学逆向论坛

找回密码
立即注册

只需一步,快速开始

发新帖

2万

积分

41

好友

1171

主题

[Reverse] 婉若游龙wp

发表于 2021-3-29 11:20:59 | 查看: 3385| 回复: 0

相关题目:

♦ 婉若游龙

在拿到这个软件的时候,先双击运行看看软件的运行情况!这个软件有三个输入口,在hard Coded输入“abcdefg”点击check提示错误!
  在name上输入“abcdefg”serial上输入“1234567”点击check提示“sorry please try again”。
  
     到这里我们大概知道,软件有两种注册方法,一、用hard Coded。二、用帐号和注册码注册。这个软件没有加壳,我们直接用od载入。
  载入了软件后我们先看看能不能用文本参考。
  载入后程序停在401000处。
  00401000 >/$  6A 00         push    0                                ; /pModule = NULL
  00401002  |.  E8 83070000   call    <jmp.&KERNEL32.GetModuleHandleA> ; \GetModuleHandleA
  00401007  |.  A3 80344000   mov     dword ptr [403480], eax
  0040100C  |.  E8 73070000   call    <jmp.&KERNEL32.GetCommandLineA>  ; [GetCommandLineA
  
     在这里右键点击,选择查找-》所有参考文本字符串。这时出现了出现了一个新的窗口,在这个窗口中找到提示注册失败的文本字串
  “sorry please try again”。双击“sorry please try again”文本字串,跳到004016e9这个地方。
  004016E0  |. /EB 13         jmp     short 004016F5
  004016E2  |> |6A 00         push    0                                ; /Style = MB_OK|MB_APPLMODAL
  004016E4  |. |68 0A304000   push    0040300A                         ; |Title = "Splish, Splash"
  004016E9  |. |68 67304000   push    00403067                         ; |Text = "Sorry, please try again."
  004016EE  |. |6A 00         push    0                                ; |hOwner = NULL
  004016F0  |. |E8 53000000   call    <jmp.&USER32.MessageBoxA>        ; \MessageBoxA
  004016F5  |> \C9            leave
  004016F6  \.  C2 0800       retn    8
  这段代码是调用MessageBoxA函数创建提示失败的对话框。在附近找找,在004016c8 jnz     short 004016E2不相等就跳转提示注册失败
  在004016bc处相等就跳转到提示注册成功。看起来这里是注册的关键地方,我们在004016b6的地方下个断点标记一下。我接着往上看看
  有没有获取帐号和注册码的地方,果然在004015f1附近两次调用了GetWindowTextA函数,获取输入值,一个是存在00403242的地方,另一
  个存在00403236的地址处,这里面肯定是输入的注册码和帐号,我们来验证一下。
     在00401614处按F2下断点,按F9运行,软件停止输入框中等待输入。我们在name上输入“abcdefg”,在serial上输入“1234567”单击check
  程序停止断点00401614处,这时已获取了输入值,我们在数据内存区找到00403242和00403236地址。
  00403230  00 00 00 00 00 00 61 62 63 64 65 66 67 00 00 00  ......abcdefg...
  00403240  00 00 31 32 33 34 35 36 37 38 00 00 00 00 00 00  ..12345678......
  
  这时我们看见00403242存的是刚才输入的注册码serial,00403236存的是帐号name。到这里我们找到了帐号和注册码,我在这里到提示失败
  的地方的汇编注释先贴出来:
  004015E4  /$  55            push    ebp
  004015E5  |.  8BEC          mov     ebp, esp                         ;  判断注册码的函数
  004015E7  |.  6A 20         push    20                               ; /Count = 20 (32.)
  004015E9  |.  68 42324000   push    00403242                         ; |Buffer = Splish.00403242
  004015EE  |.  FF75 0C       push    dword ptr [ebp+C]                ; |hWnd
  004015F1  |.  E8 34010000   call    <jmp.&USER32.GetWindowTextA>     ; \GetWindowTextA
  004015F6  |.  85C0          test    eax, eax
  004015F8  |.  0F84 95000000 je      00401693                         ;  获得输入name,输入为零时跳走
  004015FE  |.  A3 67344000   mov     dword ptr [403467], eax          ;  注册码长度lens
  00401603  |.  6A 0B         push    0B                               ; /Count = B (11.)
  00401605  |.  68 36324000   push    00403236                         ; |Buffer = Splish.00403236
  0040160A  |.  FF75 08       push    dword ptr [ebp+8]                ; |hWnd
  0040160D  |.  E8 18010000   call    <jmp.&USER32.GetWindowTextA>     ; \GetWindowTextA
  00401612  |.  85C0          test    eax, eax                         ;  获得输入serial
  00401614  |.  74 68         je      short 0040167E                   ;  输入为零跳走
  00401616  |.  A3 63344000   mov     dword ptr [403463], eax          ;  len取serial的长度
  0040161B  |.  33C9          xor     ecx, ecx
  0040161D  |.  33DB          xor     ebx, ebx                         ;  变量i
  0040161F  |.  33D2          xor     edx, edx
  00401621  |.  8D35 36324000 lea     esi, dword ptr [403236]          ;  字符串name
  00401627  |.  8D3D 58324000 lea     edi, dword ptr [403258]          ;  缓存hname
  0040162D  |.  B9 0A000000   mov     ecx, 0A                          ;  变量n设10
  00401632  |>  0FBE041E      /movsx   eax, byte ptr [esi+ebx]         ;  取name的第一个字符
  00401636  |.  99            |cdq                                     ;  扩成八字节,就是用符号为给edx赋值
  00401637  |.  F7F9          |idiv    ecx                             ;  edx:eax除于n就是name的第一个字符除于10
  00401639  |.  33D3          |xor     edx, ebx                        ;  余数edx和ebx异或,存入edx
  0040163B  |.  83C2 02       |add     edx, 2                          ;  edx加2
  0040163E  |.  80FA 0A       |cmp     dl, 0A
  00401641  |.  7C 03         |jl      short 00401646
  00401643  |.  80EA 0A       |sub     dl, 0A
  00401646  |>  88141F        |mov     byte ptr [edi+ebx], dl          ;  将name的ebx个字符处理后放到缓存hname的第ebx个字符
  00401649  |.  43            |inc     ebx
  0040164A  |.  3B1D 63344000 |cmp     ebx, dword ptr [403463]         ;  ebx和serial的长度len比较
  00401650  |.^ 75 E0         \jnz     short 00401632
  00401652  |.  33C9          xor     ecx, ecx
  00401654  |.  33DB          xor     ebx, ebx                         ;  变量i=0
  00401656  |.  33D2          xor     edx, edx
  00401658  |.  8D35 42324000 lea     esi, dword ptr [403242]          ;  注册码serial
  0040165E  |.  8D3D 4D324000 lea     edi, dword ptr [40324D]          ;  缓存注册码hserial
  00401664  |.  B9 0A000000   mov     ecx, 0A                          ;  变量n等于10
  00401669  |>  0FBE041E      /movsx   eax, byte ptr [esi+ebx]         ;  将注册码serial的第i字符取出
  0040166D  |.  99            |cdq                                     ;  扩成八位
  0040166E  |.  F7F9          |idiv    ecx                             ;  第一字符除以n,就是除以10
  00401670  |.  88141F        |mov     byte ptr [edi+ebx], dl          ;  把余数放到hserial的第i个里
  00401673  |.  43            |inc     ebx                             ;  i++
  00401674  |.  3B1D 67344000 |cmp     ebx, dword ptr [403467]         ;  i和注册码的长度lens比较大小
  0040167A  |.^ 75 ED         \jnz     short 00401669
  0040167C  |.  EB 2A         jmp     short 004016A8                   ;  有
  0040167E  |>  6A 00         push    0                                ; /Style = MB_OK|MB_APPLMODAL
  00401680  |.  68 0A304000   push    0040300A                         ; |Title = "Splish, Splash"
  00401685  |.  68 A0304000   push    004030A0                         ; |Text = "Please enter your name."
  0040168A  |.  6A 00         push    0                                ; |hOwner = NULL
  0040168C  |.  E8 B7000000   call    <jmp.&USER32.MessageBoxA>        ; \MessageBoxA
  00401691  |.  EB 62         jmp     short 004016F5
  00401693  |>  6A 00         push    0                                ; /Style = MB_OK|MB_APPLMODAL
  00401695  |.  68 0A304000   push    0040300A                         ; |Title = "Splish, Splash"
  0040169A  |.  68 B8304000   push    004030B8                         ; |Text = "Please enter your serial number."
  0040169F  |.  6A 00         push    0                                ; |hOwner = NULL
  004016A1  |.  E8 A2000000   call    <jmp.&USER32.MessageBoxA>        ; \MessageBoxA
  004016A6  |.  EB 4D         jmp     short 004016F5
  004016A8  |>  8D35 4D324000 lea     esi, dword ptr [40324D]          ;  注册码缓存hserial
  004016AE  |.  8D3D 58324000 lea     edi, dword ptr [403258]          ;  帐号缓存hname
  004016B4  |.  33DB          xor     ebx, ebx                         ;  变量i
  004016B6  |>  3B1D 63344000 /cmp     ebx, dword ptr [403463]         ;  i和注册码长度len比较
  004016BC  |.  74 0F         |je      short 004016CD                  ;  相等才可以提示正确
  004016BE  |.  0FBE041F      |movsx   eax, byte ptr [edi+ebx]         ;  hname
  004016C2  |.  0FBE0C1E      |movsx   ecx, byte ptr [esi+ebx]         ;  hserial
  004016C6  |.  3BC1          |cmp     eax, ecx                        ;  如果hname【i】和hserial【i】相等,i++
  004016C8  |.  75 18         |jnz     short 004016E2                  ;  不相等就注册失败
  004016CA  |.  43            |inc     ebx
  004016CB  |.^ EB E9         \jmp     short 004016B6
  004016CD  |>  6A 00         push    0                                ; /Style = MB_OK|MB_APPLMODAL
  004016CF  |.  68 0A304000   push    0040300A                         ; |Title = "Splish, Splash"
  004016D4  |.  68 42304000   push    00403042                         ; |Text = "Good job, now keygen it."
  004016D9  |.  6A 00         push    0                                ; |hOwner = NULL
  004016DB  |.  E8 68000000   call    <jmp.&USER32.MessageBoxA>        ; \MessageBoxA
  004016E0  |.  EB 13         jmp     short 004016F5
  004016E2  |>  6A 00         push    0                                ; /Style = MB_OK|MB_APPLMODAL
  004016E4  |.  68 0A304000   push    0040300A                         ; |Title = "Splish, Splash"
  004016E9  |.  68 67304000   push    00403067                         ; |Text = "Sorry, please try again."
  004016EE  |.  6A 00         push    0                                ; |hOwner = NULL
  004016F0  |.  E8 53000000   call    <jmp.&USER32.MessageBoxA>        ; \MessageBoxA
  004016F5  |>  C9            leave
  004016F6  \.  C2 0800       retn    8
  
  这个注册机制是f1(name)=f2(serial)的形式,name是帐号,serial是注册码,在获取了输入后就计算hname=f1(name)的值
  hname存在00403258。计算代码:
  0040161B  |.  33C9          xor     ecx, ecx
  0040161D  |.  33DB          xor     ebx, ebx                         ;  变量i
  0040161F  |.  33D2          xor     edx, edx
  00401621  |.  8D35 36324000 lea     esi, dword ptr [403236]          ;  字符串name
  00401627  |.  8D3D 58324000 lea     edi, dword ptr [403258]          ;  缓存hname
  0040162D  |.  B9 0A000000   mov     ecx, 0A                          ;  变量n设10
  00401632  |>  0FBE041E      /movsx   eax, byte ptr [esi+ebx]         ;  取name的第i个字符
  00401636  |.  99            |cdq                                     ;  扩成八字节,就是用符号为给edx赋值
  00401637  |.  F7F9          |idiv    ecx                             ;  edx:eax除于n就是name的第一个字符除于10
  00401639  |.  33D3          |xor     edx, ebx                        ;  余数edx和ebx异或,存入edx
  0040163B  |.  83C2 02       |add     edx, 2                          ;  edx加2
  0040163E  |.  80FA 0A       |cmp     dl, 0A
  00401641  |.  7C 03         |jl      short 00401646
  00401643  |.  80EA 0A       |sub     dl, 0A
  00401646  |>  88141F        |mov     byte ptr [edi+ebx], dl          ;  将name的ebx个字符处理后放到缓存hname的第ebx个字符
  00401649  |.  43            |inc     ebx
  0040164A  |.  3B1D 63344000 |cmp     ebx, dword ptr [403463]         ;  ebx和serial的长度len比较
  00401650  |.^ 75 E0         \jnz     short 00401632
  这里可以提取出函数f1,将帐号name的每个字符取出,经过除10取余,和字符位数相异或,再加2的计算处理后存到hname中。我们对应的
  c语言的实现:
          lenn=strlen(name);
          for(i=0;i<lenn;i++)
          {
                  tm=name;
                  tm%=10;
                  tm^=i;
                  tm+=2;
                 
                  if(tm>=10)
                  {
                          tm-=10;
                  }
                  hname=tm;
          }
  
  往后就是hserial=f2(serial)值的计算,汇编代码:
  00401652  |.  33C9          xor     ecx, ecx
  00401654  |.  33DB          xor     ebx, ebx                         ;  变量i=0
  00401656  |.  33D2          xor     edx, edx
  00401658  |.  8D35 42324000 lea     esi, dword ptr [403242]          ;  注册码serial
  0040165E  |.  8D3D 4D324000 lea     edi, dword ptr [40324D]          ;  缓存注册码hserial
  00401664  |.  B9 0A000000   mov     ecx, 0A                          ;  变量n等于10
  00401669  |>  0FBE041E      /movsx   eax, byte ptr [esi+ebx]         ;  将注册码serial的第i字符取出
  0040166D  |.  99            |cdq                                     ;  扩成八位
  0040166E  |.  F7F9          |idiv    ecx                             ;  第一字符除以n,就是除以10
  00401670  |.  88141F        |mov     byte ptr [edi+ebx], dl          ;  把余数放到hserial的第i个里
  00401673  |.  43            |inc     ebx                             ;  i++
  00401674  |.  3B1D 67344000 |cmp     ebx, dword ptr [403467]         ;  i和注册码的长度lens比较大小
  0040167A  |.^ 75 ED         \jnz     short 00401669
  
  可以看出f2的计算比较简单,就是serial的每个字符ascii码除于10的余数存到hserial中。
    在计算出hname=f1(name)和hserial=f2(serial)之后就是比较hname和hserial的大小。
  汇编代码:
  004016A8  |> \8D35 4D324000 lea     esi, dword ptr [40324D]          ;  注册码缓存hserial
  004016AE  |.  8D3D 58324000 lea     edi, dword ptr [403258]          ;  帐号缓存hname
  004016B4  |.  33DB          xor     ebx, ebx                         ;  变量i
  004016B6  |>  3B1D 63344000 /cmp     ebx, dword ptr [403463]         ;  i和注册码长度len比较
  004016BC  |.  74 0F         |je      short 004016CD                  ;  相等才可以提示正确
  004016BE  |.  0FBE041F      |movsx   eax, byte ptr [edi+ebx]         ;  hname
  004016C2  |.  0FBE0C1E      |movsx   ecx, byte ptr [esi+ebx]         ;  hserial
  004016C6  |.  3BC1          |cmp     eax, ecx                        ;  如果hname【i】和hserial【i】相等,i++
  004016C8  |.  75 18         |jnz     short 004016E2                  ;  不相等就注册失败
  004016CA  |.  43            |inc     ebx
  004016CB  |.^ EB E9         \jmp     short 004016B6
  
  只有hname和hserial的所有第i个字符相等才能注册成功,有一个不相等在4016c8处就会跳到注册失败提示上去!
  写注册机就是求serial,serial=f2^-1(hserial),hserial=hname=f1(name)。f2是除10的余数,f2的逆f2^-1求出来的值不是唯一的
  是加上10的倍数就可以,就是说serial=hserial+10*n,n是0,1,2,3……,hserial是0到九的数,我们要serial的值是字母的ascii
  值n取70,serial的值在70到80之间是F~P的ascii值,所以我们的注册机代码:
 [i]#define _CRT_SECURE_NO_WARNINGS#include<stdio.h>
#include<string.h>
#include <windows.h>

int main()
{
        char name[19] = "abcdefg";

        char hname[19];

        int lenn;


        int tm;
        int i = 0;

        printf("输入帐号:");
        scanf("%s", name);
        printf("\n");

        lenn = strlen(name);
        for (i = 0; i < lenn; i++)
        {
                tm = name;
                tm %= 10;
                tm ^= i;
                tm += 2;

                if (tm >= 10)
                {
                        tm -= 10;
                }
                hname = tm;
        }
        printf("注册码:");
        for (i = 0; i < lenn; i++)
        {

                printf("%c", (hname + 70));
        }
        printf("\n");
        system("pause");
        return 0;
}
  


温馨提示:
1.如果您喜欢这篇帖子,请给作者点赞评分,点赞会增加帖子的热度,评分会给作者加学币。(评分不会扣掉您的积分,系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的认可,还可以获得学币奖励,请尊重他人的劳动成果,拒绝做伸手党!
3.发广告、灌水回复等违规行为一经发现直接禁言,如果本帖内容涉嫌违规,请点击论坛底部的举报反馈按钮,也可以在【投诉建议】板块发帖举报。
论坛交流群:672619046

小黑屋|手机版|站务邮箱|学逆向论坛 ( 粤ICP备2021023307号 )|网站地图

GMT+8, 2024-12-26 13:19 , Processed in 0.166542 second(s), 39 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表