木马终截者简单注册码跟踪
------------------------------------------------------------------------------【文章标题】: 木马终截者简单注册码跟踪
【文章作者】: Smoke
【下载地址】: 自行搜索
【加壳方式】: ASPack 2.12
【使用工具】: OllyDBG PEID
【操作平台】: Windows XP SP3
【作者声明】: 失误之处敬请诸位大侠赐教!灰常新手级别的文章,由于小菜不懂算法,所以不能写出算法分析部分~见谅哈o(∩_∩)o
------------------------------------------------------------------------------
Peid侦测为 ASPack 2.12
载入 OllyDBG
00594001 >60 pushad
00594002 E8 03000000 call 0059400A //esp定律即可
00594007- E9 EB045D45 jmp 45B644F7
0059400C 55 push ebp
0059400D C3 retn
0059400E E8 01000000 call 00594014
00594013 EB 5D jmp short 00594072
004EDE04 55 push ebp //OEP
004EDE05 8BEC mov ebp, esp
004EDE07 83C4 F0 add esp, -10
004EDE0A 53 push ebx
004EDE0B B8 6CD94E00 mov eax, 004ED96C
004EDE10 E8 6F8CF1FF call 00406A84
004EDE15 8B1D C0144F00 mov ebx, dword ptr ; Trojanki.004F2C34
004EDE1B 8B03 mov eax, dword ptr
004EDE1D E8 C664F7FF call 004642E8
搜索字符串 看到 Software\Trojankiller 双击进入
004ED393 E8 C8D8F7FF call 0046AC60
004ED398 B1 01 mov cl, 1
004ED39A BA E0D54E00 mov edx, 004ED5E0 ; Software\Trojankiller
004ED39F 8BC3 mov eax, ebx
004ED3A1 E8 1ED9F7FF call 0046ACC4
来到段首 004ED36B 55 push ebp //F2下段
运行 成功断在 004ED36B, 接着就F8单步吧
004ED36B 55 push ebp
004ED36C 68 C8D54E00 push 004ED5C8
004ED371 64:FF30 push dword ptr fs:
004ED374 64:8920 mov dword ptr fs:, esp
004ED377 C605 A5364F00 00 mov byte ptr , 0
004ED37E B2 01 mov dl, 1
004ED380 A1 C0AA4600 mov eax, dword ptr
004ED385 E8 36D8F7FF call 0046ABC0
004ED38A 8BD8 mov ebx, eax
004ED38C BA 01000080 mov edx, 80000001
004ED391 8BC3 mov eax, ebx
004ED393 E8 C8D8F7FF call 0046AC60
004ED398 B1 01 mov cl, 1
004ED39A BA E0D54E00 mov edx, 004ED5E0 ; Software\Trojankiller
004ED39F 8BC3 mov eax, ebx
004ED3A1 E8 1ED9F7FF call 0046ACC4
004ED3A6 8D4D F8 lea ecx, dword ptr
004ED3A9 BA 00D64E00 mov edx, 004ED600 ; RegUser
004ED3AE 8BC3 mov eax, ebx
004ED3B0 E8 27DCF7FF call 0046AFDC
004ED3B5 8B55 F8 mov edx, dword ptr //取用户名 Smoke
004ED3B8 B8 A8364F00 mov eax, 004F36A8
004ED3BD E8 A672F1FF call 00404668
004ED3C2 8D4D F4 lea ecx, dword ptr
004ED3C5 BA 10D64E00 mov edx, 004ED610 ; RegNo
004ED3CA 8BC3 mov eax, ebx
004ED3CC E8 0BDCF7FF call 0046AFDC
004ED3D1 8B45 F4 mov eax, dword ptr //取注册码 1234567890
004ED3D4 50 push eax
004ED3D5 8D45 E8 lea eax, dword ptr
004ED3D8 E8 3F88FFFF call 004E5C1C
004ED3DD 8B4D E8 mov ecx, dword ptr //取机器码 078BFBFFY34X92FE
004ED3E0 8D45 EC lea eax, dword ptr
004ED3E3 8B15 A8364F00 mov edx, dword ptr
004ED3E9 E8 2A75F1FF call 00404918
004ED3EE 8B45 EC mov eax, dword ptr //用户名和机器码 Smoke078BFBFFY34X92FE
004ED3F1 8D4D F0 lea ecx, dword ptr
004ED3F4 BA 20D64E00 mov edx, 004ED620 ; trojankillerChina
004ED3F9 E8 96CAFDFF call 004C9E94
004ED3FE 8B55 F0 mov edx, dword ptr // 出现注册码 13E3705B7864F8B190086CB1F8BE7C7BF31B8B7FA644133C
004ED401 58 pop eax
004ED402 E8 0976F1FF call 00404A10
用户名 Smoke
机器码 078BFBFFY34X92FE
注册码 13E3705B7864F8B190086CB1F8BE7C7BF31B8B7FA644133C
根据这组信息来重新运行软件进行注册试试
重启验证程序,注册完毕后重新运行软件
点击软件注册 显示 本软件已注册给:Smoke
那么也就是说我们跟踪出来的注册码是正确的!o(∩_∩)o
谢谢楼主分享 这算法CALL不是普通的长懒惰写下去了-.- 我就分析一个的算法结果
其余如果有兴趣就自己分析分析..嘿嘿
算法CALL 004C93E4
帐号+机器 转16后 每次取8位计算
然后从右到左 开始计算
表1: 2组 每组16个
表2: 2组 每组16个
(这里自己查表)
注册码第1位
(004F31B0(固定值)与第8位或(表1:结果01)=10进(5189889))*(2*2*2*2*2*2*2)=27988080
(0012FD00(固定值)与第8位或(表2:结果01)=10进(1244417))*(2*2*2*2*2*2)=04BF4040
80+40=C0
(04BF4040与第16位或(表1:结果00)=10进(79642624))*(2*2*2*2*2)=97E80000
C0+0=C0
(97E80000+第16位或(表2:结果00)=10进(-1746403328))*(2*2*2*2)=7E800000
C0+0=C0
(7E800000+第24位或(表1:结果01)=10进(2122317825))*(2*2*2)=F4000008
C0+8=C8
(7E800000+第24位或(表2:结果00)=10进(-201326592))*(2*2)=D0000000
C8+0=C8
(D0000000+第32位或(表1:结果00)=10进(-805306368))*2=A0000000
C8+0=C8
第一位为C8 以我的帐号与机的计算
本帖最后由 低调(d-iao) 于 2011-7-23 11:06 编辑
帐号+机器=crktianB FE9FBFFY 34X92FE
转16后=63726B7469616E42 4645394642464659 33345839324645
取8位右到左= B n a i t k r c
取8位右到左=426E6169746B7263
我的
表1:
1010101010101010
0000010111011101
表2:
0011000110010000
0101101000110111 回复 低调(d-iao) 的帖子
呵呵。。威武。 楼主啊,这个算法不大懂,什么是每次取八位计算啊!!! 回复 Smoke 的帖子
怎么回事呢 膜拜lz
膜拜低调哥·· 新手学习。膜拜一三楼下 你数学很好吧
页:
[1]