eax
sub eax,0x19 eax的值来自eax-0x19
movzx eax,byte ptr ds:[ecx+edi] eax的值来自用户名字符串的某一个字符的编码值，并扩展到eax中
故这段代码的逻辑是，循环取出用户名字符串中的每一个字符，减去0x19后再用ebx的值减去它，循环结束后，ebx的值即为注册码的第一段。

2.2 代码片段二
本段代码最后的结果保存在ebx中
ebx=ebx eax
eax=eax ebx
eax=ebx
所以ebx=ebx ebx ebx
（ebx即为代码片段一的结果）

2.3 代码片段三
本段代码最后的结果保存在ecx中
ecx=ecx-eax
ecx=ecxebx
ecx=ecx ^ ebx
ebx=ebx+eax
eax=0x0040E0F8
所以 ecx = 0x40E0F8 0x40E0F8- 0x40E0F8

2.4 代码片段四
代码片段四为"Bon-"

3.编写算法程序
代码片段二、三、四的逻辑比较简单，故分享代码片段二的实现代码，用C语言实现，其它代码片段实现要注意imul的操作数是有符号数（其它语言也不会，只能用C了。。。）

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课