首页
社区
课程
招聘
实践内存注册机变算法注册机之明码篇
发表于: 2006-11-4 21:01 44593

实践内存注册机变算法注册机之明码篇

2006-11-4 21:01
44593

上篇讲了利用LOADER通过原程序算法模块计算明码的例子,那如果是暗码呢,也就是说注册码是通过机器码运算后得到的结果(暂时称它为暗码),再经过一系列变换而来的那种。其实原理也一样。我们只要得到暗码,找出软件中利用它推出注册码的那段过程,然后将暗码逆运算后就可以得到注册码。
为了实践这一个过程,我用W32ASM写了个CRACKME,并写出相应的算法注册机以供验证。

先分析这个CRACKME:

//机器码运算
004013B4  |.  E8 01080000   call    <jmp.&user32.GetDlgItemTextA>   
004013B9  |.  8D05 98334000 lea     eax, dword ptr [403398]          ;  压入机器码
004013BF  |?  68 98334000   push    00403398                         ;  EAX中放着机器码
....
00401B90  |.  50            push    eax                              ;  EAX中就是暗码
00401B91  |?  68 7E324000   push    0040327E                         ;  转字符串   
00401B96  |?  68 48334000   push    00403348                        
00401B9B  |?  E8 08000000   call    <jmp.&user32.wsprintfA>
00401BA0  |.  83C4 0C       add     esp, 0C

//注册码变形
0040131E  |.  E8 97080000   call    <jmp.&user32.GetDlgItemTextA>    ;  取注册码
00401323  |.  6A 08         push    8
00401325  |.  68 A8324000   push    004032A8
0040132A  |.  E8 B4FEFFFF   call    004011E3                         ;  转16进制
0040132F  |.  8BF0          mov     esi, eax
00401331  |.  81C6 A679F3FF add     esi, FFF379A6                    ;  加FFF379A6h
00401337  |.  81F6 DDAEEC04 xor     esi, 4ECAEDD                     ;  异或4ECAEDDh
0040133D  |.  81EE C78AA900 sub     esi, 0A98AC7                     ;  减0A98AC7h
00401343  |.  56            push    esi                              ;  结果
00401344  |.  68 7E324000   push    0040327E                         ;  转字符串
00401349  |.  68 F8324000   push    004032F8                        
0040134E  |.  E8 55080000   call    <jmp.&user32.wsprintfA>         

//对比结果
004010E8  |.  68 48334000   push    00403348                         ;  机器码运算后的字符串
004010ED  |.  68 F8324000   push    004032F8                         ;  注册码运算后的字符串
004010F2  |.  E8 F30A0000   call    <jmp.&kernel32.lstrcmpA>         ;  比较
004010F7  |.  0BC0          or      eax, eax
004010F9  |.  75 19         jnz     short 00401114

这个CRACKME虽然简单了点,但是讲的是一个原理。程序先将注册码运算后得到一个字符串,再将机器码运算后得到一个字符串,对比两个字符串,只要相等就注册成功了。
我们可以看出,004013BF中EAX指向的是机器码,00401B90中的EAX指向的就是暗码,得到暗码后我们只要根据注册码变形的那个逆运算就可以推出真正的注册码。
这次我们改用打开文件的方式,也加入了对话框窗口。详细代码如下:

.586
.model flat, stdcall  
option casemap :none  
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
include windows.inc
include user32.inc
include kernel32.inc
includelib user32.lib
includelib kernel32.lib
include comdlg32.inc
includelib comdlg32.lib
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
IDD_DLG1                equ 1000
IDC_NAME                equ 1001
IDC_CODE                equ 1002
IDC_OK                  equ 1005
IDC_ABOUT               equ 1006
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
BREAK_POINT1   equ 004013BFh ;第一个断点
BREAK_POINT2   equ 00401B90h ;第二个断点
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
DlgProc proto :HWND,:UINT,:WPARAM,:LPARAM
GetKey  proto
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
   .data
   MsgboxText    db '    -=Author: langxang=-',0dh
              db ' -=Email:langxang@126.com=-',0
   MsgboxCaption db '关于',0
   MsgBoxText1    db '请输入远程机器码!并打开crackme.exe程序。',0
   MsgBoxCaption1 db '提示',0
   AppName db "crackme",0
   int3    db 0cch
   oldcode db 2 dup(?)
   value   db 8 dup(?)
   BUFFER  db 8 dup(?)
   oldbyte1 db 68h
   oldbyte2 db 50h
   szFormat db "%X",0
   ofn OPENFILENAME <>
   FilterString db "Executable Files",0,"*.exe",0
                db "All Files",0,"*.*",0,0
   
   ProcessInfo db "File Handle: %lx ",0dh,0Ah
               db "Process Handle: %lx",0Dh,0Ah
               db "Thread  Handle: %lx",0Dh,0Ah
               db "Image   Base: %lx",0Dh,0Ah
               db "Start   Address: %lx",0
   .data?
   buffer db 512 dup(?)
   startinfo STARTUPINFO <>
   pi PROCESS_INFORMATION <>
   DBEvent DEBUG_EVENT <>
   context CONTEXT <>
   uExitCode     dd ?
   hInstance     HINSTANCE ?
   hDlg          HINSTANCE ?  
   UserID        db 80 dup (?)
   Serial        db 80 dup (?)

   .code
   start:
  invoke GetModuleHandle,NULL
       mov hInstance,eax
  invoke DialogBoxParam,hInstance,IDD_DLG1,NULL,addr DlgProc,NULL
  invoke ExitProcess,0
;>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
DlgProc proc hWin:HWND,uMsg:UINT,wParam:WPARAM,lParam:LPARAM
        mov eax,uMsg
  .if     eax==WM_CLOSE
       invoke EndDialog,hWin,0
  .elseif eax==WM_INITDIALOG
        push hWin
        pop  hDlg      
  .elseif eax==WM_COMMAND
          mov eax,wParam
             .if eax==IDC_OK               
                invoke GetDlgItemText,hDlg,IDC_NAME,addr UserID,Sizeof UserID                                          
                   .if eax==0
                     invoke MessageBox,hDlg,addr MsgBoxText1,addr MsgBoxCaption1,MB_OK
                   .elseif  
                     invoke GetKey
                     invoke SetDlgItemText,hDlg,IDC_CODE,addr value
                   .endif
             .elseif eax==IDC_ABOUT
                invoke MessageBox,hDlg,addr MsgboxText,addr MsgboxCaption,MB_OK
             .endif            
  .else
    mov eax,FALSE
    ret
  .endif
  mov eax,TRUE
  ret
DlgProc endp

GetKey proc  
       pushad
;********************************************************************
; 打开文件
;********************************************************************
   mov ofn.lStructSize,sizeof ofn
   mov ofn.lpstrFilter, offset FilterString
   mov ofn.lpstrFile, offset buffer
   mov ofn.nMaxFile,512
   mov ofn.Flags, OFN_FILEMUSTEXIST or OFN_PATHMUSTEXIST or OFN_LONGNAMES or OFN_EXPLORER or OFN_HIDEREADONLY
   invoke GetOpenFileName, ADDR ofn   
;********************************************************************
; 创建进程
;********************************************************************
   .if eax==TRUE     
    invoke GetStartupInfo,addr startinfo
    invoke CreateProcess, addr buffer, NULL, NULL, NULL, FALSE,\
                      DEBUG_PROCESS or DEBUG_ONLY_THIS_PROCESS, NULL, NULL,\
                      addr startinfo, addr pi
;********************************************************************
; 调试进程
;********************************************************************
.while TRUE
       invoke WaitForDebugEvent, addr DBEvent, INFINITE
       .break .if DBEvent.dwDebugEventCode == EXIT_PROCESS_DEBUG_EVENT
;********************************************************************
; 如果进程开始,则将两个断点地址的代码改为INT3中断
;********************************************************************
       .if DBEvent.dwDebugEventCode==CREATE_PROCESS_DEBUG_EVENT
          invoke  WriteProcessMemory,pi.hProcess,BREAK_POINT1,addr int3,1,NULL       ;插入INT3
          invoke  WriteProcessMemory,pi.hProcess,BREAK_POINT2,addr int3,1,NULL       ;插入INT3
;********************************************************************
; 中断触发的异常事件,并进入安全模式读写状态
;********************************************************************                             
       .elseif DBEvent.dwDebugEventCode==EXCEPTION_DEBUG_EVENT
           .if DBEvent.u.Exception.pExceptionRecord.ExceptionCode==EXCEPTION_BREAKPOINT
             mov context.ContextFlags, CONTEXT_FULL
             invoke GetThreadContext, pi.hThread, addr context
;********************************************************************
; 如果在机器码处中断,则恢复原来的代码,并写入新的机器码
;********************************************************************              
             .if     context.regEip == BREAK_POINT1+1
              dec     context.regEip
              invoke  WriteProcessMemory,pi.hProcess,BREAK_POINT1,addr oldbyte1,1,NULL    ;恢复代码
              mov eax,context.regEax                                                      ;机器码在EAX中
              invoke  WriteProcessMemory,pi.hProcess,eax,addr UserID,0ch,NULL             ;读入22位机器码
              invoke  SetThreadContext,pi.hThread, addr context                           ;设置生效
              ;invoke ReadProcessMemory,pi.hProcess,context.regEax,addr BUFFER,0ch,NULL   ;用于检测修改的机器码是否已经生效
              ;invoke  MessageBox,0, addr BUFFER,addr AppName, MB_OK+MB_ICONINFORMATION      
;********************************************************************
; 如果在注册码处中断,则恢复原来的代码,并读出注册码
;********************************************************************                                                     
            .elseif  context.regEip == BREAK_POINT2+1
              dec     context.regEip
              invoke WriteProcessMemory,pi.hProcess,BREAK_POINT2,addr oldbyte2,1,NULL     ;恢复代码            
;********************************************************************
; 逆推注册码
;********************************************************************   
              MOV EAX,context.regEax                                                      ;暗码在EAX中
              ADD EAX,0A98AC7h
              XOR EAX,4ECAEDDh
              SUB EAX,0FFF379A6h
              invoke wsprintf,addr value,addr szFormat,eax                 
              invoke SetDlgItemText,hDlg,IDC_CODE,addr value                              ;输出到注册码框
              invoke SetThreadContext,pi.hThread, addr context
              invoke TerminateProcess,pi.hProcess,uExitCode                               ;强行退出
              .break            
            .endif           
          .endif
       .endif
       invoke ContinueDebugEvent, DBEvent.dwProcessId, DBEvent.dwThreadId,DBG_CONTINUE
.endw
;********************************************************************
; 结束线程
;********************************************************************
          invoke  CloseHandle,pi.hProcess
          invoke  CloseHandle,pi.hThread
.endif      
    popad
    ret
GetKey endp
end start   

按照这个原理,比较简单的程序一般都可以处理。但是如果防INT3或者防内存补丁的程序一般要先处理这些ANTI。另外对于有些压缩壳加壳的软件,可以采用启动后迅速挂起或者等待几秒挂起的方法。对于那些ANTI很厉害的壳程序,这个是没有用的。
如果你编程技术了得,可以模拟刘前辈的KEYMAKE写个注册机生成器:


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (26)
雪    币: 421
活跃值: (83)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
这么经典文章竟然零回复,真是明珠投暗呀,
最近在学习做注册机,来顶一下
2009-9-21 22:40
0
雪    币: 154
活跃值: (40)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
第一次看不明白,不过还是有了解,谢谢楼主 让我见识了~
2009-9-24 15:40
0
雪    币: 38
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不错,学习了
2010-1-25 19:29
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
不错不错           。
2010-1-25 20:21
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
学习来了.....
2010-5-24 23:26
0
雪    币: 211
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
最经典实用的东东..就这么沉了 ?
2010-7-5 17:26
0
雪    币: 210
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
最经典实用,现在的软件都是这样做的
2010-7-19 18:14
0
雪    币: 30
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
谢谢了,现在还不是很懂,多学习了。
2010-7-19 18:35
0
雪    币: 45
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
最经典实用学习了
2010-8-4 14:46
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
很好!学习学习!
2010-8-9 15:23
0
雪    币: 104
活跃值: (28)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
看不太明白,怎么回事
2010-8-12 15:36
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
好好学习啊!!
2010-8-24 09:15
0
雪    币: 278
活跃值: (37)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
不明白!!!
2010-11-30 16:37
0
雪    币: 9081
活跃值: (3298)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
学习楼主的文章
2011-4-20 11:13
0
雪    币: 152
活跃值: (20)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
新手学习一下吧。
2011-4-20 11:35
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
谢谢了楼主,我正找呢
2011-6-24 08:45
0
雪    币: 6775
活跃值: (4767)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
18
非常感谢,学到东西了
2013-3-6 13:12
0
雪    币: 9786
活跃值: (3582)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
破解真是很深奥啊,我要好好学习!目的就是自己能破解某某恢复大师!
2013-6-28 20:56
0
雪    币: 9786
活跃值: (3582)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
非常好的文章啊,虽然还看不太懂,但最近在学习机器码和DES对称算法,一定会有帮助!感谢!!!
2013-7-26 21:59
0
雪    币: 170
活跃值: (187)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
学习了 感谢
2013-7-26 22:31
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
呵呵,回复量比楼主的第一篇少多了,为何呢,谢谢了
2013-8-1 00:34
0
雪    币: 42
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
前来学习的,请多指教
2013-8-15 11:14
0
雪    币: 12
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
不懂,很是不懂!
2013-10-12 17:42
0
雪    币: 159
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
适合新手学习。
2014-1-2 03:37
0
游客
登录 | 注册 方可回帖
返回
// // 统计代码