[原创]内存注册机的工作原理及masm源码-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]内存注册机的工作原理及masm源码

发表于: 2007-6-5 15:22 31196

[原创]内存注册机的工作原理及masm源码

王仁军

2007-6-5 15:22

31196

［编程工具］masm32(9.00)＋RadAsm2.2.0.9
［调试工具］OD1.10
［调试平台］WinXP/SP2

　　先说明一下，我编写这个内存注册机只是为了学习一点程序的调试原理，它的实用性不说也罢，因为现的软件保护谁都知道，想这么容易取得注册码，门都没有，这也许正是刘健英放弃KeyMake的原因吧。我不想，也没有能力去步他的后尘，只是好奇，玩玩而已。
　　内存注册机实际是个超小的调试器，以调试的方式打开目标软件进程，在特定的地址设置 int 3 断点，程序运行到断点处被挂起，这个时候就可以用 ReadProcessMemory 或 GetThreadContext 函数取得目标软件特定内存或特定寄存器中的内容，显示出来就好了。只是前面提到的地址、寄存器等只有你跟踪了目标软件的注册算法后才会得到。根据注册算法的不同，注册机中的某些代码也可能要调整，所以我的代码对不会编程的人来说就是1000%的垃圾。
　　有些软件加了壳，不过我终于想出办法来对付它了，有壳我照样可以断下来，取到我想要的数据。杀毒软件对我的注册机也不感兴趣，大概是太臭了吧~O~。

内存注册机.Asm文件：

.386
.model flat, stdcall  ;32 bit memory model
option casemap :none  ;case sensitive

include 内存注册机.inc

.code

start:
      invoke InitCommonControls
      invoke GetRegKey
invoke ExitProcess,0

;########################################################################

GetRegKey proc uses edi esi
LOCAL @ThreadConText:CONTEXT
LOCAL @StartInfo:STARTUPINFO
      LOCAL @DBGEvent:DEBUG_EVENT
      LOCAL @TmpCode,@BakCode
      LOCAL @FullPath[512]:byte

      invoke GetCommandLine
      lea esi,@FullPath
      invoke lstrcpy,esi,eax
      mov edi,esi
      xor edx,edx
      xor ecx,ecx
      cld
   .while TRUE  ;找最后一个“\”
            lods byte ptr[esi]
            inc ecx
            .break .if !al
            .continue .if al!='\'
            mov edx,ecx  ;记下最后一个“\”的位置
      .endw
      add edi,edx
      invoke lstrcpy,edi,addr szEXEName  ;生成绝对路径，否则由CreateProcess创建的进程可能会出问题

      invoke GetStartupInfo,addr @StartInfo
      invoke CreateProcess,NULL,addr @FullPath,NULL,NULL,FALSE,DEBUG_PROCESS+DEBUG_ONLY_THIS_PROCESS,NULL,NULL,addr @StartInfo,addr PI
      .if !eax  ;创建debugee进程失败的话提示、结束
            invoke MessageBox,NULL,addr szMsgErr,NULL,MB_ICONERROR
            jmp ENDPROC
      .endif

   .while TRUE
            invoke WaitForDebugEvent,addr @DBGEvent,INFINITE  ;等待调试事件的发生
            .break .if @DBGEvent.dwDebugEventCode==EXIT_PROCESS_DEBUG_EVENT  ;你退出了我也就退出吧!

            .if  TimesBreak  ;debugee执行第一条指令之前我们不必做无用功
                  .if TimesBreak<BREAKFLAG  ;已经取过注册码了吗？
                        mov eax,@BakCode
                        .if al!=byte ptr[OldCode]  ;如果debugee加了壳，而且还没正确设置int 3断点
                           invoke ReadProcessMemory,PI.hProcess,BreakPoint,addr @TmpCode,sizeof @TmpCode,NULL
                              mov eax,@TmpCode
                              .if al==byte ptr[OldCode]  ;壳已经解码完毕，可以设断点了
                                       mov  @BakCode,eax ;记住，我们在此已经役过断点了，用它作标志，还要用它恢复现场
                                    invoke WriteProcessMemory,PI.hProcess,BreakPoint,addr BreakCode,sizeof BreakCode,NULL  ;设断点
                              .endif
                        .endif
                  .endif
            .endif

         .if @DBGEvent.dwDebugEventCode==EXCEPTION_DEBUG_EVENT
                  .if @DBGEvent.u.Exception.pExceptionRecord.ExceptionCode==EXCEPTION_BREAKPOINT
                        .if TimesBreak  ;已经不止一次发生int 3中断的话
                              invoke CloseHandle,PI.hThread ;释放旧hThread的内存
                              invoke OpenThread,THREAD_GET_CONTEXT or THREAD_QUERY_INFORMATION,FALSE,@DBGEvent.dwThreadId  ;由ThreadID得到hThread 想依此来解决多线程问题，会不会有问题，请高人指点
                              mov PI.hThread,eax ;保存备用

                              mov @ThreadConText.ContextFlags,CONTEXT_FULL ;访问所有的寄存器
                              invoke GetThreadContext,PI.hThread,addr @ThreadConText  ;取debugee的数据
                              dec @ThreadConText.regEip  ;EIP已经指向int 3中断的下一条代码了，让它重新指向int 3
                              mov ecx,@ThreadConText.regEip  ;取debugee的EIP
                              .if ecx==BreakPoint  ;是我们要断下的地方吗？是就取出数据，并恢复现场
                                    invoke WriteProcessMemory,PI.hProcess,ecx,addr @BakCode,sizeof @BakCode,NULL  ;恢复debugee原来的代码
                                    invoke SetThreadContext,PI.hThread,addr @ThreadConText  ;修改debugee的EIP,让其继续运行

                                 invoke GetModuleHandle,NULL
                                 lea edx,@ThreadConText ;把此结构的地址传给窗口，以便于显示
                                 invoke DialogBoxParam,eax,IDD_DLGMAIN,NULL,addr DlgProc,edx ;弹出窗口，输出注册码
                                 mov TimesBreak,BREAKFLAG  ;设置标志，已经取过注册码了
                              .endif
                        .else  ;如果debugee未加壳，就此两句可以设好断点，若加了壳就不起作用了，因为壳会修改掉我们的修改
                           invoke ReadProcessMemory,PI.hProcess,BreakPoint,addr @BakCode,sizeof @BakCode,NULL
                              invoke WriteProcessMemory,PI.hProcess,BreakPoint,addr BreakCode,sizeof BreakCode,NULL
                        .endif
                     inc TimesBreak
                  .endif
                  mov eax,DBG_CONTINUE
                  jmp @F
            .endif
            mov eax,DBG_EXCEPTION_NOT_HANDLED
@@:
            invoke ContinueDebugEvent,@DBGEvent.dwProcessId,@DBGEvent.dwThreadId,eax
   .endw

   invoke CloseHandle,PI.hProcess
   invoke CloseHandle,PI.hThread
ENDPROC:
ret

GetRegKey endp

DlgProc proc uses ebx hWin:HWND,uMsg:UINT,wParam:WPARAM,lParam:LPARAM

mov eax,uMsg
.if eax==WM_INITDIALOG
            mov    ebx,lParam
         assume ebx:ptr CONTEXT  ;ebx作为CONTEXT类型指针使用
            ;要显示什么数据，怎么显示，那你就去分析debugee的注册算法吧，我这里只是示例
            ;invoke ReadProcessMemory,PI.hProcess,RegKeyAddr,addr Buffer,sizeof Buffer,NULL ;从特定内存地址中取注册码

            invoke wsprintf,addr Buffer,addr szFmt,[ebx].regEax  ;从特定寄存器中取注册码
            invoke SetDlgItemText,hWin,IDC_REGKEY,addr Buffer

            assume ebx:nothing
.elseif eax==WM_CLOSE
      invoke EndDialog,hWin,0
.else
      mov eax,FALSE
      jmp @F
.endif
mov eax,TRUE
@@:
ret

DlgProc endp

end start

内存注册机.Inc文件：

include windows.inc
include kernel32.inc
include user32.inc
include Comctl32.inc
include shell32.inc

includelib kernel32.lib
includelib user32.lib
includelib Comctl32.lib
includelib shell32.lib

DlgProc          PROTO :HWND,:UINT,:WPARAM,:LPARAM
GetRegKey             PROTO

.const

IDD_DLGMAIN       equ 101
IDC_REGKEY       equ 1003
BREAKFLAG             equ 100000h

.data
szFmt                db '%1X',0
szMsgErr             db '本注册机必须与下面的软件放在同一目录内：',0dh  ;中间不要有其它变量定义
szEXEName             db '例子.exe',0 ;换成要注册的软件可执行文件名

BreakPoint             dd 0401131h  ;可以改成要设断点的地址
OldCode                db 050h    ;BreakPoint处的第一字节内容，帮我们判断壳是否操作完毕，完毕才能设断点
;RegKeyAddr          dd 40305ch ;注册码在debugee中的存放地址

BreakCode             db 0CCh,90h,90h,90h  ;最好别改动
TimesBreak             dd 0  ;最好别改动

;#########################################################################
.data?

PI                   PROCESS_INFORMATION<>
Buffer                db 256dup(?)

************************************************************************************************************
我这个贴子只说了内存注册机的一般原理，未做成通用模板，因此需要会编程的使用者视具体情况添加或改动代码，比如多线程、多次中断在同一地址等。后面有人跟贴提到这两个问题。对于多线程问题，我想了个对策，代码见上文，调试了没问题。对于第二个问题，最好去读一下我转贴的《Win32调试API教程》之第三部分。我的大致思路是：
　　１.第一次正确发生int3中断时，设为单步模式，为的是后面有机会再写入断点。也可以设硬件断点，那是另一套思路了。

　　２.在单步事件到来时，重写入断点代码，暂不单步了
　　　　　　.if DBEvent.u.Exception.pExceptionRecord.ExceptionCode==EXCEPTION_BREAKPOINT
　　　　　　　　(前面的判断代码此处略)
　　　　　　　　mov @ThreadConText.ContextFlags, CONTEXT_CONTROL
　　　　　　　　invoke GetThreadContext, PI.hThread, addr @ThreadConText
　　　　　　　　or @ThreadConText.regFlag,100h ;设为单步模式，为的是后面有机会再写入断点
　　　　　　　　invoke WriteProcessMemory,PI.hProcess,ecx,addr @BakCode,sizeof @BakCode,NULL  ;恢复debugee原来的代码
　　　　　　　　invoke SetThreadContext,PI.hThread,addr @ThreadConText  ;修改debugee的EIP,让其继续运行
　　　　　　　　inc TimesBreak
　　　　　　　　(后面的代码此处略)
　　　　　　.elseif DBEvent.u.Exception.pExceptionRecord.ExceptionCode==EXCEPTION_SINGLE_STEP ;int3中断后紧接着单步一次
　　　　　　　　invoke WriteProcessMemory,PI.hProcess,BreakPoint,addr BreakCode,sizeof BreakCode,NULL ;再次写入中断代码，对付同一地址多次中断。

　　马上要放假了，比较忙，没有时间详细设计和调试，只能这样了，算是抛砖引玉吧。假期我要好好休息一下，不会来这里了（要扔砖头的尽管扔，反正我不知道^O^）。希望收假后能看到更好的解决方法。
********************************************************************************************************************

附件中是asm源码和例子程序

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

内存注册机.rar （10.26kb，877次下载）

收藏・26

免费・7

支持

最新回复 (60) 1 2 3 ▶
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 2 楼认真学习，感谢分享 2007-6-5 16:18 0
sjclch 雪币： 89 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 147 粉丝 3 关注私信	sjclch 3 楼压缩有问题，下载不完整 2007-6-5 16:37 0
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 329 粉丝 5 关注私信	不懂算法 2 4 楼不错的东西，谢谢楼主，收下了 2007-6-5 16:48 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 5 楼 Radasm即将大面积流行，不管压缩是否有问题，都要顶一顶！晚上再来下载，可以吗？ 2007-6-5 16:50 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 6 楼个人觉得内存注册机还是很有前途的，不光在crack 2007-6-5 17:04 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 7 楼先顶了再看，谢了 2007-6-5 18:12 0
学习雪币： 2871 活跃值： (2340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 163 粉丝 1 关注私信	学习 8 楼感谢共享！！！！ 2007-6-5 18:32 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 9 楼怎么喜欢用ASM哦。。不好点嘛。 2007-6-5 18:35 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 10 楼楼主肯定想不到我找这方面的东西找了多久的。真是....太感激了。我抢多谢贡献。。 2007-6-5 18:55 0
tzl 雪币： 242 活跃值： (1664) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 11 楼学习再学习,谢谢LZ提供的好文章! 2007-6-5 19:40 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 12 楼楼主文章不错，最近几篇都仔细研究过，继续拜读～～～ 2007-6-5 20:15 0
leiyihui 雪币： 359 活跃值： (434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 147 粉丝 0 关注私信	leiyihui 13 楼顶一个,强. 2007-6-5 22:23 0
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 14 楼不懂。。以前学过的汇编是16位的。。。还是支持下。。。 2007-6-5 23:35 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 15 楼 strrchr.....能看懂 ...谢谢楼主分享 2007-6-6 00:40 0
任愉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	任愉 16 楼刚上来就遇到这等好东东，谢谢楼主 2007-6-6 03:24 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 17 楼我下载试了一下，没问题，怎么会不完整？？ 2007-6-6 07:29 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 18 楼好文章，学习！ 2007-6-6 08:50 0
LULU 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	LULU 19 楼看了《Win32调试API教程》，有效果了吧 2007-6-6 09:37 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 20 楼不错 ........ 2007-6-6 10:38 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 21 楼回来了，顶一顶 2007-6-6 10:39 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 22 楼楼主近视程度…… 2007-6-6 13:18 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 23 楼阁下此话怎讲？？？是说我没远见吗？哈哈，愿闻其详。 2007-6-6 15:27 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 24 楼是说字体太大…… 2007-6-6 15:28 0
yaleond 雪币： 244 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 142 粉丝 0 关注私信	yaleond 1 25 楼看不懂... 2007-6-6 15:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

王仁军

发帖

131

回帖

410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (60) 1 2 3 ▶
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 2 楼认真学习，感谢分享 2007-6-5 16:18 0
sjclch 雪币： 89 活跃值： (171) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 147 粉丝 3 关注私信	sjclch 3 楼压缩有问题，下载不完整 2007-6-5 16:37 0
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 329 粉丝 5 关注私信	不懂算法 2 4 楼不错的东西，谢谢楼主，收下了 2007-6-5 16:48 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 5 楼 Radasm即将大面积流行，不管压缩是否有问题，都要顶一顶！晚上再来下载，可以吗？ 2007-6-5 16:50 0
aaa2520 雪币： 156 活跃值： (48) 能力值： ( LV4，RANK：50 ) 在线值：发帖 107 回帖 401 粉丝 1 关注私信	aaa2520 1 6 楼个人觉得内存注册机还是很有前途的，不光在crack 2007-6-5 17:04 0
yingyue 雪币： 1844 活跃值： (35) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 2595 粉丝 3 关注私信	yingyue 7 楼先顶了再看，谢了 2007-6-5 18:12 0
学习雪币： 2871 活跃值： (2340) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 163 粉丝 1 关注私信	学习 8 楼感谢共享！！！！ 2007-6-5 18:32 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 9 楼怎么喜欢用ASM哦。。不好点嘛。 2007-6-5 18:35 0
binbinbin 雪币： 405 活跃值： (10) 能力值： ( LV9，RANK：1130 ) 在线值：发帖 51 回帖 690 粉丝 0 关注私信	binbinbin 28 10 楼楼主肯定想不到我找这方面的东西找了多久的。真是....太感激了。我抢多谢贡献。。 2007-6-5 18:55 0
tzl 雪币： 242 活跃值： (1664) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 11 楼学习再学习,谢谢LZ提供的好文章! 2007-6-5 19:40 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 12 楼楼主文章不错，最近几篇都仔细研究过，继续拜读～～～ 2007-6-5 20:15 0
leiyihui 雪币： 359 活跃值： (434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 147 粉丝 0 关注私信	leiyihui 13 楼顶一个,强. 2007-6-5 22:23 0
坚持到底雪币： 538 活跃值： (460) 能力值： ( LV9，RANK：290 ) 在线值：发帖 12 回帖 245 粉丝 2 关注私信	坚持到底 7 14 楼不懂。。以前学过的汇编是16位的。。。还是支持下。。。 2007-6-5 23:35 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 15 楼 strrchr.....能看懂 ...谢谢楼主分享 2007-6-6 00:40 0
任愉雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	任愉 16 楼刚上来就遇到这等好东东，谢谢楼主 2007-6-6 03:24 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 17 楼我下载试了一下，没问题，怎么会不完整？？ 2007-6-6 07:29 0
hawking 雪币： 1969 活跃值： (46) 能力值： (RANK：550 ) 在线值：发帖 37 回帖 519 粉丝 6 关注私信	hawking 12 18 楼好文章，学习！ 2007-6-6 08:50 0
LULU 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	LULU 19 楼看了《Win32调试API教程》，有效果了吧 2007-6-6 09:37 0
qyc 雪币： 707 活跃值： (1301) 能力值： ( LV9，RANK：190 ) 在线值：发帖 28 回帖 550 粉丝 27 关注私信	qyc 4 20 楼不错 ........ 2007-6-6 10:38 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 21 楼回来了，顶一顶 2007-6-6 10:39 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 22 楼楼主近视程度…… 2007-6-6 13:18 0
王仁军雪币： 314 活跃值： (15) 能力值： ( LV12，RANK：410 ) 在线值：发帖 13 回帖 131 粉丝 2 关注私信	王仁军 10 23 楼阁下此话怎讲？？？是说我没远见吗？哈哈，愿闻其详。 2007-6-6 15:27 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 24 楼是说字体太大…… 2007-6-6 15:28 0
yaleond 雪币： 244 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 142 粉丝 0 关注私信	yaleond 1 25 楼看不懂... 2007-6-6 15:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复