教菜鸟写注册机――高级篇(注意我这里说的高级只是对偶辈菜鸟来说是难一些)
HEYA,我又来灌喽!还是那个系列的第3位CRACKME。下载:
http://opencrackmes.crackmes.de/opencrackmes/Collections/keygenning4newbies/Crackmes/k4n3.zip
用W32DASM来反,(可以先看后面说明)
:004011BF 6A45 push 00000045
:004011C1 50 push eax
:004011C2 A4 movsb
* Reference To: USER32.GetDlgItemTextA, Ord:0104h
|
:004011C3 8B3DA8404000 mov edi, dword ptr [004040A8] ;注意这里把地址放在EDI
* Possible Reference to Dialog: DialogID_0065, CONTROL_ID:03E8, ""
|
:004011C9 68E8030000 push 000003E8
:004011CE 51 push ecx
:004011CF FFD7 call edi ;实际是CALL GetDlgItemTextA,得到用户名
:004011D1 8BF0 mov esi, eax
:004011D3 85F6 test esi, esi
:004011D5 0F844B010000 je 00401326
:004011DB 83FE40 cmp esi, 00000040
:004011DE 0F8742010000 ja 00401326
:004011E4 8B4508 mov eax, dword ptr [ebp+08]
:004011E7 8D5594 lea edx, dword ptr [ebp-6C]
:004011EA 6A13 push 00000013
:004011EC 52 push edx
* Possible Reference to Dialog: DialogID_0065, CONTROL_ID:03E9, ""
|
:004011ED 68E9030000 push 000003E9
:004011F2 50 push eax
:004011F3 FFD7 call edi ;再次调用GetDlgItemText,得到注册码
:004011F5 6BC003 imul eax, 00000003 ;EAX是注册码的长度
:004011F8 C1E002 shl eax, 02 ;左移二位
:004011FB 05CD000000 add eax, 000000CD ;加上0CD
:00401200 8945FC mov dword ptr [ebp-04], eax
:00401203 817DFCA5010000 cmp dword ptr [ebp-04], 000001A5;看看计算结果是不是1A5
:0040120A 0F85BC000000 jne 004012CC ;不是就死,可以逆算出(1A5-0CD)>>2=12
:00401210 33C0 xor eax, eax ;即注册码不能小于12h位
:00401212 8A4594 mov al, byte ptr [ebp-6C]
:00401215 84C0 test al, al
:00401217 7413 je 0040122C
:00401219 8D4D94 lea ecx, dword ptr [ebp-6C]
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0040122A(C)
|
:0040121C 3C30 cmp al, 30
:0040121E 0F82C6000000 jb 004012EA ;注册码每位不能小于30h,即'0'
:00401224 8A4101 mov al, byte ptr [ecx+01]
:00401227 41 inc ecx
:00401228 84C0 test al, al
:0040122A 75F0 jne 0040121C
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00401217(C)
|
:0040122C E8CFFDFFFF call 00401000 ;这是什么呀?好像很重要哟,进去看看!:D
:00401231 8D852CFFFFFF lea eax, dword ptr [ebp+FFFFFF2C]
:00401237 50 push eax
:00401238 E843FEFFFF call 00401080 ;转换过程一,跟进
:0040123D 8945FC mov dword ptr [ebp-04], eax
:00401240 E8BBFDFFFF call 00401000 ;还进去不?呀....别打我!
:00401245 8D8D2CFFFFFF lea ecx, dword ptr [ebp+FFFFFF2C]
:0040124B 56 push esi
:0040124C 51 push ecx
:0040124D E8BEFDFFFF call 00401010
:00401252 83C40C add esp, 0000000C
:00401255 33C9 xor ecx, ecx
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00401284(C)
|
:00401257 8B45FC mov eax, dword ptr [ebp-04] \
:0040125A 33D2 xor edx, edx |
:0040125C BE1A000000 mov esi, 0000001A |
:00401261 F7F6 div esi |
:00401263 8A941510FFFFFF mov dl, byte ptr [ebp+edx-000000F0]
:0040126A 88540DC8 mov byte ptr [ebp+ecx-38], dl|
:0040126E 8B45FC mov eax, dword ptr [ebp-04] |
:00401271 C1E003 shl eax, 03 |---转换过程二
:00401274 BA45230100 mov edx, 00012345 |
:00401279 F7E8 imul eax |
:0040127B 03C2 add eax, edx |
:0040127D 8945FC mov dword ptr [ebp-04], eax |
:00401280 41 inc ecx |
:00401281 83F912 cmp ecx, 00000012 |
:00401284 72D1 jb 00401257 /
:00401286 E875FDFFFF call 00401000
:0040128B 33C0 xor eax, eax
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004012A2(C)
|
:0040128D 8A4C0594 mov cl, byte ptr [ebp+eax-6C] \
:00401291 8A5405C8 mov dl, byte ptr [ebp+eax-38] |
:00401295 80E930 sub cl, 30 |
:00401298 32D1 xor dl, cl |---转换过程三
:0040129A 885405C8 mov byte ptr [ebp+eax-38], dl |
:0040129E 40 inc eax |
:0040129F 83F812 cmp eax, 00000012 |
:004012A2 72E9 jb 0040128D /
:004012A4 E857FDFFFF call 00401000
:004012A9 8D55C8 lea edx, dword ptr [ebp-38]
:004012AC 52 push edx
:004012AD E85EFEFFFF call 00401110 ;转换过程四
:004012B2 E849FDFFFF call 00401000
:004012B7 8D45C8 lea eax, dword ptr [ebp-38]
* Possible StringData Ref from Data Obj ->"KEYGENNING4NEWBIES"
|
:004012BA 6814514000 push 00405114 ;固定字串"KEYGENNING4NEWBIES"
:004012BF 50 push eax ;上面转换而来的字串
:004012C0 E86BFEFFFF call 00401130 ;进行比较
:004012C5 83C40C add esp, 0000000C
:004012C8 85C0 test eax, eax
:004012CA 753C jne 00401308 ;关键跳转
找串式参考,然后向上很容易找到关键跳转。可以发现是对EAX进行判断,在一般情况下这EAX就是上面CALL的返回值了。再看CALL上面有两个PUSH,猜猜是什么?应该是对字符串比较吧。在上面就可以看出405114是一个固定的字串"KEYGENNIG4NEWBIES",动态跟一跟看EAX是啥,果然,也是一个同样长度的字符串。这时几乎可以肯定这个EAX就是我们的用户名和注册码进行某种运算产生的结果。那么我们就跟一跟看:
从前面的方法找到这个函数的开头,开头还是一些初始化的东东,向下看,可以找到一个API:GetDlgItemText这个API从名字猜猜看,就是我们介绍过的GetDlgItem和GetWindowText和“合体”:D 具体说明请查资料,我不写了。值得一提的是程序把这个CALL的地址先放在EDI里,以后每次调用时只用CALL EDI就行了,这是多次调用同一API时翻译器的优化方法,注意!
调用这个API后返回值是得到的文本的长度,然后在后面对注册码的长度进行一些计算(注释在上面),我们可以反算出注册码的长度为12h位(多于12h位也可以,因为只取前12h位)。
然后就是一个CALL 401000,我直觉感到这是一个重要的CALL,结果跟进去一看:!@#$%,只是把几个寄存器清零了,这告诉我们:直觉会有出错的时候,代码才是检验真理的唯一标准:D。
下面一个CALL 401080,在它前面压入了一个参数正是我们的用户名,我直觉感到这个CALL有问题。跟进看看,这回对了啦:
* Referenced by a CALL at Address:
|:00401238
|
:00401080 55 push ebp
:00401081 8BEC mov ebp, esp
:00401083 51 push ecx
:00401084 53 push ebx
:00401085 56 push esi
:00401086 57 push edi
* Possible StringData Ref from Data Obj ->"eheh"
|
:00401087 6880504000 push 00405080
:0040108C 6A00 push 00000000
:0040108E E8ADFFFFFF call 00401040 ;这个CALL有问题
:00401093 83C408 add esp, 00000008
:00401096 8BD8 mov ebx, eax
:00401098 E863FFFFFF call 00401000
* Possible StringData Ref from Data Obj ->" is a whore."
|
:0040109D BF70504000 mov edi, 00405070
:004010A2 83C9FF or ecx, FFFFFFFF
:004010A5 33C0 xor eax, eax
:004010A7 F2 repnz
:004010A8 AE scasb
:004010A9 F7D1 not ecx
:004010AB 2BF9 sub edi, ecx
:004010AD 8BF7 mov esi, edi
:004010AF 8B7D08 mov edi, dword ptr [ebp+08]
:004010B2 8BD1 mov edx, ecx
:004010B4 83C9FF or ecx, FFFFFFFF
:004010B7 F2 repnz
:004010B8 AE scasb
:004010B9 8BCA mov ecx, edx
:004010BB 4F dec edi
:004010BC C1E902 shr ecx, 02
:004010BF F3 repz
:004010C0 A5 movsd
:004010C1 8BCA mov ecx, edx
:004010C3 83E103 and ecx, 00000003
:004010C6 F3 repz
:004010C7 A4 movsb
:004010C8 33FF xor edi, edi
:004010CA 33F6 xor esi, esi ;上面这一段是不是有点晕,没关系,只看结果
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004010F6(C)
|
:004010CC 8B4508 mov eax, dword ptr [ebp+08]
:004010CF 50 push eax ;在这里D eax看看是什么,RoBa is a whore.
:004010D0 56 push esi ;ESI每次加4,从第ESI个字符开始取值
:004010D1 E86AFFFFFF call 00401040 ;还是上面的CALL
:004010D6 8B8E30504000 mov ecx, dword ptr [esi+00405030];这也是一个表,从里面取值
:004010DC 83C408 add esp, 00000008
:004010DF 33CF xor ecx, edi
:004010E1 03C1 add eax, ecx
:004010E3 8945FC mov dword ptr [ebp-04], eax
:004010E6 C145FC07 rol dword ptr [ebp-04], 07 ;ROL是一个“滚动”移位
:004010EA 8B45FC mov eax, dword ptr [ebp-04]
:004010ED 83C604 add esi, 00000004
:004010F0 33D8 xor ebx, eax ;进行一些运算,EBX最初是"eheh"=68656865
:004010F2 47 inc edi
:004010F3 83FE40 cmp esi, 00000040 ;ESI每次加4,所以这是计算10H=16次
:004010F6 7CD4 jl 004010CC ;这里是循环计算
:004010F8 5F pop edi
:004010F9 8BC3 mov eax, ebx
:004010FB 5E pop esi
:004010FC 5B pop ebx
:004010FD 8BE5 mov esp, ebp
:004010FF 5D pop ebp
:00401100 C3 ret
呵呵,别害怕,这是整个程序最复杂的一处运算,过了这儿就简单了:)
一上来压入了一个"eheh",一个0,然后一个CALL 401040,我跟进。。。。别着急,先带过看返回值是什么?嗯,EAX=68656865。作了这么多练习了,你的“先死”练出来了么?这个EAX怎么这么别扭,就是"eheh"倒过来了呀。'e'=65h,'h'=68h。当然如果没有看出来,跟进一下更保险了:)。
再向下,一个字串" is a whore."(whore什么意思牙,我英语太菜)接下来就是倒来倒去。记住repnz scasb/ repnz movsd这样的计算经常是字符串的计算。我们不算三七二十一先走过这一段看看结果如何。走到4010CF时下D eax。呵呵,是"RoBa is a whore."(到底是什么意思?不是骂我的吧:D)。可见上面那一段就是把用户名接上一个" is a whore." 所以,看不懂的计算不妨先跳过去,往往结果却非常明了。
接下来就是一个循环。又用了CALL 401040。这次是从字串"RoBa is a whore."里取值,而第二个参数ESI每次加4,可以看出它是控制从第几个字符开始取。从循环的最后可以看出要算10h次。
每次从字串中取出四个字符放在EAX中后,再从[405030]这个表里从一个值,进行一些计算,把结果与EBX进行XOR,(EBX最初是上面得到的68656865)。这个CALL返回的值就是10H次计算后的EBX。(这一段较乱,也不太好说明,亲自跟一下就会明白,有疑问请看我的注册机是如何实现的。或者直接找我啦)
好了,我们出来喽,往下走,把返回放在[EBP-4],清空一些寄存器,又来到一个循环。(过程二)
:00401257 8B45FC mov eax, dword ptr [ebp-04] ;最初这里是上面过程一的结果
:0040125A 33D2 xor edx, edx
:0040125C BE1A000000 mov esi, 0000001A
:00401261 F7F6 div esi ;除以1Ah=26
:00401263 8A941510FFFFFF mov dl, byte ptr [ebp+edx-000000F0];根据余数从表中取值
:0040126A 88540DC8 mov byte ptr [ebp+ecx-38], dl ;把取得的值组成一个字串
:0040126E 8B45FC mov eax, dword ptr [ebp-04]
:00401271 C1E003 shl eax, 03
:00401274 BA45230100 mov edx, 00012345
:00401279 F7E8 imul eax
:0040127B 03C2 add eax, edx ;进行一些计算,准备下次再取
:0040127D 8945FC mov dword ptr [ebp-04], eax
:00401280 41 inc ecx ;ECX是循环变量
:00401281 83F912 cmp ecx, 00000012 ;共计算12h=18次
:00401284 72D1 jb 00401257
先讲下DIV除法运算。它把商放在EAX,余数放在EDX。在这里我们可以看到除以1Ah即26。[ebp-F0]看看是啥,哈哈是一个字符表"ABCDEFGHIJKLMNOPQRSTUVWXYZ"。根据除得的余数从这个表中取出一个字符,(恰好除以26)。然后把取出的字符放在[ebp+ecx-38]这个地方,因为ECX是递增的,这样就形成了一个新串。对后面的计算也有一点要说明。imul eax这句,是两个32位的数相乘,这样结果会是64位,结果的高32位放在EDX,低32放入EAX,一定要注意!
下面我们来到过程三:
:0040128D 8A4C0594 mov cl, byte ptr [ebp+eax-6C] ;循环取假注册码
:00401291 8A5405C8 mov dl, byte ptr [ebp+eax-38] ;循环取过程二的结果字串
:00401295 80E930 sub cl, 30
:00401298 32D1 xor dl, cl
:0040129A 885405C8 mov byte ptr [ebp+eax-38], dl
:0040129E 40 inc eax ;EAX是循环变量
:0040129F 83F812 cmp eax, 00000012 ;还是18位
:004012A2 72E9 jb 0040128D
又一个循环,EAX是循环变量,[EBP-38]记得是什么,就是过程二得到的那个新串。[EBP-6C]呢,在很远的上面,就是我们的假注册码。用EAX控制每次取一个字符,然后(假码的字符-30h) XOR 新串的字符,生成的新的新串还放在[EBP-38].
好了,先别晕,下面还有:
lea edx,[EBP-38]。这时EDX是过程三产生的新串了,又压进去,然后CALL 401110。跟进过程四:
:00401110 8B4C2404 mov ecx, dword ptr [esp+04] ;[ESP+4]就是上面PUSH来的字串啦
:00401114 33C0 xor eax, eax
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00401122(C)
|
:00401116 8A1408 mov dl, byte ptr [eax+ecx] ;依次取过程三产生的新串
:00401119 32D0 xor dl, al ;与循环变量XOR
:0040111B 881408 mov byte ptr [eax+ecx], dl ;放好结果
:0040111E 40 inc eax
:0040111F 83F812 cmp eax, 00000012 ;EAX为循环变量,计算12H=18次
:00401122 72F2 jb 00401116
:00401124 C3 ret
这个比较简单吧。CHEERS!最终结果终于出来了,然后判断这个最终结果是不是一个固定字串。当然我们的胡乱输入得不到字串"KEYGENNING4NEWBIES"的。那么应该怎么办呢?过程一和过程二都是对用户名的计算,这两步是不可逆的。也就是说从用户名N算出一个新串K,我们不能从K算出N来(我以为是这样,即使可逆应该也十分复杂)可以表示成 F12(N)=K。然后新串K和注册码S都参考计算,又得出一个新串K'。这是过程三,这个计算可逆(不明白?我在最后有说明)。F3(K,S)=K'。再从K'得到一个K''(过程四,也是可逆的)。最后判断这个K''是不是等于固定字串,即判断是否F4(K')=K''="KEYGENNING4NEWBIES"。
我们写注册机时呢,既然过程一和二(F12)不可逆,我们把它照抄下来得到K,然后可以从"KEYGENNING4NEWBIES"反算(过程四的逆运算)F4'("KEYGENNING4NEWBIES")=K''。最后F2可逆,所以可以求出F3'(K,K')=S。这样就根据用户名求出了注册码S。
(不知各位看懂没有,我自己都说晕了,这种符号表示真麻烦。其实只要想一想就发现很简单的。)
注册机:(C,写得很烂,各位将就)
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
void main()
{
unsigned int iEAX,iEBX,i;
char st[]="KEYGENNING4NEWBIES";
char alpha[]="ABCDEFGHIJKLMNOPQRSTUVWXYZ"; //过程二用到的表
char name[70]={0};
int st1[]={
0x12,0x5C,0x34,0x22,0xAB,0x9D,0x54,0x00,
0xDD,0x84,0xAE,0x66,0x31,0x78,0x73,0xCF //过程一用到的表
};
char st2[20]={0};
char password[20]={0};
printf("Please input your name:");
scanf("%s",name);
strcat(name," is a whore.");
iEBX=0x68656865;
for (i=0;i<16;i++)
{
iEAX=(name[i*4])|(name[i*4+1]<<8)|
(name[i*4+2]<<16)|(name[i*4+3]<<24);
iEAX+=(st1[i]^i);
iEAX=(iEAX<<7)|(iEAX>>25); //我用这个表示ROL
iEBX^=iEAX;
} //过程一
iEAX=iEBX;
for (i=0;i<0x12;i++)
{
int k=iEAX%26;
st2[i]=alpha[k];
__asm
{
mov eax,iEAX
shl eax,3
mov edx,12345h
imul eax
add eax,edx
mov iEAX,eax
} //用了汇编:p
} //过程二
for (i=0;i<18;i++)
st[i]=st[i]^i; //过程四的逆运算
for (i=0;i<18;i++)
{
password[i]=st2[i]^st[i];
password[i]+=0x30;
} //过程三的逆运算,得到注册码
printf("Your Serial number is:\n%s\n",password);
printf("Keygen by RoBa\nEnjoy Cracking!\n");
}
一个可用的用户名:RoBa
注册码::98D34M<N9?:AH85F
这个CRACKME设计有点缺陷,算出的注册码有可能是不可显示字符。开始我以为是我注册机错了,可把字符串粘贴过去以后是正确的。
一点说明:过程二的那个乘法我前面说了,其实结果是64位的,而高级语言里表示64位真的很麻烦,我只知道C里面有一个__int64,但程序老是出错,不得已加进了一段汇编,简单几句就解决了,可见汇编决不能丢掉:)
还有过程三和过程四为什么可逆,我想各位菜鸟同胞搞不清的可能就是异或。我可以明确的告诉大家,XOR运算是可逆的,逆运算仍然是XOR。下面我来证明:因为XOR是按位计算,所以只要一个二进制位的XOR可逆,那么整个数的计算也就可逆。来看
当A=0,B=0时,C=A XOR B=0,那么A=C XOR B=0,B=C XOR A=0
当A=0,B=1时,C=A XOR B=1,那么A=C XOR B=0,B=C XOR A=1
当A=1,B=0时,C=A XOR B=1,那么A=C XOR B=1,B=C XOR A=0
当A=1,B=1时,C=A XOR B=0,那么A=C XOR B=1,B=C XOR A=1
我说的对吧?
后记:这个CRACKME单从注册算法来说算是比较复杂的了,能够达到大部分共享软件的水平(某些采用密码学算法的BT除外)。对于新手来说可能会有些吃力(写破文更费劲),但如果能够弄明白的话,相信你已经能够搞定很大一部分软件的算法了。
当然,在具体的软件保护中不光是要解开算法,PE文件知识、壳的知识等也非常重要。(我正学脱壳,已经能脱UPX,ASPack了,呵呵,是不是很白痴。。。)让我们一起努力吧。:)
[培训]科锐软件逆向50期预科班报名即将截止,速来!!! 50期正式班报名火爆招生中!!!
