木马终截者简单注册码跟踪

Smoke · 发表于 2011-7-22 20:27

------------------------------------------------------------------------------
【文章标题】: 木马终截者简单注册码跟踪
【文章作者】: Smoke
【下载地址】: 自行搜索
【加壳方式】: ASPack 2.12
【使用工具】: OllyDbg PEID
【操作平台】: Windows XP SP3
【作者声明】: 失误之处敬请诸位大侠赐教!灰常新手级别的文章,由于小菜不懂算法,所以不能写出算法分析部分~见谅哈o(∩_∩)o
------------------------------------------------------------------------------
Peid侦测为 ASPack 2.12
载入 OllyDBG
00594001 >  60                pushad
00594002 E8 03000000       call 0059400A //esp定律即可
00594007  - E9 EB045D45       jmp    45B644F7
0059400C 55                push ebp
0059400D C3                retn
0059400E E8 01000000       call 00594014
00594013 EB 5D             jmp    short 00594072
004EDE04 55                push ebp //OEP
004EDE05 8BEC                mov    ebp, esp
004EDE07 83C4 F0             add    esp, -10
004EDE0A 53                push ebx
004EDE0B B8 6CD94E00       mov    eax, 004ED96C
004EDE10 E8 6F8CF1FF       call 00406A84
004EDE15 8B1D C0144F00       mov    ebx, dword ptr [4F14C0]       ; Trojanki.004F2C34
004EDE1B 8B03                mov    eax, dword ptr [ebx]
004EDE1D E8 C664F7FF       call 004642E8
搜索字符串看到 Software\Trojankiller 双击进入
004ED393 E8 C8D8F7FF       call 0046AC60
004ED398 B1 01             mov    cl, 1
004ED39A BA E0D54E00       mov    edx, 004ED5E0                   ; Software\Trojankiller
004ED39F 8BC3                mov    eax, ebx
004ED3A1 E8 1ED9F7FF       call 0046ACC4
来到段首 004ED36B 55                push ebp //F2下段
运行成功断在 004ED36B  , 接着就F8单步吧
004ED36B 55                push ebp
004ED36C 68 C8D54E00       push 004ED5C8
004ED371 64:FF30             push dword ptr fs:[eax]
004ED374 64:8920             mov    dword ptr fs:[eax], esp
004ED377 C605 A5364F00 00    mov    byte ptr [4F36A5], 0
004ED37E B2 01             mov    dl, 1
004ED380 A1 C0AA4600       mov    eax, dword ptr [46AAC0]
004ED385 E8 36D8F7FF       call 0046ABC0
004ED38A 8BD8                mov    ebx, eax
004ED38C BA 01000080       mov    edx, 80000001
004ED391 8BC3                mov    eax, ebx
004ED393 E8 C8D8F7FF       call 0046AC60
004ED398 B1 01             mov    cl, 1
004ED39A BA E0D54E00       mov    edx, 004ED5E0                   ; Software\Trojankiller
004ED39F 8BC3                mov    eax, ebx
004ED3A1 E8 1ED9F7FF       call 0046ACC4
004ED3A6 8D4D F8             lea    ecx, dword ptr [ebp-8]
004ED3A9 BA 00D64E00       mov    edx, 004ED600                   ; RegUser
004ED3AE 8BC3                mov    eax, ebx
004ED3B0 E8 27DCF7FF       call 0046AFDC
004ED3B5 8B55 F8             mov    edx, dword ptr [ebp-8]  //取用户名 Smoke
004ED3B8 B8 A8364F00       mov    eax, 004F36A8
004ED3BD E8 A672F1FF       call 00404668
004ED3C2 8D4D F4             lea    ecx, dword ptr [ebp-C]
004ED3C5 BA 10D64E00       mov    edx, 004ED610                   ; RegNo
004ED3CA 8BC3                mov    eax, ebx
004ED3CC E8 0BDCF7FF       call 0046AFDC
004ED3D1 8B45 F4             mov    eax, dword ptr [ebp-C]  //取注册码 1234567890
004ED3D4 50                push eax
004ED3D5 8D45 E8             lea    eax, dword ptr [ebp-18]
004ED3D8 E8 3F88FFFF       call 004E5C1C
004ED3DD 8B4D E8             mov    ecx, dword ptr [ebp-18]  //取机器码 078BFBFFY34X92FE
004ED3E0 8D45 EC             lea    eax, dword ptr [ebp-14]
004ED3E3 8B15 A8364F00       mov    edx, dword ptr [4F36A8]
004ED3E9 E8 2A75F1FF       call 00404918
004ED3EE 8B45 EC             mov    eax, dword ptr [ebp-14]  //用户名和机器码 Smoke078BFBFFY34X92FE
004ED3F1 8D4D F0             lea    ecx, dword ptr [ebp-10]
004ED3F4 BA 20D64E00       mov    edx, 004ED620                   ; trojankillerChina
004ED3F9 E8 96CAFDFF       call 004C9E94
004ED3FE 8B55 F0             mov    edx, dword ptr [ebp-10] // 出现注册码 13E3705B7864F8B190086CB1F8BE7C7BF31B8B7FA644133C
004ED401 58                pop    eax
004ED402 E8 0976F1FF       call 00404A10

用户名 Smoke
机器码 078BFBFFY34X92FE
注册码 13E3705B7864F8B190086CB1F8BE7C7BF31B8B7FA644133C
根据这组信息来重新运行软件进行注册试试
重启验证程序,注册完毕后重新运行软件
点击软件注册显示本软件已注册给:Smoke
那么也就是说我们跟踪出来的注册码是正确的!o(∩_∩)o

老万 · 发表于 2011-7-22 20:34

谢谢楼主分享

低调(d-iao) · 发表于 2011-7-23 10:50

这算法CALL不是普通的长懒惰写下去了-.- 我就分析一个的算法结果
其余如果有兴趣就自己分析分析..嘿嘿

算法CALL 004C93E4

帐号+机器转16后每次取8位计算
然后从右到左开始计算

表1: 2组每组16个
表2: 2组每组16个
(这里自己查表)

注册码第1位
(004F31B0(固定值)与第8位或(表1:结果01)=10进(5189889))*(2*2*2*2*2*2*2)=27988080
(0012FD00(固定值)与第8位或(表2:结果01)=10进(1244417))*(2*2*2*2*2*2)=04BF4040
80+40=C0
(04BF4040与第16位或(表1:结果00)=10进(79642624))*(2*2*2*2*2)=97E80000
C0+0=C0
(97E80000+第16位或(表2:结果00)=10进(-1746403328))*(2*2*2*2)=7E800000
C0+0=C0
(7E800000+第24位或(表1:结果01)=10进(2122317825))*(2*2*2)=F4000008
C0+8=C8
(7E800000+第24位或(表2:结果00)=10进(-201326592))*(2*2)=D0000000
C8+0=C8
(D0000000+第32位或(表1:结果00)=10进(-805306368))*2=A0000000
C8+0=C8

第一位为C8 以我的帐号与机的计算

低调(d-iao) · 发表于 2011-7-23 10:58

本帖最后由低调(d-iao) 于 2011-7-23 11:06 编辑

帐号+机器=crktianB FE9FBFFY 34X92FE
转16后=63726B7469616E42 4645394642464659 33345839324645
取8位右到左= B n a i t k r c
取8位右到左=426E6169746B7263

我的
表1:
1010101010101010
0000010111011101

表2:
0011000110010000
0101101000110111

chesion001 · 发表于 2011-7-23 19:38

回复低调(d-iao) 的帖子

呵呵。。威武。

yao · 发表于 2011-7-23 19:42

楼主啊，这个算法不大懂，什么是每次取八位计算啊！！！

angel201002 · 发表于 2011-9-8 12:01

回复 Smoke 的帖子

怎么回事呢

注册账户好难 · 发表于 2011-9-8 16:37

膜拜lz
膜拜低调哥··

2007jing · 发表于 2011-9-8 21:57

新手学习。膜拜一三楼下

xylguagua · 发表于 2011-9-8 23:02

你数学很好吧

帐号		自动登录	找回密码
密码			注册[Register]

[原创] 木马终截者简单注册码跟踪

免费评分

点评