Smoke 发表于 2011-7-22 20:27

木马终截者简单注册码跟踪

------------------------------------------------------------------------------
【文章标题】: 木马终截者简单注册码跟踪
【文章作者】: Smoke
【下载地址】: 自行搜索
【加壳方式】: ASPack 2.12
【使用工具】: OllyDBG PEID
【操作平台】: Windows XP SP3
【作者声明】: 失误之处敬请诸位大侠赐教!灰常新手级别的文章,由于小菜不懂算法,所以不能写出算法分析部分~见谅哈o(∩_∩)o
------------------------------------------------------------------------------
Peid侦测为 ASPack 2.12
载入 OllyDBG
00594001 >60                   pushad
00594002    E8 03000000          call    0059400A   //esp定律即可
00594007- E9 EB045D45          jmp   45B644F7
0059400C    55                   push    ebp
0059400D    C3                   retn
0059400E    E8 01000000          call    00594014
00594013    EB 5D                jmp   short 00594072
004EDE04    55                   push    ebp    //OEP
004EDE05    8BEC               mov   ebp, esp
004EDE07    83C4 F0            add   esp, -10
004EDE0A    53                   push    ebx
004EDE0B    B8 6CD94E00          mov   eax, 004ED96C
004EDE10    E8 6F8CF1FF          call    00406A84
004EDE15    8B1D C0144F00      mov   ebx, dword ptr           ; Trojanki.004F2C34
004EDE1B    8B03               mov   eax, dword ptr
004EDE1D    E8 C664F7FF          call    004642E8
搜索字符串 看到 Software\Trojankiller 双击进入
004ED393    E8 C8D8F7FF          call    0046AC60
004ED398    B1 01                mov   cl, 1
004ED39A    BA E0D54E00          mov   edx, 004ED5E0                  ; Software\Trojankiller
004ED39F    8BC3               mov   eax, ebx
004ED3A1    E8 1ED9F7FF          call    0046ACC4
来到段首 004ED36B    55                   push    ebp   //F2下段
运行 成功断在 004ED36B, 接着就F8单步吧
004ED36B    55                   push    ebp
004ED36C    68 C8D54E00          push    004ED5C8
004ED371    64:FF30            push    dword ptr fs:
004ED374    64:8920            mov   dword ptr fs:, esp
004ED377    C605 A5364F00 00   mov   byte ptr , 0
004ED37E    B2 01                mov   dl, 1
004ED380    A1 C0AA4600          mov   eax, dword ptr
004ED385    E8 36D8F7FF          call    0046ABC0
004ED38A    8BD8               mov   ebx, eax
004ED38C    BA 01000080          mov   edx, 80000001
004ED391    8BC3               mov   eax, ebx
004ED393    E8 C8D8F7FF          call    0046AC60
004ED398    B1 01                mov   cl, 1
004ED39A    BA E0D54E00          mov   edx, 004ED5E0                  ; Software\Trojankiller
004ED39F    8BC3               mov   eax, ebx
004ED3A1    E8 1ED9F7FF          call    0046ACC4
004ED3A6    8D4D F8            lea   ecx, dword ptr
004ED3A9    BA 00D64E00          mov   edx, 004ED600                  ; RegUser
004ED3AE    8BC3               mov   eax, ebx
004ED3B0    E8 27DCF7FF          call    0046AFDC
004ED3B5    8B55 F8            mov   edx, dword ptr //取用户名    Smoke
004ED3B8    B8 A8364F00          mov   eax, 004F36A8
004ED3BD    E8 A672F1FF          call    00404668
004ED3C2    8D4D F4            lea   ecx, dword ptr
004ED3C5    BA 10D64E00          mov   edx, 004ED610                  ; RegNo
004ED3CA    8BC3               mov   eax, ebx
004ED3CC    E8 0BDCF7FF          call    0046AFDC
004ED3D1    8B45 F4            mov   eax, dword ptr //取注册码 1234567890
004ED3D4    50                   push    eax
004ED3D5    8D45 E8            lea   eax, dword ptr
004ED3D8    E8 3F88FFFF          call    004E5C1C
004ED3DD    8B4D E8            mov   ecx, dword ptr //取机器码 078BFBFFY34X92FE
004ED3E0    8D45 EC            lea   eax, dword ptr
004ED3E3    8B15 A8364F00      mov   edx, dword ptr
004ED3E9    E8 2A75F1FF          call    00404918
004ED3EE    8B45 EC            mov   eax, dword ptr //用户名和机器码 Smoke078BFBFFY34X92FE
004ED3F1    8D4D F0            lea   ecx, dword ptr
004ED3F4    BA 20D64E00          mov   edx, 004ED620                  ; trojankillerChina
004ED3F9    E8 96CAFDFF          call    004C9E94
004ED3FE    8B55 F0            mov   edx, dword ptr // 出现注册码 13E3705B7864F8B190086CB1F8BE7C7BF31B8B7FA644133C
004ED401    58                   pop   eax
004ED402    E8 0976F1FF          call    00404A10

用户名 Smoke
机器码 078BFBFFY34X92FE
注册码 13E3705B7864F8B190086CB1F8BE7C7BF31B8B7FA644133C
根据这组信息来重新运行软件进行注册试试
重启验证程序,注册完毕后重新运行软件
点击软件注册 显示 本软件已注册给:Smoke
那么也就是说我们跟踪出来的注册码是正确的!o(∩_∩)o


老万 发表于 2011-7-22 20:34

谢谢楼主分享

低调(d-iao) 发表于 2011-7-23 10:50

这算法CALL不是普通的长懒惰写下去了-.- 我就分析一个的算法结果
其余如果有兴趣就自己分析分析..嘿嘿

算法CALL 004C93E4


帐号+机器 转16后 每次取8位计算
然后从右到左 开始计算

表1: 2组 每组16个
表2: 2组 每组16个
(这里自己查表)

注册码第1位
(004F31B0(固定值)与第8位或(表1:结果01)=10进(5189889))*(2*2*2*2*2*2*2)=27988080
(0012FD00(固定值)与第8位或(表2:结果01)=10进(1244417))*(2*2*2*2*2*2)=04BF4040
80+40=C0
(04BF4040与第16位或(表1:结果00)=10进(79642624))*(2*2*2*2*2)=97E80000
C0+0=C0
(97E80000+第16位或(表2:结果00)=10进(-1746403328))*(2*2*2*2)=7E800000
C0+0=C0
(7E800000+第24位或(表1:结果01)=10进(2122317825))*(2*2*2)=F4000008
C0+8=C8
(7E800000+第24位或(表2:结果00)=10进(-201326592))*(2*2)=D0000000
C8+0=C8
(D0000000+第32位或(表1:结果00)=10进(-805306368))*2=A0000000
C8+0=C8


第一位为C8 以我的帐号与机的计算

低调(d-iao) 发表于 2011-7-23 10:58

本帖最后由 低调(d-iao) 于 2011-7-23 11:06 编辑

帐号+机器=crktianB FE9FBFFY 34X92FE
转16后=63726B7469616E42 4645394642464659 33345839324645
取8位右到左= B n a i t k r c
取8位右到左=426E6169746B7263

我的
表1:
1010101010101010
0000010111011101

表2:
0011000110010000
0101101000110111

chesion001 发表于 2011-7-23 19:38

回复 低调(d-iao) 的帖子

呵呵。。威武。

yao 发表于 2011-7-23 19:42

楼主啊,这个算法不大懂,什么是每次取八位计算啊!!!

angel201002 发表于 2011-9-8 12:01

回复 Smoke 的帖子

怎么回事呢

注册账户好难 发表于 2011-9-8 16:37

膜拜lz
膜拜低调哥··

2007jing 发表于 2011-9-8 21:57

新手学习。膜拜一三楼下

xylguagua 发表于 2011-9-8 23:02

你数学很好吧
页: [1]
查看完整版本: 木马终截者简单注册码跟踪