简单爆破深思Ⅲ加密狗的方法！
【作   者】:  laoqian (La0Qian)
【软件名称】： XX 专业设计软件
【应用平台】： Win2000
【软件类别】： 深思Ⅲ加密狗
【软件介绍】： xxxx
【破解工具】： ollydbg 1.10（Fly修改版），w32Dasm，UltraEdit
【破解目的】： 深思Ⅲ加密狗简单爆破――菜鸟教学。

【破解过程】
本来想搞VcdromX的，还没搞定，可应朋友要求解一sense3狗,没想到偶有心得.赶在看雪精华6之前放出庆祝一下,呵呵.

此专业设计软件采用深思Ⅲ加密狗加密，其中有好多执行文件（和DLL等）都分别加密，但是方法类似，我拿其中一个开刀。
㈠安装后运行程序，显示“ 出现致命错误,请检查加密狗是否正确!”后退出。
㈡w32Dasm反汇编exe文件，得：

:0050E40E 55                      push ebp
:0050E40F 8BEC                    mov ebp, esp
....略...
....略...
:0050E450 8B4D80                  mov ecx, dword ptr [ebp-80]

* Reference To: MFC42.Ordinal:0A3D, Ord:0A3Dh
                                  |
:0050E453 E8ACBD0800              Call 0059A204
:0050E458 E8A32BFFFF              call 00501000    ;这里可以进去看看call[1]
:0050E45D 85C0                    test eax, eax   ；这里返回eax
:0050E45F 751A                    jne 0050E47B    ；强制跳虽然进入，但不可用
:0050E461 E8BE2BFFFF              call 00501024
:0050E466 6A00                    push 00000000
:0050E468 6A00                    push 00000000

* Possible StringData Ref from Data Obj ->"致命错误错误,请检查加密狗是否正确!"  
  ＝＝>就在这！
                                  |
....略...
....略...

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0050E45F(C)
|
:0050E47B E8302EFFFF              call 005012B0  ;这里可以进去看看 call[2]
:0050E480 A394404B00              mov dword ptr [005B4094], eax  ；这里返回eax
:0050E485 833D94404B0000          cmp dword ptr [005B4094], 00000000
:0050E48C 7526                    jne 0050E4B4  ；强制跳虽然进入，但不可用
:0050E48E 6A00                    push 00000000
....略...
:0050E4A1 6A00                    push 00000000

* Possible StringData Ref from Data Obj ->"致命错误错误,请检查加密狗是否正确!"  
＝＝>就在这！
                                  |
:0050E4A3 686C4C4B00              push 005B4C6C
....略...
....略...
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0050E48C(C)
|
:0050E4B4 6A01                    push 00000001
；这里成功，但是强制跳来是不行的
:0050E4B6 6A06                    push 00000006
:0050E4B8 E8A332FFFF              call 00501760
:0050E4BD 83C408                  add esp, 00000008

* Reference To: MFC42.Ordinal:04B5, Ord:04B5h
                                  |
:0050E4C0 E839BD0800              Call 0059A1FE
....略...
....略...
***************

我们来到call [1]看看：
:00501000 55                      push ebp
:00501001 8BEC                    mov ebp, esp
:00501003 51                      push ecx
:00501005 C745FCCCCCCCCC          mov [ebp-04], CCCCCCCC
:0050100B E870030000              call 00501380  ；这里可以进去看看call[3]
:00501010 8945FC                  mov dword ptr [ebp-04], eax
:00501013 8B45FC                  mov eax, dword ptr [ebp-04]
:00501016 83C404                  add esp, 00000005
....略...
....略...
:00501023 C3                       ret
***************

接下来我们来到call [3]看看：
* Referenced by a CALL at Addresses:
|:0050100B   , :0050105B   , :005010AD   , :0050116D   , :0050120D
|:005012CD
|
:00501380 55                      push ebp
:00501381 8BEC                    mov ebp, esp
:00501383 51                      push ecx
:00501384 C745FCCCCCCCCC          mov [ebp-04], CCCCCCCC
:0050138B 0FBF0540404B00          movsx eax, word ptr [005B4040]
:00501392 83F8FF                  cmp eax, FFFFFFFF
:00501395 7407                    je 0050139E
:00501397 B801000000              mov eax, 00000001
:0050139C EB32                    jmp 005013D0

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00501395(C)
|
:0050139E E84D040000              call 005017F0  ；这里可以进去看看call[4]
:005013A3 8945FC                  mov dword ptr [ebp-04], eax
:005013A6 837DFC02                cmp dword ptr [ebp-04], 00000002
:005013AA 7522                    jne 005013CE
:005013AC E89F040000              call 00501850
:005013B1 25FFFF0000              and eax, 0000FFFF
:005013B6 85C0                    test eax, eax
:005013B8 7510                    jne 005013CA
:005013BA 66C70540404B000000      mov word ptr [005B4040], 0000
:005013C3 B801000000              mov eax, 00000001
:005013C8 EB06                    jmp 005013D0

....略...
....略...
|
:005013CE 33C0                    xor eax, eax

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:0050139C(U), :005013C8(U), :005013CC(U)
|
:005013D0 83C404                  add esp, 00000005
:005013D3 3BEC                    cmp ebp, esp

* Reference To: MSVCRT._chkesp, Ord:00AFh
                                  |
:005013D5 E83C940900              Call 0059A816
:005013DA 8BE5                    mov esp, ebp
:005013DC 5D                      pop ebp
:005013DD C3                      ret
....略...
....略...
***************
接下来我们来到call [4]看看：
来到下面，注意

* Referenced by a CALL at Addresses:
|:00501060   , :005010B2   , :00501172   , :00501212   , :005012D2
|:0050135B   , :0050139E   , :005013E9
|
:005017F0 55                      push ebp
:005017F1 8BEC                    mov ebp, esp
:005017F3 83EC60                  sub esp, 00000060
:005017F6 57                      push edi
:005017F7 8D7DA0                  lea edi, dword ptr [ebp-60]
:005017FA B918000000              mov ecx, 00000018
:005017FF B8CCCCCCCC              mov eax, CCCCCCCC
:00501804 F3                      repz
:00501805 AB                      stosd
:00501806 66C745A4D407            mov [ebp-5C], 07D4 ；注意典型的sense3应用口令
:0050180C 66C745A60500            mov [ebp-5A], 0005 ；注意典型的sense3应用口令
:00501812 66C745A80800            mov [ebp-58], 0008 ；注意典型的sense3应用口令
:00501818 66C745A2FFFF            mov [ebp-5E], FFFF ；开锁
:0050181E 8D45A0                  lea eax, dword ptr [ebp-60]
:00501821 50                      push eax
:00501822 E8C9760900              call 00598EF0  ；这里call[5]，这就是关键的sense3狗操作函数！
:00501827 8B4DA0                  mov ecx, dword ptr [ebp-60]
:0050182A 81E1FFFF0000            and ecx, 0000FFFF
:00501830 85C9                    test ecx, ecx
:00501832 7507                    jne 0050183B  ；正确的狗，不跳
:00501834 B802000000              mov eax, 00000002 ；正确的狗，应该到这里！！！
:00501839 EB02                    jmp 0050183D

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00501832(C)
|
:0050183B 33C0                    xor eax, eax

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00501839(U)
|
:0050183D 5F                      pop edi
:0050183E 83C460                  add esp, 00000060
:00501841 3BEC                    cmp ebp, esp

* Reference To: MSVCRT._chkesp, Ord:00AFh
                                  |
:00501843 E8CE8F0900              Call 0059A816
:00501848 8BE5                    mov esp, ebp
:0050184A 5D                      pop ebp
:0050184B C3                      ret
......................
***************
接下来我们来到关键的sense3狗操作函数！call [5]看看：

* Referenced by a CALL at Addresses:
|:00501822   , :0050187C   , :005018A1   , :00501A53   , :00501D39
|:00501EE7
|
:00598EF0 8B442404                mov eax, dword ptr [esp+04] ; sense3 data中返回标志赋给eax，
.                          ；eax保存的就是下面这个call完成后返回标志的地址。
:00598EF4 6A01                    push 00000001
:00598EF6 50                      push eax ；入栈
:00598EF7 E864020000              call 00599160  ；这里可以进去看看call [6]
.                          ；上面eax保存地址在这里就是[esp]，下d [esp]你会看到。
.                        
；而[esp]的低位保存的就是返回成功或失败的标志！[esp]=0即成功
:00598EFC 83C408                  add esp, 00000008
:00598EFF C20400                  ret 0005
:00598F02 90                      nop
:00598F03 90                      nop
:00598F04 90                      nop
:00598F05 90                      nop
:00598F06 90                      nop
:00598F07 90                      nop
:00598F08 90                      nop
:00598F09 90                      nop
:00598F0A 90                      nop

由reference表，知有6处加密狗操作。 为开锁操作、关锁操作 ，我们动态跟踪可以看到的。

..........
**************
接下来我们来到call [6]看看：
* Referenced by a CALL at Address:
|:00598EF7
|
:00599160 53                      push ebx
:00599161 55                      push ebp
:00599162 56                      push esi
:00599163 8B742410                mov esi, dword ptr [esp+10]
:00599167 57                      push edi
:00599168 6A1E                    push 0000001E
:0059916A 668B7E02                mov di, word ptr [esi+02]
:0059916E 8D6E20                  lea ebp, dword ptr [esi+20]
:00599171 55                      push ebp
:00599172 E8C9040000              call 00599640
:00599177 83C408                  add esp, 00000008
:0059917A 33C9                    xor ecx, ecx
:0059917C 6639465E                cmp word ptr [esi+5E], ax
:00599180 0F94C1                  sete cl
:00599183 6681FF0005              cmp di, 0400
:00599188 8BC1                    mov eax, ecx
:0059918A 7523                    jne 005991AF  ；这里可以跳去看看
:0059918C 6685C0                  test ax, ax
:0059918F 7409                    je 0059919A
:00599191 56                      push esi
....略...
....略...
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0059918A(C)
|
:005991AF 668B5604                mov dx, word ptr [esi+04]
:005991B3 8B5C2418                mov ebx, dword ptr [esp+18]
:005991B7 668B4E06                mov cx, word ptr [esi+06]
:005991BB 66C7463E0000            mov [esi+3E], 0000
:005991C1 6689563F                mov word ptr [esi+3F], dx
:005991C5 668B5608                mov dx, word ptr [esi+08]
:005991C9 6685DB                  test bx, bx
:005991CC 66894E41                mov word ptr [esi+41], cx
:005991D0 66895643                mov word ptr [esi+43], dx
:005991D4 740B                    je 005991E1
:005991D6 6683FF7F                cmp di, 007F
:005991DA 730C                    jnb 005991E8
:005991DC 6685DB                  test bx, bx
:005991DF 756A                    jne 0059924B ；这里可以跳去看看，后面分析。

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:005991D4(C)
|
:005991E1 6681FFFF01              cmp di, 01FF
:005991E6 7663                    jbe 0059924B  ；这里可以跳去看看，后面分析。

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:005991DA(C)
|
:005991E8 6685C0                  test ax, ax
:005991EB 7523                    jne 00599210
:005991ED 56                      push esi
:005991EE E81DFDFFFF              call 00598F10 ；这里可以进去看看call[7]，先看这个
:005991F3 83C404                  add esp, 00000005
:005991F6 6685C0                  test ax, ax
:005991F9 7415                    je 00599210
:005991FB 6A20                    push 00000020
:005991FD 55                      push ebp
:005991FE 66C7068B00              mov word ptr [esi], 008B
:00599203 E808040000              call 00599610
:00599208 83C408                  add esp, 00000008
:0059920B 5F                      pop edi
:0059920C 5E                      pop esi
:0059920D 5D                      pop ebp
:0059920E 5B                      pop ebx
:0059920F C3                      ret
..............
************
这里可以进去看看call [7]，先看这个
* Referenced by a CALL at Address:
|:005991EE
|
:00598F10 81EC94000000            sub esp, 00000094
:00598F16 8D442400                lea eax, dword ptr [esp]

....略...
....略...

:00598F5D 66B80100                mov ax, 0001
:00598F61 66C7425A0000            mov [edx+5A], 0000
:00598F67 81C494000000            add esp, 00000094
:00598F6D C3                      ret

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00598F54(C)
|
:00598F6E 6A00                    push 00000000
:00598F70 6A00                    push 00000000
:00598F72 6A03                    push 00000003
:00598F74 6A00                    push 00000000
:00598F76 6A01                    push 00000001
:00598F78 6800000080              push 80000000

* Possible StringData Ref from Data Obj ->"\\.\SENSE3"   ＝＝>看到就在这！
                                  |
:00598F7D 68FCA64B00              push 005BA6FC

* Reference To: KERNEL32.CreateFileA, Ord:0034h  ＝＝>看到
                                  |
:00598F82 FF1548404A00            Call dword ptr [005A4048]
:00598F88 83F8FF                  cmp eax, FFFFFFFF
:00598F8B 7518                    jne 00598FA5
:00598F8D 8B842498000000          mov eax, dword ptr [esp+00000098]
:00598F94 66C7405A0800            mov [eax+5A], 0008   
;看到和下面的不同了吗？0009
:00598F9A 66B80100                mov ax, 0001   ;看到和下面的不同了吗？0001
:00598F9E 81C494000000            add esp, 00000094
:00598FA4 C3                      ret

检查狗驱动安装正确否！！

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00598F8B(C)
|
:00598FA5 8B8C2498000000          mov ecx, dword ptr [esp+00000098]
:00598FAC 894152                  mov dword ptr [ecx+52], eax
:00598FAF 66C7415A0900            mov [ecx+5A], 0009
:00598FB5 6633C0                  xor ax, ax
:00598FB8 81C494000000            add esp, 00000094
:00598FBE C3                      ret
....略...
....略...
....................

我又回到原来的地方接着看：

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:005991DF(C), :005991E6(C)
|
:0059924B 6685C0                  test ax, ax
:0059924E 7515                    jne 00599265  ；这里可以跳去看看
:00599250 6A20                    push 00000020
:00599252 55                      push ebp
:00599253 66C7068A00              mov word ptr [esi], 008A
:00599258 E8B3030000              call 00599610
:0059925D 83C408                  add esp, 00000008
:00599260 5F                      pop edi
:00599261 5E                      pop esi
:00599262 5D                      pop ebp
:00599263 5B                      pop ebx
:00599264 C3                      ret

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0059924E(C)
|
:00599265 668B465C                mov ax, word ptr [esi+5C]
:00599269 50                      push eax
:0059926A 6A06                    push 00000006
:0059926C 55                      push ebp
:0059926D E80E040000              call 00599680
:00599272 83C40C                  add esp, 0000000C
:00599275 6685DB                  test bx, bx
:00599278 740C                    je 00599286
:0059927A 57                      push edi
:0059927B 56                      push esi
:0059927C E81F010000              call 005993A0  ；这里可以去看看call [8]
:00599281 83C408                  add esp, 00000008
:00599284 EB37                    jmp 005992BD

...........................
这里可以进去看看call [8]
* Referenced by a CALL at Address:
|:0059927C
|
:005993A0 8A4C2408                mov cl, byte ptr [esp+08]
:005993A4 53                      push ebx
:005993A5 56                      push esi
:005993A6 8B74240C                mov esi, dword ptr [esp+0C]
:005993AA 8D4645                  lea eax, dword ptr [esi+45]
:005993AD 8808                    mov byte ptr [eax], cl
....略...
....略...
:00599405 52                      push edx
:00599406 66894636                mov word ptr [esi+36], ax
:0059940A E8B1020000              call 005996C0
:0059940F 83C40C                  add esp, 0000000C
:00599412 66C746260300            mov [esi+26], 0003
:00599418 6A03                    push 00000003
:0059941A 56                      push esi
:0059941B E830FCFFFF              call 00599050  ；这里可以去看看call [9]
:00599420 668B5E2A                mov bx, word ptr [esi+2A] ；这里返回bx=07，是猜测的，因为下面有一句test bx，07
:00599424 83C408                  add esp, 00000008
:00599427 F6C380                  test bl, 80
:0059942A 7406                    je 00599432 ；必须跳jmp
:0059942C 66891E                  mov word ptr [esi], bx
:0059942F 5E                      pop esi
:00599430 5B                      pop ebx
:00599431 C3                      ret
....略...
....略...
:0059949C 66894E24                mov word ptr [esi+24], cx
:005994A0 83E00E                  and eax, 0000000E
:005994A3 F6C307                  test bl, 07  ；＝＝>看到就在这猜测的
:005994A6 668906                  mov word ptr [esi], ax
:005994A9 7504                    jne 005994AF
:005994AB 40                      inc eax
:005994AC 668906                  mov word ptr [esi], ax

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:005994A9(C)
|
:005994AF 5E                      pop esi
:005994B0 5B                      pop ebx
:005994B1 C3                      ret

这里可以进去看看call [9]
................
* Referenced by a CALL at Addresses:
|:00599358   , :0059941B   , :00599501   , :0059955E   , :005995DA
|:005995E9
|
:00599050 83EC08                  sub esp, 00000008
:00599053 53                      push ebx
:00599054 55                      push ebp
:00599055 56                      push esi
:00599056 8B74241C                mov esi, dword ptr [esp+1C]
:0059905A 83E603                  and esi, 00000003
:0059905D 57                      push edi
....略...
....略...
:00599100 52                      push edx
:00599101 EB16                    jmp 00599119

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:005990D8(C)
|
:00599103 8B4F52                  mov ecx, dword ptr [edi+52]
:00599106 8D442414                lea eax, dword ptr [esp+14]
:0059910A 6A00                    push 00000000
:0059910C 50                      push eax
:0059910D 6A60                    push 00000060
:0059910F 57                      push edi
:00599110 6A60                    push 00000060
:00599112 57                      push edi
:00599113 680F002200              push 0022000F
:00599118 51                      push ecx

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:00599101(U)
|

* Reference To: KERNEL32.DeviceIoControl, Ord:005Ch  ；＝＝>看到就在这！这是多么熟悉的函数啊！破狗的常用断点!
                                  |
:00599119 FF1584404A00            Call dword ptr [005A4084]

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:005990E9(U)
|
:0059911F 6683FE03                cmp si, 0003
:00599123 752B                    jne 00599150
:00599125 66837F5A04              cmp word ptr [edi+5A], 0005
:0059912A 7224                    jb 00599150
:0059912C 8B44241C                mov eax, dword ptr [esp+1C]
:00599130 83F80F                  cmp eax, 0000000F
:00599133 7408                    je 0059913D
:00599135 50                      push eax
:00599136 53                      push ebx
..................

   到这里，程序的狗操作方式基本清楚了。
   这个程序用的是码表法，但码表长度很有限，因为它的好多程序要调用，会很占资源。 Sense3的狗内代码执行在这里中看不中用的花拳绣腿。程序没有经常执行的相应代码可放入，最后只好作判断狗之用。
对付方法可以逐个修改。
我提供的方法是直接修改关键的sense3狗操作函数！call [5]，正好他后面留了一些空间9090

00598EF0     8B442404           mov eax,dword ptr ss:[esp+4]
00598EF4     6A01               push 1
00598EF6     50                 push eax
00598EF7     E864020000         call 00599160
00598EFC     8B0424             mov eax,dword ptr ss:[esp]
00598EFF     6636C7000000       mov word ptr ss:[eax],0
00598F05     83C408             add esp,8
00598F08     C20400             retn 4

这样可以一劳永逸，此所谓简单爆破深思Ⅲ加密狗的方法！
还有如果连狗驱动也不要，可以改call [7]的内容。
注意：上面修改了eax的值，为保险起见，可考虑恢复eax的值，方法不?嗦了。

【小结：】
先找到出错提示，由此找到最底层的sense3函数，这是关键！在反汇编代码中，由reference表，可看见所有操作。一一对此修改即可破解，不会遗漏。而本例全为判断狗的Boolean函数，连使用狗内数据都没有，无狗都可破解。由此我想到上面的修改方法可以简化一下劳动，不知对否，请指正！

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)