首页
社区
课程
招聘
[分享]ScreenFlash注册算法分析
发表于: 2006-9-2 18:21 6945

[分享]ScreenFlash注册算法分析

2006-9-2 18:21
6945

【破文标题】  ScreenFlash V1.7 注册算法分析
【破文作者】  snake
【软件名称】  ScreenFlash
【下载地址】  http://unflash.com/
【调试环境】  Windows XP + SP2
【作者声明】  只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!

【破解过程】
用PEiD查壳为Microsoft Visual C++ 7.0 [Debug],无壳。

运行程序输入注册信息
Name: snake
Activation: 123456789ABC
点“Activate”按钮后提示错误信息,并把注册信息写入到注册表中

OD载入程序,下断bp RegQueryValueExA,F9运行,断下,连续按N次F9,直到堆栈显示内容为
0012D8F4   005E0E2C  /CALL 到 RegQueryValueExA 来自 SFlash.005E0E2A
0012D8F8   000000A8  |hKey = A8
0012D8FC   00DD6EB0  |ValueName = "sn"
0012D900   00000000  |Reserved = NULL
0012D904   0012D920  |pValueType = 0012D920
0012D908   00DD5E58  |Buffer = 00DD5E58
0012D90C   0012D91C  \pBufSize = 0012D91C
F2取消断点,Alt+F9返回程序领空,N次F8到004C6B2C处,算法验证处

004C6B2C   > \8B4C24 14     mov     ecx, [esp+14]                    ;  用户名
004C6B30   .  8B41 F4       mov     eax, [ecx-C]
004C6B33   .  85C0          test    eax, eax
004C6B35   .  0F8E EC010000 jle     004C6D27                         ;  不能为空
004C6B3B   .  8B5424 20     mov     edx, [esp+20]                    ;  注册码
004C6B3F   .  837A F4 0C    cmp     dword ptr [edx-C], 0C            ;  为12位字符串
004C6B43   .  0F85 DE010000 jnz     004C6D27
004C6B49   .  6A 04         push    4
004C6B4B   .  8D4424 2C     lea     eax, [esp+2C]
004C6B4F   .  50            push    eax
004C6B50   .  8D4C24 28     lea     ecx, [esp+28]
004C6B54   .  E8 27E1F4FF   call    00414C80
004C6B59   .  C64424 74 0D  mov     byte ptr [esp+74], 0D
004C6B5E   .  8D4C24 20     lea     ecx, [esp+20]
004C6B62   .  51            push    ecx
004C6B63   .  8D4C24 14     lea     ecx, [esp+14]
004C6B67   .  E8 64B9F3FF   call    004024D0
004C6B6C   .  C64424 74 0E  mov     byte ptr [esp+74], 0E
004C6B71   .  8B5424 10     mov     edx, [esp+10]
004C6B75   .  8B4C24 14     mov     ecx, [esp+14]
004C6B79   .  8B42 F4       mov     eax, [edx-C]
004C6B7C   .  8B71 F4       mov     esi, [ecx-C]
004C6B7F   .  50            push    eax
004C6B80   .  8D4C24 14     lea     ecx, [esp+14]
004C6B84   .  E8 97B9F3FF   call    00402520
004C6B89   .  50            push    eax
004C6B8A   .  56            push    esi
004C6B8B   .  8D4C24 1C     lea     ecx, [esp+1C]
004C6B8F   .  E8 8CB9F3FF   call    00402520
004C6B94   .  8BF8          mov     edi, eax
004C6B96   .  E8 85DFFFFF   call    004C4B20                         ;  算法验证call
;根据前4位注册码生成最后4位注册码,并与假码的最后4位相比较,al=1继续验证
{{{
004C4B20  /$  81EC 18010000 sub     esp, 118
004C4B26  |.  A1 00156900   mov     eax, [691500]
004C4B2B  |.  53            push    ebx
004C4B2C  |.  55            push    ebp
004C4B2D  |.  8BAC24 240100>mov     ebp, [esp+124]
004C4B34  |.  56            push    esi
004C4B35  |.  8D7424 20     lea     esi, [esp+20]
004C4B39  |.  898424 200100>mov     [esp+120], eax
004C4B40  |.  E8 5BFFFFFF   call    004C4AA0                         ;  生成长字符串

"ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"
"ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"
"ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"
"ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCD"

004C4B45  |.  803F 00       cmp     byte ptr [edi], 0
004C4B48  |.  74 0E         je      short 004C4B58
004C4B4A  |.  8BC7          mov     eax, edi
004C4B4C  |.  8D6424 00     lea     esp, [esp]
004C4B50  |>  8A48 01       /mov     cl, [eax+1]
004C4B53  |.  40            |inc     eax
004C4B54  |.  84C9          |test    cl, cl
004C4B56  |.^ 75 F8         \jnz     short 004C4B50
004C4B58  |>  8BC5          mov     eax, ebp
004C4B5A  |.  8B08          mov     ecx, [eax]
004C4B5C  |.  8B50 04       mov     edx, [eax+4]
004C4B5F  |.  8B40 08       mov     eax, [eax+8]
004C4B62  |.  894C24 10     mov     [esp+10], ecx
004C4B66  |.  895424 14     mov     [esp+14], edx
004C4B6A  |.  894424 18     mov     [esp+18], eax
004C4B6E  |.  33C9          xor     ecx, ecx
004C4B70  |>  8A540C 20     /mov     dl, [esp+ecx+20]                ;  取前4位注册码分别在长字符串中的索引值
004C4B74  |.  33C0          |xor     eax, eax
004C4B76  |>  385404 10     |/cmp     [esp+eax+10], dl
004C4B7A  |.  75 04         ||jnz     short 004C4B80
004C4B7C  |.  884C04 0C     ||mov     [esp+eax+C], cl                ;  保存索引值
004C4B80  |>  40            ||inc     eax
004C4B81  |.  83F8 04       ||cmp     eax, 4
004C4B84  |.^ 7C F0         |\jl      short 004C4B76
004C4B86  |.  41            |inc     ecx
004C4B87  |.  83F9 24       |cmp     ecx, 24
004C4B8A  |.^ 7C E4         \jl      short 004C4B70
004C4B8C  |.  8A4424 0F     mov     al, [esp+F]
004C4B90  |.  8A5424 0E     mov     dl, [esp+E]
004C4B94  |.  8B4C24 0C     mov     ecx, [esp+C]
004C4B98  |.  8AD8          mov     bl, al
004C4B9A  |.  02DA          add     bl, dl
004C4B9C  |.  02DD          add     bl, ch
004C4B9E  |.  02D9          add     bl, cl
004C4BA0  |.  0FB6F3        movzx   esi, bl                          ;  4个索引值相运算
004C4BA3  |.  8A5D 08       mov     bl, [ebp+8]                      ;  取注册码第9位
004C4BA6  |.  3A5C34 20     cmp     bl, [esp+esi+20]                 ;  与长串中的值比较
004C4BAA  |.  74 18         je      short 004C4BC4                   ;  关键跳转 jmp
004C4BAC  |>  5E            pop     esi
004C4BAD  |.  5D            pop     ebp
004C4BAE  |.  32C0          xor     al, al
004C4BB0  |.  5B            pop     ebx
004C4BB1  |.  8B8C24 140100>mov     ecx, [esp+114]
004C4BB8  |.  E8 51270A00   call    0056730E
004C4BBD  |.  81C4 18010000 add     esp, 118
004C4BC3  |.  C3            retn
004C4BC4  |>  8ADA          mov     bl, dl
004C4BC6  |.  2AD8          sub     bl, al
004C4BC8  |.  02DD          add     bl, ch
004C4BCA  |.  02D9          add     bl, cl
004C4BCC  |.  80C3 24       add     bl, 24
004C4BCF  |.  0FB6F3        movzx   esi, bl                          ;  4个索引值相运算
004C4BD2  |.  8A5D 09       mov     bl, [ebp+9]                      ;  取注册码第10位
004C4BD5  |.  3A5C34 20     cmp     bl, [esp+esi+20]                 ;  与长串中的值比较
004C4BD9  |.^ 75 D1         jnz     short 004C4BAC                   ;  关键跳转 nop
004C4BDB  |.  8ADD          mov     bl, ch
004C4BDD  |.  2AD8          sub     bl, al
004C4BDF  |.  2ADA          sub     bl, dl
004C4BE1  |.  02D9          add     bl, cl
004C4BE3  |.  80C3 48       add     bl, 48
004C4BE6  |.  0FB6F3        movzx   esi, bl                          ;  4个索引值相运算
004C4BE9  |.  8A5D 0A       mov     bl, [ebp+A]                      ;  取注册码第11位
004C4BEC  |.  3A5C34 20     cmp     bl, [esp+esi+20]                 ;  与长串中的值比较
004C4BF0  |.^ 75 BA         jnz     short 004C4BAC                   ;  关键跳转 nop
004C4BF2  |.  2AC5          sub     al, ch
004C4BF4  |.  02C2          add     al, dl
004C4BF6  |.  8A55 0B       mov     dl, [ebp+B]                      ;  取注册码第12位
004C4BF9  |.  02C1          add     al, cl
004C4BFB  |.  04 24         add     al, 24
004C4BFD  |.  0FB6C8        movzx   ecx, al                          ;  4个索引值相运算
004C4C00  |.  8A440C 20     mov     al, [esp+ecx+20]
004C4C04  |.  8B8C24 200100>mov     ecx, [esp+120]
004C4C0B  |.  5E            pop     esi
004C4C0C  |.  3AD0          cmp     dl, al                           ;  与长串中的值比较
004C4C0E  |.  5D            pop     ebp
004C4C0F  |.  0F94C0        sete    al                               ;  al=1
004C4C12  |.  5B            pop     ebx
004C4C13  |.  E8 F6260A00   call    0056730E
004C4C18  |.  81C4 18010000 add     esp, 118
004C4C1E  \.  C3            retn
}}}
004C6B9B   .  83C4 04       add     esp, 4
004C6B9E   .  84C0          test    al, al
004C6BA0   .  0F84 66010000 je      004C6D0C                         ;  关键跳转 nop
004C6BA6   .  8B5424 14     mov     edx, [esp+14]
004C6BAA   .  8B42 F4       mov     eax, [edx-C]
004C6BAD   .  50            push    eax
004C6BAE   .  8D4C24 18     lea     ecx, [esp+18]
004C6BB2   .  E8 69B9F3FF   call    00402520
004C6BB7   .  8D5C24 60     lea     ebx, [esp+60]
004C6BBB   .  8BF8          mov     edi, eax                         ;  用户名"snake"
004C6BBD   .  E8 5EE0FFFF   call    004C4C20                         ;  算法call,由用户名生成4位的字符串
{{{
004C4C20  /$  81EC 04010000 sub     esp, 104
004C4C26  |.  A1 00156900   mov     eax, [691500]
004C4C2B  |.  56            push    esi
004C4C2C  |.  8D7424 04     lea     esi, [esp+4]
004C4C30  |.  898424 040100>mov     [esp+104], eax
004C4C37  |.  E8 64FEFFFF   call    004C4AA0                         ;  生成长字符串
004C4C3C  |.  8A07          mov     al, [edi]
004C4C3E  |.  33C9          xor     ecx, ecx
004C4C40  |.  84C0          test    al, al
004C4C42  |.  B2 20         mov     dl, 20
004C4C44  |.  74 09         je      short 004C4C4F
004C4C46  |>  8A4439 01     /mov     al, [ecx+edi+1]                 ;  计算用户名长度
004C4C4A  |.  41            |inc     ecx
004C4C4B  |.  84C0          |test    al, al
004C4C4D  |.^ 75 F7         \jnz     short 004C4C46
004C4C4F  |>  33C0          xor     eax, eax
004C4C51  |.  85C9          test    ecx, ecx
004C4C53  |.  7E 08         jle     short 004C4C5D
004C4C55  |>  021438        /add     dl, [eax+edi]                   ;  分别取用户名的ASCII值进行运算
004C4C58  |.  40            |inc     eax
004C4C59  |.  3BC1          |cmp     eax, ecx
004C4C5B  |.^ 7C F8         \jl      short 004C4C55
004C4C5D  |>  0FB6C2        movzx   eax, dl                          ;  运算结果
004C4C60  |.  8A4404 04     mov     al, [esp+eax+4]                  ;  al='O'
004C4C64  |.  33F6          xor     esi, esi
004C4C66  |.  85C9          test    ecx, ecx
004C4C68  |.  8803          mov     [ebx], al
004C4C6A  |.  A2 1C466D00   mov     [6D461C], al
004C4C6F  |.  B2 40         mov     dl, 40
004C4C71  |.  7E 0C         jle     short 004C4C7F
004C4C73  |>  8A043E        /mov     al, [esi+edi]                   ;  分别取用户名的ASCII值进行运算
004C4C76  |.  F6EA          |imul    dl
004C4C78  |.  46            |inc     esi
004C4C79  |.  3BF1          |cmp     esi, ecx
004C4C7B  |.  8AD0          |mov     dl, al
004C4C7D  |.^ 7C F4         \jl      short 004C4C73
004C4C7F  |>  0FB6D2        movzx   edx, dl                          ;  运算结果
004C4C82  |.  8A4414 04     mov     al, [esp+edx+4]                  ;  al='U'
004C4C86  |.  8843 01       mov     [ebx+1], al
004C4C89  |.  A2 1D466D00   mov     [6D461D], al
004C4C8E  |.  33C0          xor     eax, eax
004C4C90  |.  85C9          test    ecx, ecx
004C4C92  |.  B2 80         mov     dl, 80
004C4C94  |.  5E            pop     esi
004C4C95  |.  7E 08         jle     short 004C4C9F
004C4C97  |>  2A1438        /sub     dl, [eax+edi]                   ;  分别取用户名的ASCII值进行运算
004C4C9A  |.  40            |inc     eax
004C4C9B  |.  3BC1          |cmp     eax, ecx
004C4C9D  |.^ 7C F8         \jl      short 004C4C97
004C4C9F  |>  8A0C0C        mov     cl, [esp+ecx]                    ;  cl='F'
004C4CA2  |.  0FB6C2        movzx   eax, dl
004C4CA5  |.  8A0404        mov     al, [esp+eax]                    ;  al='C'
004C4CA8  |.  8843 02       mov     [ebx+2], al
004C4CAB  |.  A2 1E466D00   mov     [6D461E], al
004C4CB0  |.  884B 03       mov     [ebx+3], cl                      ;  最终结果为
004C4CB3  |.  880D 1F466D00 mov     [6D461F], cl                     ;  006D461C  4F 55 43 46 串"OUCF"
004C4CB9  |.  8B8C24 000100>mov     ecx, [esp+100]
004C4CC0  |.  E8 49260A00   call    0056730E
004C4CC5  |.  81C4 04010000 add     esp, 104
004C4CCB  \.  C3            retn
}}}
004C6BC2   .  6A 04         push    4
004C6BC4   .  8D4424 30     lea     eax, [esp+30]
004C6BC8   .  50            push    eax
004C6BC9   .  8D4C24 28     lea     ecx, [esp+28]
004C6BCD   .  E8 1EBAF3FF   call    004025F0
004C6BD2   .  C64424 74 0F  mov     byte ptr [esp+74], 0F
004C6BD7   .  50            push    eax
004C6BD8   .  8D4C24 14     lea     ecx, [esp+14]
004C6BDC   .  E8 1FBBF3FF   call    00402700
004C6BE1   .  C64424 74 0E  mov     byte ptr [esp+74], 0E
004C6BE6   .  8D4C24 2C     lea     ecx, [esp+2C]
004C6BEA   .  E8 41B8F3FF   call    00402430
004C6BEF   .  8B4C24 10     mov     ecx, [esp+10]                    ;  取注册码前4位
004C6BF3   .  8B41 F4       mov     eax, [ecx-C]
004C6BF6   .  50            push    eax
004C6BF7   .  8D4C24 14     lea     ecx, [esp+14]
004C6BFB   .  C64424 68 00  mov     byte ptr [esp+68], 0
004C6C00   .  8BF3          mov     esi, ebx                         ;  取由用户名生成的字符串
004C6C02   .  E8 19B9F3FF   call    00402520
004C6C07   >  8A10          mov     dl, [eax]                        ;  逐位比较相等则验证通过
004C6C09   .  8A1E          mov     bl, [esi]
004C6C0B   .  8ACA          mov     cl, dl
004C6C0D   .  3AD3          cmp     dl, bl
004C6C0F   .  75 1E         jnz     short 004C6C2F                   ;  关键跳转 nop
004C6C11   .  84C9          test    cl, cl
004C6C13   .  74 16         je      short 004C6C2B
004C6C15   .  8A50 01       mov     dl, [eax+1]
004C6C18   .  8A5E 01       mov     bl, [esi+1]
004C6C1B   .  8ACA          mov     cl, dl
004C6C1D   .  3AD3          cmp     dl, bl
004C6C1F   .  75 0E         jnz     short 004C6C2F                   ;  关键跳转 nop
004C6C21   .  83C0 02       add     eax, 2
004C6C24   .  83C6 02       add     esi, 2
004C6C27   .  84C9          test    cl, cl
004C6C29   .^ 75 DC         jnz     short 004C6C07
004C6C2B   >  33C0          xor     eax, eax
004C6C2D   .  EB 04         jmp     short 004C6C33                   ;  中间4位注册码为任意值
004C6C2F   >  1BC0          sbb     eax, eax
004C6C31   .  1BC5          sbb     eax, ebp
004C6C33   >  85C0          test    eax, eax
004C6C35   .  0F85 CF000000 jnz     004C6D0A
......

【汇编注册机算法部分源码】

.data
szTable                db        "ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ01"
                db        "23456789ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRST"
                db        "UVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCDEFGHIJKL"
                db        "MNOPQRSTUVWXYZ0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789ABCD",0
.data?
szName                dd        32 dup (?)
szSerial        db        16 dup (?)
szTmp                db        8  dup (?)
nCon                dd        ?

.code
GetRegKey        proc        hDlg
        pushad
        invoke        GetDlgItemText,hDlg,IDC_NAME,addr szName,sizeof szName
        .if        eax
                mov        nCon,eax
                lea        esi,szTable
                mov        dl,[esi+eax]
                mov        [szSerial+3],dl
                xor        edx,edx
                lea        edi,szName
        @@:
                add        dl,[edi+eax-1]
                dec        eax
                jnz        @b
                cmp        dl,80h
                ja        @1
                mov        ecx,80h
                sub        ecx,edx
                jmp        @2
        @1:
                mov        ecx,180h
                sub        ecx,edx
        @2:
                mov        dl,[esi+ecx]
                mov        [szSerial+2],dl
                mov        ecx,nCon
                xor        ebx,ebx
                mov        dl,40h
        @@:
                mov        al,[edi+ebx]
                imul        dl
                mov        dl,al
                inc        ebx
                dec        ecx
                jnz        @b
                mov        al,[esi+edx]
                mov        [szSerial+1],al
                xor        edx,edx
                mov        ecx,nCon
        @@:
                sub        dl,[edi+ecx-1]
                dec        ecx
                jnz        @b
                cmp        dl,20h
                ja        @3
                mov        ecx,20h
                sub        ecx,edx
                jmp        @4
        @3:
                mov        ecx,120h
                sub        ecx,edx
        @4:
                mov        dl,[esi+ecx]
                mov        [szSerial],dl               
                lea        edi,szSerial
                lea        ebx,szTmp
                xor        ecx,ecx
        @@:
                mov        dl,[esi+ecx]
                xor        eax,eax
        @6:
                cmp        dl,[edi+eax]
                jnz        @5
                mov        [ebx+eax],cl
        @5:
                inc        eax
                cmp        eax,4
                jl        @6
                inc        ecx
                cmp        ecx,24h
                jl        @b
                xor        edx,edx
                mov        ecx,4
        @@:
                add        dl,[ebx+ecx-1]
                dec        ecx
                jnz        @b
                mov        dl,[esi+edx]
                mov        [szSerial+8],dl               
                mov        dl,[ebx+2]
                sub        dl,[ebx+3]
                add        dl,[ebx+1]
                add        dl,[ebx]
                add        dl,24h
                mov        dl,[esi+edx]
                mov        [szSerial+9],dl               
                mov        dl,[ebx+1]
                sub        dl,[ebx+3]
                sub        dl,[ebx+2]
                add        dl,[ebx]
                add        dl,48h
                mov        dl,[esi+edx]
                mov        [szSerial+0Ah],dl               
                mov        dl,[ebx+3]
                sub        dl,[ebx+1]
                add        dl,[ebx+2]
                add        dl,[ebx]
                add        dl,24h               
                mov        dl,[esi+edx]
                mov        [szSerial+0Bh],dl
                invoke        GetTickCount
                and        eax,3Fh
                mov        ecx,4
        @@:
                mov        dl,[esi+eax]
                mov        [szSerial+3+ecx],dl
                add        eax,7
                dec        ecx
                jnz        @b
                invoke        SetDlgItemText,hDlg,IDC_REG,addr szSerial
        .else
                invoke        SetDlgItemText,hDlg,IDC_REG,CTXT("Please Enter the Name!")
        .endif
        popad
        ret
GetRegKey        endp

【版权声明】  本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

收藏
免费 7
支持
分享
最新回复 (3)
雪    币: 333
活跃值: (11)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
2
还是五颜六色的好看 snake强啊,帖帖都是精华,偶尔也灌灌水啊
2006-9-3 10:22
0
雪    币: 263
活跃值: (10)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
3
先顶了再看,顶
2006-9-3 17:01
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
很好,可是对菜鸟帮助不大,欢迎加入技术交流群29783845
2006-9-3 20:39
0
游客
登录 | 注册 方可回帖
返回
// // 统计代码