【文章标题】: Password Tracker Deluxe 详细算法分析
【文章作者】: 海浪轻风
【作者邮箱】: futuring@126.com
【作者主页】: http://hi.baidu.com/beyond0769
【软件名称】: Password Tracker Deluxe (Version 3.63)
【下载地址】: http://www.clrpc.com/download.htm
【编写语言】: VC++
【软件介绍】: 常驻在工具条的密码保管员。当你开启需要密码的工具软件时,只需点选一下,它就会为你填入所 需的帐号与密码,也可以设定自动填入于跳出的对话框中,但是当然啦,它本身也是需要密码才能启用,以保护你众多的密码。
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
难度中等的加密算法。
一开始调试时感觉这个程序用了点花招。OD载入运行后在程序界面显示后,OD显示进程已经结束。然后在任务管理器里
发现有两个进程。把OD关掉,程序并没有退出。到底使用了什么技巧?懒得去理,因为这难不了OD,用OD的“附加”功能
把已经运行的程序附加,再重新加载就可以了。
输入假码马上有错误提示“invalid registration number.”
可以查ASCII也可以用bp MessagBoxA 下断,来到关键算法处:
00422370 . 6A FF PUSH -1 ; 注册按键事件
主算法过程没有什么好说的,把用户名和假码入栈后准备处理,进入关键函数:
004223DD . E8 DE050000 CALL PwTrkr.004229C0 ; 关键算法,F7进入
004229C0 /$ 6A FF PUSH -1 ; 关键算法
---------
这过程有两个重要CALL,
004229E2 |. E8 B9FAFFFF CALL PwTrkr.004224A0 ; 用户名检测及计算过程
00422A04 |. E8 E7FBFFFF CALL PwTrkr.004225F0 ; 核心算法过程,F7步进
先进入第一个看看。
004224A0 /$ 6A FF PUSH -1 ; 用户名检测及计算CALL
还没有看到什么有用东西,好东西在
004224E2 |. E8 19000000 CALL PwTrkr.00422500 ; 关键算法,处理用户名,F7进入
00422500 /$ 8B4424 04 MOV EAX,DWORD PTR SS:[ESP+4] ; 关键算法,处理用户名
这个过程先利用一个循环对用户名进行检测,和内存中的黑名单进行比较,相等则注册失败。
把断点下在
0042253B |> 8B07 /MOV EAX,DWORD PTR DS:[EDI] ; EAX 指向内存中的黑名单
可以在内存中截取黑名单如下:
00489FB4 >43 4F 52 45 2F 4A 45 53 00 00 00 00 46 75 6C 6C CORE/JES....Full
大概有三个:CORE/JES, Fully Licensed User和Plushmm PC'97。
然后再利用第二个循环对用户名进行简单计算:
用Delphi描述为:
function CalcName(Name:string):integer;
var
i,n:integer;
str:string;
begin
n:=$0D;
for i:=1 to Length(Name) do
begin
n:=n + ord(Name[i]) * i
{请注意上面这里,如果要支持中文注册,要考虑处理MOVSX指令。
end;
Result:= n;
end;
把计算结果记为 N ,下面有用。
接着调用关键函数Func对 N 进行计算。
00422583 |. E8 91EB0000 CALL <PwTrkr._rand> ; 关键函数Func
进行进一步计算
00431119 >/$ E8 25440000 CALL <PwTrkr.__getptd> ; 关键函数Func
这个过程用Delphi描述为
function Func(n:integer):integer;
begin
Result:= ( n * $343FD + $269EC3) shr $10 and $7FFF;
end;
调用 Func(N)返回结果记为 N1.
然后再次调用关键函数 Func (N1 * $343FD + $269EC3) 进行计算,结果记为 N2。
保存下来后面有用。
--------------------
接着跳出到 004229C0 /$ 6A FF PUSH -1 ; 关键算法 过程。来到
00422A04 |. E8 E7FBFFFF CALL PwTrkr.004225F0 ; 核心算法过程,F7步进
004225F0 /$ 6A FF PUSH -1 ; 核心算法过程
--------------------------------
核心算法过程总结如下:
1、检测注册码,必须是13位,否则失败
2、取注册码前2位,必须是"PT",否则失败
3、取注册码第3-6位,转换成数值,记为 T1;
取注册码第7-13位,转换成数值,记为 T2;
4、第一种注册成功的方法:如果T1= $-350 并且 T2 = $FFF98B05 则注册成功;
(因此可以反推算得一个通用注册码:PT-848-423163)
5、如果第4步没有通过,则 ( -N1 mod $3E8 )必须等于 T1,否则失败
6、0 - ( ( N2 * 8 - N2 ) shl 1 - N2 ) 的结果必须是T2,否则失败。
--------------------------------
至此为止,整个算法过程已经非常清晰了。用Delphi写个逆向算法注册机吧,个人感觉比较完美 ^_^ 。
function MOVSX(A: Byte): DWORD; //处理MOVSX指令,让注册机支持中文
begin
if A and $80 = 0 then Result := A
else Result := $FFFFFF00 or A;
end;
function CalcName(Name: string): integer;
var
i, n: integer;
str: string;
begin
n:= $0D;
for i:= 1 to Length(Name) do
begin
n:= n + MOVSX(ord(Name[i])) * i
end;
Result:= n;
end;
function Func(n: integer): integer;
begin
Result:= ((n * $343FD + $269EC3) shr $10) and $7FFF;
end;
function GetSn(UserName: string): string;
var
s: string;
iName: integer;
N1, N2: integer;
S1, S2: string;
begin
Result:= '';
//对用户名进行过滤
if (UserName = 'CORE/JES') or (UserName = 'Fully Licensed User') or
(UserName = 'Plushmm PC'' 97') then
begin
Result:= '该用户名已被列入黑名单';
Exit;
end;
iName:= CalcName(UserName); //对用户名进行计算处理。
N1:= Func(iName);
N2:= Func(iName * $343FD + $269EC3);
S1:= inttostr((-N1) mod $3E8);
S2:= inttostr(-((N2 * 7) shl 1 - N2));
//以下是为了使最终注册码长度为13的解决方法。
while (Length(S1 + S2) <> 11) do
begin
insert('0', S2, 2);
end;
Result:= 'PT' + S1 + S2;
end;
使用方法,直接调用 GetSn(用户名)即可返回真正注册码。
提供1组经上述代码计算出来的结果:
用户名:海浪轻风
注册码:PT-833-125892
注册成功后注册信息保存在注册表处:
Windows Registry Editor Version 5.00
删除后可再调试。
--------------------------------------------------------------------------------
20090528 18:16:48
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
