-
-
[原创]一次简单的算法分析
-
发表于: 2006-7-27 11:21 5464
-
【文章标题】: 一次简单的算法分析
【文章作者】: 请哥慢捂
【作者邮箱】: none
【软件名称】: Fil* Tr** Print*r V3.1.6.205
【软件大小】: 398 KB
【下载地址】: http://www.skycn.com/soft/17993.html
【加壳方式】: 无
【编写语言】: Microsoft Visual C++ 7.0
【使用工具】: OD110
【操作平台】: Win9x/NT/2000/XP/2003
【软件介绍】: 将文件目录结构或CD/DVD节目列表显示、输出为TXT文
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
用OD载入,运行则出现提示注册的窗口,随便输入用户名qgmw和注册码12345678,立刻提示注册码错误的消息框。
是一个标准的windows消息框,于是在USER32.MessageBoxA处下断,再次验证时中断了,返回到程序代码空间:
004073B3 . 8B46 70 MOV EAX, DWORD PTR [ESI+70] ; 用户名qgmw,下面以n代替这个字符串
004073B6 . 8B68 F4 MOV EBP, DWORD PTR [EAX-C]
004073B9 . 83FD 02 CMP EBP, 2
004073BC . 7D 15 JGE SHORT 004073D3 ; 长度必须大于等于2
004073BE . 6A 00 PUSH 0 ; 否则提示错误
004073C0 . 6A 00 PUSH 0
004073C2 . 68 2CFF4200 PUSH 0042FF2C ; ASCII "Please input correct User Name!"
004073C7 . E8 17130200 CALL 004286E3
。。。。。。
004073D3 > 8B4E 74 MOV ECX, DWORD PTR [ESI+74] ; 假注册码12345678,下面以k代替
004073D6 . 8379 F4 08 CMP DWORD PTR [ECX-C], 8
004073DA . 7D 15 JGE SHORT 004073F1 ; 长度必须大于等于8
004073DC . 6A 00 PUSH 0 ; 否则提示错误
004073DE . 6A 00 PUSH 0
004073E0 . 68 04FF4200 PUSH 0042FF04 ; ASCII "Please input correct Registration Code!"
004073E5 . E8 F9120200 CALL 004286E3
。。。。。。
004073F1 > 8B46 70 MOV EAX, DWORD PTR [ESI+70]
004073F4 . 8B48 F4 MOV ECX, DWORD PTR [EAX-C]
004073F7 . 85C9 TEST ECX, ECX
004073F9 . 7D 0A JGE SHORT 00407405 ; 可能是对数组溢出的保护处理
004073FB . 68 57000780 PUSH 80070057 ; 只是增强程序的稳定,可以不管
00407400 . E8 0B9CFFFF CALL 00401010
00407405 > 8A10 MOV DL, BYTE PTR [EAX] ; 取n[1]=0x71,即用户名第一位
00407407 . 8B46 70 MOV EAX, DWORD PTR [ESI+70]
0040740A . 3978 F4 CMP DWORD PTR [EAX-C], EDI
0040740D . 7D 0A JGE SHORT 00407419
0040740F . 68 57000780 PUSH 80070057
00407414 . E8 F79BFFFF CALL 00401010
00407419 > 8A40 01 MOV AL, BYTE PTR [EAX+1] ; 取n[2]=0x67
0040741C . 884424 0E MOV BYTE PTR [ESP+E], AL
00407420 . 8B46 70 MOV EAX, DWORD PTR [ESI+70]
00407423 . 8B48 F4 MOV ECX, DWORD PTR [EAX-C]
00407426 . 85C9 TEST ECX, ECX
00407428 . 7D 0A JGE SHORT 00407434
0040742A . 68 57000780 PUSH 80070057
0040742F . E8 DC9BFFFF CALL 00401010
00407434 > 8B4E 70 MOV ECX, DWORD PTR [ESI+70]
00407437 . 53 PUSH EBX
00407438 . 8A18 MOV BL, BYTE PTR [EAX] ; n[1]=0x71
0040743A . 3979 F4 CMP DWORD PTR [ECX-C], EDI
0040743D . 7D 0A JGE SHORT 00407449
0040743F . 68 57000780 PUSH 80070057
00407444 . E8 C79BFFFF CALL 00401010
00407449 > 0FB6C2 MOVZX EAX, DL
0040744C . 83C8 45 OR EAX, 45 ; n[1]|0x45=0x75
0040744F . 99 CDQ
00407450 . BF 0A000000 MOV EDI, 0A
00407455 . F7FF IDIV EDI ; 上面的结果对10求余数,保存在DL
00407457 . 0FB64424 12 MOVZX EAX, BYTE PTR [ESP+12]
0040745C . 83C8 42 OR EAX, 42 ; n[2]|0x42=0x67
0040745F . 885424 16 MOV BYTE PTR [ESP+16], DL ; 保存上面的余数[esp+16]=0x07,r1
00407463 . 99 CDQ
00407464 . F7FF IDIV EDI ; 上面的结果对10求余数,保存在DL
00407466 . 0FB6C3 MOVZX EAX, BL
00407469 . 83C8 43 OR EAX, 43 ; n[1]|0x43=0x73
0040746C . 885424 12 MOV BYTE PTR [ESP+12], DL ; 保存上面的余数[esp+12]=0x03,r2
00407470 . 99 CDQ
00407471 . F7FF IDIV EDI ; 上面的结果对10求余数,保存在DL
00407473 . 0FB641 01 MOVZX EAX, BYTE PTR [ECX+1]
00407477 . 83C8 44 OR EAX, 44 ; n[2]|0x44=0x67
0040747A . 8BCF MOV ECX, EDI
0040747C . 885424 17 MOV BYTE PTR [ESP+17], DL ; 保存上面的余数[esp+17]=0x05,r3
00407480 . 99 CDQ
00407481 . F7F9 IDIV ECX ; 上面的结果对10求余数,保存在DL
00407483 . 33C0 XOR EAX, EAX
00407485 . 33C9 XOR ECX, ECX
00407487 . 85ED TEST EBP, EBP
00407489 . 885424 18 MOV BYTE PTR [ESP+18], DL ; 保存上面的余数[esp+18]=0x03,r4
0040748D . 7E 20 JLE SHORT 004074AF
0040748F . 90 NOP
00407490 > 85C9 TEST ECX, ECX
00407492 . 0F8C D2000000 JL 0040756A
00407498 . 8B7E 70 MOV EDI, DWORD PTR [ESI+70]
0040749B . 3B4F F4 CMP ECX, DWORD PTR [EDI-C]
0040749E . 0F8F C6000000 JG 0040756A
004074A4 . 0FB6140F MOVZX EDX, BYTE PTR [EDI+ECX]
004074A8 . 03C2 ADD EAX, EDX
004074AA . 41 INC ECX
004074AB . 3BCD CMP ECX, EBP
004074AD .^ 7C E1 JL SHORT 00407490 ; 循环将用户名的每一位相加,我的结果EAX=0x1BC
天知道这4个字母加起来居然是0x01BC,还真不是什么好数字呢
004074AF > 8B4E 74 MOV ECX, DWORD PTR [ESI+74] ; 下面开始处理假注册码了
004074B2 . 8B51 F4 MOV EDX, DWORD PTR [ECX-C]
004074B5 . 85D2 TEST EDX, EDX
004074B7 . 7D 0A JGE SHORT 004074C3
004074B9 . 68 57000780 PUSH 80070057
004074BE . E8 4D9BFFFF CALL 00401010
004074C3 > 8A11 MOV DL, BYTE PTR [ECX]
004074C5 . 8B4E 74 MOV ECX, DWORD PTR [ESI+74] ; 取k[1]=0x31,即注册码的第一位
004074C8 . 8379 F4 01 CMP DWORD PTR [ECX-C], 1
004074CC . 885424 19 MOV BYTE PTR [ESP+19], DL ; k[1] -> [esp+19]以及DL
004074D0 . 7D 0A JGE SHORT 004074DC
004074D2 . 68 57000780 PUSH 80070057
004074D7 . E8 349BFFFF CALL 00401010
004074DC > 8A49 01 MOV CL, BYTE PTR [ECX+1]
004074DF . 8B7E 74 MOV EDI, DWORD PTR [ESI+74]
004074E2 . 884C24 13 MOV BYTE PTR [ESP+13], CL ; k[2] -> [esp+13]
004074E6 . 837F F4 02 CMP DWORD PTR [EDI-C], 2
004074EA . 7D 0A JGE SHORT 004074F6
004074EC . 68 57000780 PUSH 80070057
004074F1 . E8 1A9BFFFF CALL 00401010
004074F6 > 8A4F 02 MOV CL, BYTE PTR [EDI+2]
004074F9 . 8B7E 74 MOV EDI, DWORD PTR [ESI+74]
004074FC . 884C24 14 MOV BYTE PTR [ESP+14], CL ; k[3] -> [esp+14]
00407500 . 837F F4 03 CMP DWORD PTR [EDI-C], 3
00407504 . 7D 0A JGE SHORT 00407510
00407506 . 68 57000780 PUSH 80070057
0040750B . E8 009BFFFF CALL 00401010
00407510 > 8A4F 03 MOV CL, BYTE PTR [EDI+3]
00407513 . 8B7E 74 MOV EDI, DWORD PTR [ESI+74]
00407516 . 884C24 15 MOV BYTE PTR [ESP+15], CL ; k[4] -> [esp+15]
0040751A . 837F F4 04 CMP DWORD PTR [EDI-C], 4
0040751E . 7D 0A JGE SHORT 0040752A
00407520 . 68 57000780 PUSH 80070057
00407525 . E8 E69AFFFF CALL 00401010
0040752A > 8A4F 04 MOV CL, BYTE PTR [EDI+4] ; k[5] -> cl
0040752D . 8B7E 74 MOV EDI, DWORD PTR [ESI+74]
00407530 . 837F F4 05 CMP DWORD PTR [EDI-C], 5
00407534 . 7D 0A JGE SHORT 00407540
00407536 . 68 57000780 PUSH 80070057
0040753B . E8 D09AFFFF CALL 00401010
00407540 > 8A5F 05 MOV BL, BYTE PTR [EDI+5]
00407543 . 8B7E 74 MOV EDI, DWORD PTR [ESI+74]
00407546 . 885C24 1A MOV BYTE PTR [ESP+1A], BL ; k[6] -> [esp+1A]
0040754A . 837F F4 06 CMP DWORD PTR [EDI-C], 6
0040754E . 7D 0A JGE SHORT 0040755A
00407550 . 68 57000780 PUSH 80070057
00407555 . E8 B69AFFFF CALL 00401010
0040755A > 8A5F 06 MOV BL, BYTE PTR [EDI+6]
0040755D . 8B7E 74 MOV EDI, DWORD PTR [ESI+74]
00407560 . 885C24 1B MOV BYTE PTR [ESP+1B], BL ; k[7] -> [esp+1B]
00407564 . 837F F4 07 CMP DWORD PTR [EDI-C], 7
00407568 . 7D 0A JGE SHORT 00407574
0040756A > 68 57000780 PUSH 80070057
0040756F . E8 9C9AFFFF CALL 00401010
00407574 > 8A5F 07 MOV BL, BYTE PTR [EDI+7] ; k[8] -> bl
到这里用户名和注册码的预处理基本完毕,可以在内存中看一下,熟悉一下各自的位置,下面就要逐一计算比较了。
00407577 . 0FB67C24 16 MOVZX EDI, BYTE PTR [ESP+16] ; r1
0040757C . 0FB6D2 MOVZX EDX, DL ; k[1]
0040757F . 83EA 30 SUB EDX, 30
00407582 . 3BFA CMP EDI, EDX ; 比较1:k[1]-0x30 == r1
00407584 . 75 48 JNZ SHORT 004075CE ; 如果不相等,似乎也没有一下跳到出错处哦
00407586 . 0FB65424 13 MOVZX EDX, BYTE PTR [ESP+13] ; k[2]
0040758B . 0FB67C24 12 MOVZX EDI, BYTE PTR [ESP+12] ; r2
00407590 . 83EA 30 SUB EDX, 30
00407593 . 3BFA CMP EDI, EDX ; 比较2:k[2]-0x30 == r2
00407595 . 75 37 JNZ SHORT 004075CE
00407597 . 0FB65424 14 MOVZX EDX, BYTE PTR [ESP+14] ; k[3]
0040759C . 0FB67C24 17 MOVZX EDI, BYTE PTR [ESP+17] ; r3
004075A1 . 83EA 30 SUB EDX, 30
004075A4 . 3BFA CMP EDI, EDX ; 比较3:k[3]-0x30 == r3
004075A6 . 75 26 JNZ SHORT 004075CE
004075A8 . 0FB65424 15 MOVZX EDX, BYTE PTR [ESP+15] ; k[4]
004075AD . 0FB67C24 18 MOVZX EDI, BYTE PTR [ESP+18] ; r4
004075B2 . 83EA 30 SUB EDX, 30
004075B5 . 3BFA CMP EDI, EDX ; 比较4:k[4]-0x30 == r4
004075B7 . 75 15 JNZ SHORT 004075CE
004075B9 . 99 CDQ
004075BA . BF 0A000000 MOV EDI, 0A
004075BF . F7FF IDIV EDI ; EAX % 0x0A = 4,即上面求的和
004075C1 . 0FB6C2 MOVZX EAX, DL ; 上面的余数
004075C4 . 0FB6D1 MOVZX EDX, CL ; 比较5:k[5]-0x30 = 4
004075C7 . 83EA 30 SUB EDX, 30
004075CA . 3BC2 CMP EAX, EDX
004075CC . 74 3A JE SHORT 00407608 ; 完成最后一个比较,就成功了!
如果上面的条件没有满足,会跳到这里再经过一次判断:
004075CE > 807C24 19 38 CMP BYTE PTR [ESP+19], 38 ; k[1] == 0x38
004075D3 . 0F85 85000000 JNZ 0040765E ; 这次可是真的跳到失败处了
004075D9 . 807C24 13 33 CMP BYTE PTR [ESP+13], 33 ; k[2] == 0x33
004075DE . 75 7E JNZ SHORT 0040765E
004075E0 . 807C24 14 39 CMP BYTE PTR [ESP+14], 39 ; k[3] == 0x39
004075E5 . 75 77 JNZ SHORT 0040765E
004075E7 . 8A5424 15 MOV DL, BYTE PTR [ESP+15] ; k[4] == 0x31
004075EB . B0 31 MOV AL, 31
004075ED . 3AD0 CMP DL, AL
004075EF . 75 6D JNZ SHORT 0040765E
004075F1 . 80F9 33 CMP CL, 33 ; k[5] == 0x33
004075F4 . 75 68 JNZ SHORT 0040765E
004075F6 . 384424 1A CMP BYTE PTR [ESP+1A], AL ; k[6] == 0x31
004075FA . 75 62 JNZ SHORT 0040765E
004075FC . 807C24 1B 34 CMP BYTE PTR [ESP+1B], 34 ; k[7] == 0x34
00407601 . 75 5B JNZ SHORT 0040765E
00407603 . 80FB 36 CMP BL, 36 ; k[8] == 0x36
00407606 . 75 56 JNZ SHORT 0040765E ; 天啊,居然有万能注册码'83913146'
00407608 > 6A 00 PUSH 0 ; 下面不用说了,提示注册成功并且保存注册信息
0040760A . 6A 00 PUSH 0
0040760C . 68 E8FE4200 PUSH 0042FEE8 ; ASCII "Registration has succeeded!"
00407611 . E8 CD100200 CALL 004286E3
00407616 . 8B7E 70 MOV EDI, DWORD PTR [ESI+70]
00407619 . E8 8A1E0200 CALL 004294A8
0040761E . 8B40 04 MOV EAX, DWORD PTR [EAX+4]
00407621 . 57 PUSH EDI ; /Arg3
00407622 . 68 F4FD4200 PUSH 0042FDF4 ; |Arg2 = 0042FDF4 ASCII "username"
00407627 . 68 ECFD4200 PUSH 0042FDEC ; |Arg1 = 0042FDEC ASCII "Option"
0040762C . 8BC8 MOV ECX, EAX ; |
0040762E . E8 100E0200 CALL 00428443 ; \FileTree.00428443
00407633 . 8B7E 74 MOV EDI, DWORD PTR [ESI+74]
00407636 . E8 6D1E0200 CALL 004294A8
0040763B . 8B40 04 MOV EAX, DWORD PTR [EAX+4]
0040763E . 57 PUSH EDI ; /Arg3
0040763F . 68 D8FD4200 PUSH 0042FDD8 ; |Arg2 = 0042FDD8 ASCII "registration_code"
00407644 . 68 ECFD4200 PUSH 0042FDEC ; |Arg1 = 0042FDEC ASCII "Option"
00407649 . 8BC8 MOV ECX, EAX ; |
0040764B . E8 F30D0200 CALL 00428443 ; \FileTree.00428443
00407650 . 5B POP EBX
00407651 . 5F POP EDI
00407652 . 8BCE MOV ECX, ESI
00407654 . 5E POP ESI
00407655 . 5D POP EBP
00407656 . 83C4 0C ADD ESP, 0C
00407659 . E9 9B8F0100 JMP 004205F9
注册码出错的地方:
0040765E > 6A 00 PUSH 0
00407660 . 6A 00 PUSH 0
00407662 . 68 D0FE4200 PUSH 0042FED0 ; ASCII "Registration failed!"
00407667 . E8 77100200 CALL 004286E3
经过上面的分析,算法大致可以描述出来了,伪代码如下:
string username;
string regcode;
int r[4];
r[1] = (username[1] or 0x45) mod 10;
r[2] = (username[2] or 0x42) mod 10;
r[3] = (username[1] or 0x43) mod 10;
r[4] = (username[2] or 0x44) mod 10;
int sum = username逐位求和;
regcode[1] = r[1] + 0x30;
regcode[2] = r[2] + 0x30;
regcode[3] = r[3] + 0x30;
regcode[4] = r[4] + 0x30;
regcode[5] = (sum mod 10) + 0x30;
regcode[6..8]任意,当然也可以多于8位。
算法不复杂,但是如果还想偷懒一下的话就直接这样:
printf("RegCode: 83913146\n");
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2006年07月27日 11:11:11
[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!
赞赏
- 奉献一个CM 8224
- [原创]第二阶段◇第四题 15006
- [原创]第二阶段◇第二题 5219
- [原创]第二阶段◇第一题 3905
- [原创]第二阶段◇第一题 (修正,第2次提交) 6485