到一些黑客站点上转转,发现那些最受欢迎、点击次数最多的文章都是一些“教菜鸟使用木马”“入侵初级教程”之类文章,而“Outlook Express HTML邮件超长字节href值缓冲溢出缺陷”“PHP fopen()函数易遭到CRLF Injection攻击”这种文章却乏人问津,尽管这或许才是真正高手所关心的。 C5'#0�}6i�
Lc13PTz>>g
现在看雪论坛上后一种文章逐渐增多,当然是因为大家的水平都提高了,但也给刚入门的菜鸟带来了麻烦,来了之后什么也看不懂,在高手看来不是问题的问题常常困扰新手们很长时间:为什么这里是关键跳转,那边是重要CALL?为什么有的CALL要跟进,有的CALL只需带过?我按照高手所写的一步步做下去成功了,可为什么要这样做呢?我想更有不少人好不容易破了一个明码比较的软件,想贴出来又怕为高手所不屑而做罢。 8|\?imOp\[
�|�� D,->k
因此我找了一个非常简单的CrackMe(如果你是高手,只静态调试应该就可以搞定了:)),从头到尾仔仔细细地写出了分析过程,在里面加入了些我认为应该注意的地方,希望能对刚入门的朋友有些帮助。我不是什么高手,最多算是破解得熟练一点儿了而已,也许这样才更能了解新手们的难处吧。 +,ojlTV�lt
*�`wgq�i�n
这里我用W32Dasm作为静态反汇编的工具,各位可能有用C32Asm或者其他的,基本功能其实应该差不多。 [cf!�%3>53
�-85W��/�%
先胡乱输入用户名和注册码,点"Check the Serial",看看错误信息是什么(如果出现“注册码正确”的话就别在这儿看了,赶紧买彩票去:D)好出来了,“This serial is *NOT* Valid!! Try again... : UNREGISTERED”。 O�i4tG��&q
'nh^�'i&0.
好了运行W32Dasm把它反汇编,在串式参考(string reference)中找吧,注意当字串较长时有时不能完全显示,这时只要找前面一段就行了,比如这次就是,找到"This serial is *NOT* Valid!! Try ",就是它了,双击来到引用该字串的地方。(PS:有时错误信息在代码中会不止一次出现,这时只要多次双击就能找到其他的地方。) ��H�)l�7:a
|�jE0H��!j
下面我要引用代码了(这是在W32DASM里的形式,如果你用OD或SI动态跟踪时形式会略有不同)。不要被这么多代码搞晕了,建议先跳过代码看我的后面的说明,再从代码中对照。 �\J�,p�V�
V`Xt�G��Tx
tE�HgQto
代码:-------------------------------------------------------------------------------- hTVA^��j(w
* Possible Reference to Dialog: DialogID_0001, CONTROL_ID:0066, "" EgT�?Hvx:�
| R;EdYbiF b
:00401085 6A66 push 00000066 ;输入用户名的文本框ID eT6�T@C�](
:00401087 53 push ebx ;对话框句柄 XPQY�*.l&.
r����>ca17
* Reference To: USER32.GetDlgItem, Ord:0000h @�X��g�5�E
| 38l� ��8n.
:00401088 E8159C0000 Call 0040ACA2 ;得到文本框句柄 &Y3�r�'�"�
:0040108D 6A64 push 00000064 ;得到字符串的最大长度
^'ac�|�+
:0040108F 8D9548FFFFFF lea edx, dword ptr [ebp+FFFFFF48] <�Po$|$_~�
:00401095 52 push edx ;EDX是存取字符串的地址 #4Bw�Yj(Sl
:00401096 50 push eax ;EAX是上面得到的文本框句柄 b:t|9�FE%�
�;Qq<5I"y�
* Reference To: USER32.GetWindowTextA, Ord:0000h U~1�)a(Yu;
| Bx��9v2x.�
:00401097 E8129C0000 Call 0040ACAE ;得到用户名,在[ebp+FFFFFF48] (�ut�k)���
'B yB�1�NL
* Possible Reference to Dialog: DialogID_0001, CONTROL_ID:0068, "" _�{&b�m�E
| u1;�sH{YK>
:0040109C 6A68 push 00000068 ;同样的操作,输入注册码的文本框ID r%\%tz'`j
:0040109E 53 push ebx 9oQ$w?=�#$
_��?v&\�j�
* Reference To: USER32.GetDlgItem, Ord:0000h )}lO��%B'K
| �%sC�G}?
y
:0040109F E8FE9B0000 Call 0040ACA2 F�[�KM0t�!
:004010A4 6A64 push 00000064 weC.k��x �
:004010A6 8D8DE4FEFFFF lea ecx, dword ptr [ebp+FFFFFEE4] 1+��9!�W��
:004010AC 51 push ecx z-N�
N(�G+
:004010AD 50 push eax RA1K�$D ?A
P,�@/ap7J�
* Reference To: USER32.GetWindowTextA, Ord:0000h r;_��*.|AH
| _N:G�Z�LG
:004010AE E8FB9B0000 Call 0040ACAE ;得到注册码,在[ebp+FFFFFEE4] .iYp�9?t��
[<�WoXS1LX
* Possible Reference to Dialog: DialogID_0001, CONTROL_ID:0067, "" B`�)TRt+'.
| ��P'^& �SK
:004010B3 6A67 push 00000067 ;这个是最下面的提示的文本框的ID n�K�}-^�Ur
:004010B5 53 push ebx ?�[;>1�+D
7 '<���$*�N�
* Reference To: USER32.GetDlgItem, Ord:0000h ,�Xxp�]*K2
| 8�j�Y<S+[o
:004010B6 E8E79B0000 Call 0040ACA2 ;得到句柄 ��0?cJ>)N�
:004010BB 8BF0 mov esi, eax ;放在ESI备用 �=]S,p7*�7
:004010BD 8D8548FFFFFF lea eax, dword ptr [ebp+FFFFFF48] GI�@�;76Qf
:004010C3 50 push eax ;指向用户名 Y�]7 6y>|e
:004010C4 E867050000 call 00401630 ;得到用户名长度 9h�/�Hy aN
:004010C9 59 pop ecx �KciN�"g|X
:004010CA 8945D8 mov dword ptr [ebp-28], eax ;长度放在[ebp-28] N>C�Ng�UyP
:004010CD 8D95E4FEFFFF lea edx, dword ptr [ebp+FFFFFEE4] *N��fo�t�v
:004010D3 52 push edx ;指向注册码 U� }AIOtUw
:004010D4 E857050000 call 00401630 ;得到注册码长度 t1��NGs-S3
:004010D9 59 pop ecx V(8,94��vm
:004010DA 68EAB04000 push 0040B0EA r`\@Fv,&#
:004010DF E84C050000 call 00401630 ^C92�R"*Qu
:004010E4 59 pop ecx CI-1>= "OE
:004010E5 680EB14000 push 0040B10E A�N�g��t\8
:004010EA E841050000 call 00401630 0X��4)=sJP
:004010EF 59 pop ecx 9�aNOfs8�(
:004010F0 837DD803 cmp dword ptr [ebp-28], 00000003 g5RH:�]�DV
:004010F4 7E7B jle 00401171 ;用户名长度不能小于等于3 _�]-��4UA-
:004010F6 90 nop �o�e��|8��
:004010F7 90 nop �>r�J**y��
:004010F8 90 nop Po�u�o#� 5
:004010F9 90 nop U{�/fY/kq�
:004010FA 33C9 xor ecx, ecx ' ��Ttsscv
:004010FC 33D2 xor edx, edx N����/��'
:004010FE 33DB xor ebx, ebx <Q�O�1Yg7}
:00401100 33C0 xor eax, eax =m�F"D:�s*
:00401102 837DD832 cmp dword ptr [ebp-28], 00000032 r>7�+&s*yk
:00401106 7D69 jge 00401171 ;用户名长度不能大于等于32h �NL>�Tr�v5
:00401108 90 nop 0[M�2LF�!m
:00401109 90 nop �|cP:1CRzi
:0040110A 90 nop :CK�`v6 Qs
:0040110B 90 nop sW'�_�K�.z
� ��<�7SE|
* Referenced by a (U)nconditional or (C)onditional Jump at Address: J*�M�H`;-
|:0040111C(C) �y�`L�.#5T
| L�+p}%!g��
:0040110C 0FBE840D48FFFFFF movsx eax, byte ptr [ebp+ecx-000000B8];依次取用户名的字符 �Du6�5>��O
:00401114 41 inc ecx ;ECX为循环变量 �(�H&�HS�s
:00401115 33C1 xor eax, ecx ;取的字符与循环变量XOR �/3G�q&[R{
:00401117 03D8 add ebx, eax ;把结果累加到EBX ib#�rT��{e
:00401119 3B4DD8 cmp ecx, dword ptr [ebp-28] ;循环变量与用户名长度相比 7M7Lj0Y)L
:0040111C 75EE jne 0040110C ;如果未取完就跳回继续 :�$k1I-^�R
:0040111E 6BC006 imul eax, 00000006 ;最后一轮计算的结果在EAX, 乘6 dO%f ;m�>#
:00401121 C1E307 shl ebx, 07 ;前面累加结果左移7位 ,�Y�x<"2 W
:00401124 03C3 add eax, ebx ;相加 �F�-rhx�Jd
:00401126 8945C8 mov dword ptr [ebp-38], eax EyVu-�4L:#
:00401129 FF75C8 push [ebp-38] ;把上面结果压栈 ^67}&O^1 ,
t0e�5L{ QJ
* Possible StringData Ref from Data Obj ->"%lX" �cZ|�NGk�Z
| l7jen=(Zb;
:0040112C 6838B44000 push 0040B438 ;一个转换的标识 p7-\�a1P3�
:00401131 8D8D80FEFFFF lea ecx, dword ptr [ebp+FFFFFE80] ��?�!U.o1
:00401137 51 push ecx ;存放转换结果的地址 1u�N;JN
`_
:00401138 E8873D0000 call 00404EC4 ;数字转为十六进制字串 b wa�y+lh�
:0040113D 83C40C add esp, 0000000C �#<"od�'{U
:00401140 8D8580FEFFFF lea eax, dword ptr [ebp+FFFFFE80] �-�K?�lhu�
:00401146 50 push eax ;上面转换的字串 9�/e>��%1.
:00401147 8D95E4FEFFFF lea edx, dword ptr [ebp+FFFFFEE4] $%\6"P/64�
:0040114D 52 push edx ;假注册码 rf|N�u�3AJ
�-O��?Hf�Q
* Reference To: KERNEL32.lstrcmpA, Ord:0000h [(_�,\:L${
| >Rt:8uurAG
:0040114E E8339C0000 Call 0040AD86 ;比较 �;�f[##=tm
:00401153 85C0 test eax, eax �Hy�\�q{��
:00401155 750D jne 00401164 ;这里就是关键的跳转 )#i"�hnYpQ
Z�]��Ud�x�
* Possible StringData Ref from Data Obj ->"Congratulations! IF this number " �6M7G�PHah
->"comes *FROM YOUR* keygen, Write " T^#d;A����
->"a tutorial dude ;)." ]zy�T�_}&�
| u;H^4�}
OQ
:00401157 683CB44000 push 0040B43C ;指向表示成功的字符串 '@+q�_v@Jl
:0040115C 56 push esi ;ESI还记得么?那个提示文本框的句柄 ,.(�:�b82$
oqh@��(<%�
* Reference To: USER32.SetWindowTextA, Ord:0000h ca3zY|Oo
| @.a5�9kP8X
:0040115D E8289B0000 Call 0040AC8A ;显示出来 H'�u�d�xPF
:00401162 EB18 jmp 0040117C (?'vT��%��
Z�y9IRZe4U
* Referenced by a (U)nconditional or (C)onditional Jump at Address: >6&Ryt�cc]
|:00401155(C) �,Nw2�cv}D
| 9eHq��Omz
AU)\ ��lyB
* Possible StringData Ref from Data Obj ->"This serial is *NOT* Valid!! Try " P8h|2�,c�%
->"again... : UNREGISTERED" :�%AEwR�Z
| �6
�F��39'
:00401164 6890B44000 push 0040B490 ;开始时停在这句,向上找跳转 'J0I$�-QYk
:00401169 56 push esi ;ESI提示文本框的句柄 p`\�>GWuT!
�1'p=��yHw
* Reference To: USER32.SetWindowTextA, Ord:0000h EQpF:���@_
| t OJyj49^a
:0040116A E81B9B0000 Call 0040AC8A Z
Q*hr�gQ�
:0040116F EB0B jmp 0040117C :eL[n�yQr
-@]b7J?`�k
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: qgfP6W��$
|:004010F4(C), :00401106(C)
O<|pw��
| 8b-mW>�xsA
\J��R^uJ{Y
* Possible StringData Ref from Data Obj ->"Name must contain more than 4 " w?8\9\ ;?
->"chars and less than 50 chars !!" `x�>6Wk�1
| #rr!A���pJ
:00401171 68C9B44000 push 0040B4C9 ;用户名不符合要求跳到这里 v#�s*�I/kw
:00401176 56 push esi ;ESI提示文本框的句柄 ��2c��IbX�
kQd|qZ=:�w
* Reference To: USER32.SetWindowTextA, Ord:0000h [~\�]<;�;\
| /� ��bH2�Z
:00401177 E80E9B0000 Call 0040AC8A t18�j2P>�`
Q}<Q�E:-&E
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses: jC}HNi�M78
|:00401162(U), :0040116F(U) kF��,ME5�%
| /#@tv~�Z^�
:0040117C 5F pop edi C$C>R�YE?.
:0040117D 5E pop esi T�2��azHo7
:0040117E 5B pop ebx ErJ@�$�&�7
:0040117F 8BE5 mov esp, ebp I"3C/ �pU2
:00401181 5D pop ebp ;整理一下返回了 '�yA�/s�Z�
:00401182 C3 ret �}KIS_kr�s
-------------------------------------------------------------------------------- )YAU|sCAi$
双击后光标停在401164这一句。很明显,如果我们来到这句时我们就死翘翘了,而如果我们的注册码正确的话当然不会来到这一句(废话太多了:p)那么这一句上面就肯定会有一个条件跳转的指令。(这是找爆破点时的基本思想)向上找找看,找到了: �v_/�<f&r
�e`7>QS�;.
:00401155 750D jne 00401164 #Cu$�y8~as
��9��Sd?,z
正好跳到401164错误信息那一句。呵呵,如果你想爆破的话,只要把750D改成740D(je,把条件反过来,注册码错误就显示正确信息:D)或者改成EB0D(jmp,无条件跳转,不管三七二十一就正确)。 ]plp.�f#av
�rrj.]^E_~
OK,我们不能满足于此啊,咱们看看它的算法是怎样的,也像那些神秘兮兮的高手似的写一个注册机出来。:D [�'�pO=ho�
�u��|AM�qS
我先给各位补一点课,就是对函数的调用。除了一些DELPHI程序之外,对函数参数的传递大都用堆栈来完成,简单地说就是把函数的各个参数先PUSH进去,然后再CALL这个函数。在函数内部呢,一般[ebp+8]是第一个参数,[ebp+C]是第二个参数,每次多加4依此类推。而函数内部的局部变量常用[ebp-4][ebp-8]...等等。(原因讲起来有点复杂,先记住就行了)函数的返回值在EAX里。 +YW;63"�o�
`Z�5dRLrd
一般来说,软件的判断注册部分都是一个函数,在函数开头最经典的两句就是 e:'5�6?�|�
.�43c�I(��
push ebp �ivq(eKy��
mov ebp,esp �s9nPxC&�A
ZBY2,�%nAo
这和堆栈处理有关,我们菜鸟先不用太明白,知道这通常是一个函数的开始就行了。向上找找有没有丫,找到了没有,在最上面哪(我上面没有列出来)。如果你想完整地判断它的算法的话,一般从这里开始就行了。在这个程序中前面都是一些初始化之类的东东,所以我把前面一部分省略了。(这也是破解时的原则,不要在无关紧要的地方费功夫,在高级语言中,代码有很大部分是机器自动生成的,电脑一行行写代码不知道累,人脑一行行读代码怎么受得了?你的脑袋是几GHz的CPU?常见有些没有破解经验的汇编高手,完全懂得每行代码的意思,就是找不到关键的地方,原来他跟了半天都是在API里转,白做无用功了。) FE�,mUpHIR
AL3iN�k�Ea
好了,现在可以动态调试了。我们在开头这里下个断点,一步步向下看,出现了一个CALL GetDlgItem,我们来看一看函数说明(手头一份这个是必需的) �r#)�1/�`h
l}V��E8-XB
HWND GetDlgItem( _Q
I�!UQdW
HWND hDlg, // handle of dialog box w�DW%��v@�
int nIDDlgItem // identifier of control Y0�1!�D"{\
); ��breF�,d$
8t*�sp-cy|
呵呵,简单的说这个函数就是让程序确定一个对话框上的控件,第一个参数是对话框的句柄,第二个参数是对话框上某个控件的ID,函数会返回该控件的句柄,这样在下面就可以用这个句柄来操作了。看程序: eU%�4�9 A�
vZTXv�d��F
J$1H3#VV�G
代码:-------------------------------------------------------------------------------- ���+@3�+WD
* Possible Reference to Dialog: DialogID_0001, CONTROL_ID:0066, "" 1s�=Q~*f~d
| X�xmWj-=qO
:00401085 6A66 push 00000066 ;控件ID p�Icg+~���
:00401087 53 push ebx ;对话框句柄 ;Hk3y�+&]a
8e��x;g^�e
* Reference To: USER32.GetDlgItem, Ord:0000h �oH�x�:["F
| 9!Mh�(KtQ�
:00401088 E8159C0000 Call 0040ACA2 ZJBb%�d�1;
-------------------------------------------------------------------------------- wX]�$xZ!s�
看见第一行没有,DialogID_0001,CONTROL_ID:0066,压进去了一个66作为第二个参数:控件ID(注意API调用是从右至左,也就是最后面一个参数先PUSH),用 资源查看工具 看看ID为66的是甚么呀,呵呵就是那个输入用户名的文本框嘛。好了,现在我们有文本框的句柄了,存在EAX里。接着向下看,又一个API,是GetWindowText。看看说明: "�E2 0Y"[h
�2\1�+M)�
int GetWindowText( OU,FU@6,7w
HWND hWnd, // handle of window or control with text ek�yCZ8iai
LPTSTR lpString, // address of buffer for text �C][hH�?�.
int nMaxCount // maximum number of characters to copy %(eQ1ir�+�
); 'x�qyG X�I
}/1^Lqfnz�
从名字也能猜出来了,这个函数就是得到一个窗口类控件的文本。第一个参数是该控件的句柄,第二个是存放得到的文本的缓冲区的地址,第三个参数设定取文本的最大长度。看程序: �f~mwDkf?L
U%:�%. Bys
代码:-------------------------------------------------------------------------------- �P�t5�wm�\
:0040108D 6A64 push 00000064 ;最大长度 #0<�pRDXj�
:0040108F 8D9548FFFFFF lea edx, dword ptr [ebp+FFFFFF48];把[ebp+FFFFFF48]先放在EDX里 �PM[�W7g�T
:00401095 52 push edx ;缓冲区地址[ebp+FFFFFF48] fW2NY�QP$:
:00401096 50 push eax ;EAX?是上面那个API的返回值呀,控件句柄 ]���}g\�te
c�.]QI�IdK
* Reference To: USER32.GetWindowTextA, Ord:0000h 9y6u�&!PZ\
| q�$�"��u<
:00401097 E8129C0000 Call 0040ACAE n}Z%�D�-b$
-------------------------------------------------------------------------------- O.�Pp*sQ^�
好了,现在 D ebp+FFFFFF48 看看,是不是输入的用户名?(说明,在OLLY或SICE里这个是[ebp-B8]的形式,其实是一样的) _\+�]/rY9o
8+w*,R�y`�
下面有类似的操作,只是控件ID成了68,可想而知就是得到注册码了,注册码放在[ebp+FFFFFEE4]。 M%e�cWr!tj
K]$PRg1|�3
呵呵,继续,到了这么几句: �xwD`��R�*
> .NLm�zUX
代码:-------------------------------------------------------------------------------- n[DRX5OxR'
:004010BD 8D8548FFFFFF lea eax, dword ptr [ebp+FFFFFF48] )=GPhC/sw�
:004010C3 50 push eax �CJN~��p]\
:004010C4 E867050000 call 00401630 P@UE.0NY�X
-------------------------------------------------------------------------------- �!%65YTxY-
这是干甚么牙?要不要进4010C4这个CALL 401630看看?且慢!我前面说过了,不要在无关紧要的地方费力,(啪!一个鸡蛋扔上来:谁知道这里是不是重要啊?)别急嘛,一般来说,先粗略地跟一遍,试着猜猜CALL的作用。如果发现返回值很可疑,再跟进细看也不迟。(这就需要一定的“直觉”了,英文叫“Sence”,台湾老大叫“触机”或者“先死:D”,别担心,破解得多了自然会有这种感觉,这种感觉很难说出来,有时候一见那种阵势就知道关键地方到了) �����^*f�D
3\}u#/V�b
又扯远了,我们回来看代码。一个CALL,前面有PUSH EAX,很明显是CALL的参数了。(见我前面的说明)看看EAX:lea eax,dword ptr [ebp+FFFFFF48]。[ebp+FFFFFF48]还有没有印象?对了,就是前面API调用中放用户名的地址呀。过了这里后D eax,呵呵不就是咱们的用户名吗,我输入的是“RoBa”,带过这个CALL后看看EAX是什么,嗯~~~~是4。想到什么了?没有?没关系咱们继续看下面: LGu�Zp?�"�
0#TL$?�=|�
代码:-------------------------------------------------------------------------------- Z���#�@��
:004010C9 59 pop ecx �vW ��e�g1
:004010CA 8945D8 mov dword ptr [ebp-28], eax ;记住,上面的返回结果在[ebp-28] R�/��"�f��
:004010CD 8D95E4FEFFFF lea edx, dword ptr [ebp+FFFFFEE4] �� mhrF9&s
:004010D3 52 push edx N,l��r~�6)
:004010D4 E857050000 call 00401630 P9
HKe�v?y
-------------------------------------------------------------------------------- � &�o�x���
又是一个CALL 401630,和上面一样的。看看它的参数EDX,[ebp+FFFFFEE4]呵就是假注册码呀,我输的是'87654321',返回值EAX=8,发现什么没有?对,这个CALL就是求一个字符串的长度嘛,要是跟进去又给费不少时间。向下: P^"RH&Z�QJ
Lq�xh�y s�
代码:-------------------------------------------------------------------------------- r�K'Lvt�@w
:004010F0 837DD803 cmp dword ptr [ebp-28], 00000003 D+:s{IcL<�
:004010F4 7E7B jle 00401171 })<u����~r
tf�7HhOCYX
:00401102 837DD832 cmp dword ptr [ebp-28], 00000032 V�-#JV@�b�
:00401106 7D69 jge 00401171 >3D�1�:0Sg
-------------------------------------------------------------------------------- �Q/�3�*�65
还记得[ebp-28]是什么吗?对,就是用户名的长度,这几句的意思就很明显了,用户名的长度必须大于3小于32h,不然就跳到401171去了,你可以跟过去看看是什么,呵呵是用户名不符合要求之类的提示。 ^_3����Ey�
�`},:d�DHI
好了我们来到关键地方喽: _!�zc <&~I
�@`
P�n<_L
bC+�Z��R{M
代码:-------------------------------------------------------------------------------- |M��KR&%Na
* Referenced by a (U)nconditional or (C)onditional Jump at Address: o�y�
j��kk
|:0040111C(C) k��-3;3M�q
| !VI�xEu^ke
:0040110C 0FBE840D48FFFFFF movsx eax, byte ptr [ebp+ecx-000000B8] ��\?v&JmEU
:00401114 41 inc ecx Pq<4�3:*?
:00401115 33C1 xor eax, ecx X�M!o�N^��
:00401117 03D8 add ebx, eax )�|v ��du
:00401119 3B4DD8 cmp ecx, dword ptr [ebp-28] 5!9y nIC+>
:0040111C 75EE jne 0040110C �B��/3~[ '
-------------------------------------------------------------------------------- yn��ra%"sd
呵呵,是不是又晕了?[ebp+ecx-B8]这是啥呀?别着急,车到山前必有路。先 d ebp+ecx-B8看看,哟,不还是咱们的用户名吗?:D 怎么回事?好好想想,ecx现在是0,[ebp-B8]和[ebp+FFFFFF48](记得不?放用户名的地址)不是一回事嘛!(不明白的去补习一下负数的表示方法,我也不知道为什么W32DASM有时候非把-B8写成FFFFFF48) z�5({A�2q�
i�/ ����o
再仔细看看,movsx eax,byte ptr [ebp+ecx-000000B8],注意是byte ptr,即以字节的方式读取(就是说每次读出一个字符),而且又加上了个ecx。如果你破解多了的话,应该立刻就明白:关键的地方到了。 OO/>}? ob�
`m1s�tK(PO
这是一个很典型的循环结构,看出来没?ecx就是循环变量了,每执行一次会从用户名中取一个字符,然后ecx加1,这样[ebp+ecx-B8]就指向用户名的下一个字符了。对取出来的字符与循环变量进行XOR运算,把结果累加到EBX。然后循环变量与[ebp-28]也就是用户名长度比较,如果不等于的话也就是还没取完,就返回上去继续取用户名的下一个字符。这样直到取完为止。 9{nU�\am!\
N%:�u�OX8{
代码:-------------------------------------------------------------------------------- o�+�OX^F0
:0040111E 6BC006 imul eax, 00000006 ;EAX其实是上面最后一轮计算的结果,乘6 �k(>J?\iNW
:00401121 C1E307 shl ebx, 07 ;EBX是几轮计算累加起来的结果,左移7位 r{yI�F~k@�
:00401124 03C3 add eax, ebx ;加起来 ��4ybOK�~z
:00401126 8945C8 mov dword ptr [ebp-38], eax i��)@vHh82
:00401129 FF75C8 push [ebp-38] ;上面的结果,作为一个参数 $+��e�(k~�
RToX[R�;1E
* Possible StringData Ref from Data Obj ->"%lX" �\2�@�9k�`
| <�C"��}OW8
:0040112C 6838B44000 push 0040B438 ;"%lX"有点眼熟哟 IP !�zg|c,
:00401131 8D8D80FEFFFF lea ecx, dword ptr [ebp+FFFFFE80] ~U?vB((j�!
:00401137 51 push ecx ;这是什么呢? Qw�%��0<~<
:00401138 E8873D0000 call 00404EC4 g5H��sz,x�
:0040113D 83C40C add esp, 0000000C 1�d.>?^uE�
-------------------------------------------------------------------------------- ��U8g�? ��
前面几句是继续上面的计算,把EAX*6和EBX左移7位的值加进来,然后结果复制到[ebp-38]这个局部变量里作为下面CALL的一个参数,接着[ebp+FFFFFE80]作第二个参数,然后又一个CALL,还是那样,先别着急跟进去,前后看看有没有可疑之处: wA�b�_fU&*
QQ,w:OjA�0
第一个参数[ebp-38],没什么好说的,上面计算的结果。第二个参数指向"%lX",这个字串写过C语言的都有印象吧,就是在printf里把一个数字按照大写的16进制方式显示出来所用的标识符,比方说把一个数字255转换成字串“FF”。(在WinAPI里叫wsprintf)第三个参数是什么呢?前面这种形式见多了吧,猜猜! ).�/'RE+(k
F�UPJ�&7+B
我们验证一下前面猜想是否正确,我用"RoBa"上面算出来的结果是46430,也就是16进制的B55E,我们跟过这个CALL看看结果如何?什么,结果在哪?聪明的你还没想到吗,上面那第三个参数[ebp+FFFFFE80]就是结果的地址呀。怎么样不出所料吧。 / dn�]`Ge)
;#"`�]k�hd
(其实从40113D这一句add esp,C也能看出来,因为在函数外平衡堆栈的只有这个一个参数数目不定的函数。引申一下,看不懂没关系啦:D ) bL���7m�lh
}KkH7X�ksF
接着看啦: ]7"m�t2Q=3
55�|$Im�nf
代码:-------------------------------------------------------------------------------- �*�X�zUqK
:00401140 8D8580FEFFFF lea eax, dword ptr [ebp+FFFFFE80];眼熟吗,刚才的转换结果呀 o�q<#����
:00401146 50 push eax ;EAX指向上面转换得到的字符串
n�#]G!��7
:00401147 8D95E4FEFFFF lea edx, dword ptr [ebp+FFFFFEE4];这个很早了,向前面找找是啥 /�3Gv�51'�
:0040114D 52 push edx ;EDX指向我们输入的假注册码 QU�4'x�4YS
y.oJ�zU[p%
* Reference To: KERNEL32.lstrcmpA, Ord:0000h ��$fvUb_n�
| rC*��n�Z*�
:0040114E E8339C0000 Call 0040AD86 @+!d@`w:z2
:00401153 85C0 test eax, eax �nMbV{h� ,
:00401155 750D jne 00401164 ;关键跳转哟 a:]yFi:S�u
-------------------------------------------------------------------------------- �_1��JvA�-
哈哈,lstrcmp,什么意思不用我说了吧,当然是STRingCoMPare字符串比较啦。把计算的结果与前面输入的假码比较,相等就OK了。好了,现在把上面的完整的代码过一遍,怎么样,写个注册机不难吧? M*{e e0\`r
K^v�MI�o�h
代码:-------------------------------------------------------------------------------- Y��b�\36|�
#include <string.h> Te/)�[I'Tn
#include <stdio.h> ��xMh&C�{q
#include <stdlib.h> �[6tQv<}^�
�zB��R]bk\
void main() }?^G=�IP4(
{ wDG�4r�N9x
int EAX=0,EBX=0,len; w?C�\YKF7
char name[50]={0}; �EI�frZg7R
char password[50]={0}; k�4P.}S�J?
printf("Please input your name:"); b,W�'0gl��
scanf("%s",name); {��m?�x},�
len=strlen(name); G!�IQ<FuY�
for (int i=0;i<len;i++) �:6�+~"7T�
{ Dh�oj|��lc
EAX=name^(i+1); 3�@L%#]xwi
EBX+=EAX; $��EIkk= z
} p�g)g&ifKl
EAX*=6; ,0bM*�qo�b
EBX<<=7; 6�]�S.1�BP
EAX+=EBX; P1n@E*~�V5
printf("Your password is: %lX\n",EAX); o=Q�F>\�\
printf("KeyGen by RoBa Enjoy Cracking,Newbies!\n"); "S:N-�Tf%U
} �2\de���|'
-------------------------------------------------------------------------------- �H@'
�@xHv
简单的C程序哟,你也可以用你熟悉的语言写一个。 Ui�!|!�V-
V� b�OL�Tc
后记: P*Sip?�tdE
:j<J�Zs>`R
这是一个简单的CRACKME,本来三言两语就能解决的,被我啰啰嗦嗦说了这么一大堆,就是希望能把问题真正地说明白了,希望通过这篇文章让你发现,破解软件乃至写注册机并不是多么困难的事,只要坚持下去,谁都有成为高手的那一天.
QQ 登录
微信登录
钉钉登录
浙公网安备 33071802100274号