PhotoFiltre Studio X 10.8.0版 注册算法分析及VB版KG源码

jinbiao198

PhotoFiltre Studio X 10.8.0版 注册算法分析及VB版KG源码
官网：
http://www.photofiltre.com/

软件简介：
       “PhotoFiltre Studio is a complete image retouching program. It allows you to do simple or advanced adjustments to an image and apply a vast range of filters on it. It is simple and intuitive to use, and has an easy learning curve. The toolbar, giving you access to the standard filters with just a few clicks, gives PhotoFiltre Studio a robust look. PhotoFiltre Studio also has layer manager (with Alpha channel), advanced brushes, nozzles (or tubes), red eye corrector, batch module and lot of other powerful tools.”
                                                                                                                                                            ——摘自其官网介绍



        KO这个软件，是因为我在远景上看到有人说这软件很好用，于是好奇去官网down了下。安装完毕扔进OD，顺手看了下它的算法，很简单，断点嘛，有一点点小难，也只是一点点小难而已。
   
直入主题：
       输入完用户名和注册信息，注册框里的OK按钮仍然是灰色的。很显然，这又是个实时验证类型的软件。注册信息在输入的时候，程序已经在偷偷的搞小动作了。当输入完毕的时候，程序也就验证完了注册信息的合法性了。注册信息通不过合法校验，OK按钮是不会发出胜利的光芒的~~~
    （目前该软件可用的断点有好几种，不过有效率高下之分。因为其还在群里作为考题的原因，具体的断点找法我在视频里详细讲一下，这里就不做讨论了。大家要是有兴趣，可以自己试试，看看能找出几种来？）




好吧，我们直接来看算法验证是如何实现的：
005CB8FC  /.  55              PUSH EBP                           ;  局部调用来自 005CB9CC, 005CBA5D
005CB8FD  |.  8BEC            MOV EBP,ESP
005CB8FF  |.  33C9            XOR ECX,ECX
005CB901  |.  51              PUSH ECX
005CB902  |.  51              PUSH ECX
005CB903  |.  51              PUSH ECX
005CB904  |.  51              PUSH ECX
005CB905  |.  51              PUSH ECX
005CB906  |.  53              PUSH EBX
005CB907  |.  8BD8            MOV EBX,EAX
005CB909  |.  33C0            XOR EAX,EAX
005CB90B  |.  55              PUSH EBP
005CB90C  |.  68 C0B95C00     PUSH pfstudio.005CB9C0
005CB911  |.  64:FF30         PUSH DWORD PTR FS:[EAX]
005CB914  |.  64:8920         MOV DWORD PTR FS:[EAX],ESP
005CB917  |.  8D55 FC         LEA EDX,DWORD PTR SS:[EBP-4]
005CB91A  |.  8BC3            MOV EAX,EBX
005CB91C  |.  E8 27FEFFFF     CALL pfstudio.005CB748             ;  读取我们输入的用户名(ASCII "GGLHY")
005CB921  |.  8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
005CB924  |.  E8 973CFBFF     CALL pfstudio.0057F5C0             ;  对用户名长度的检测！
005CB929  |.  84C0            TEST AL,AL
005CB92B  |.  74 4A           JE SHORT pfstudio.005CB977         ;  一失足成千古恨~~谁让你乱跳的？
005CB92D  |.  8D55 F8         LEA EDX,DWORD PTR SS:[EBP-8]
005CB930  |.  8BC3            MOV EAX,EBX
005CB932  |.  E8 01FFFFFF     CALL pfstudio.005CB838               ;  算法核心之处就在这里面哦
005CB937  |.  8B45 F8         MOV EAX,DWORD PTR SS:[EBP-8]         ;  注册码运算的结果
005CB93A  |.  50              PUSH EAX
005CB93B  |.  8D55 F4         LEA EDX,DWORD PTR SS:[EBP-C]
005CB93E  |.  8BC3            MOV EAX,EBX
005CB940  |.  E8 03FEFFFF     CALL pfstudio.005CB748
005CB945  |.  8B45 F4         MOV EAX,DWORD PTR SS:[EBP-C]       ;  用户名(ASCII "GGLHY")
005CB948  |.  5A              POP EDX
005CB949  |.  E8 F63CFBFF     CALL pfstudio.0057F644             ； 进去吧，好好看看
005CB94E  |.  84C0            TEST AL,AL
005CB950  |.  75 29           JNZ SHORT pfstudio.005CB97B        ;  跳上黑木崖，勇闯光明顶！
（省略部分代码）
005CB965  |.  E8 32FEFFFF     CALL pfstudio.005CB79C
005CB96A  |.  8B45 EC         MOV EAX,DWORD PTR SS:[EBP-14]      ;  转小写的用户名！
005CB96D  |.  5A              POP EDX
005CB96E  |.  E8 D13CFBFF     CALL pfstudio.0057F644             ;  用户名转小写的验证
005CB973  |.  84C0            TEST AL,AL
005CB975  |.  75 04           JNZ SHORT pfstudio.005CB97B        ;  跳跳更健康，OK更闪亮~
005CB977  |>  33D2            XOR EDX,EDX                        ;  不跳就用强，上C4!
005CB979  |.  EB 02           JMP SHORT pfstudio.005CB97D
005CB97B  |>  B2 01           MOV DL,1                           ;  千年等“1”回！
005CB97D  |>  8B83 1C030000   MOV EAX,DWORD PTR DS:[EBX+31C]
005CB983  |.  8B08            MOV ECX,DWORD PTR DS:[EAX]
（省略部分代码）
005CB9A5  |>  33C0            XOR EAX,EAX
005CB9A7  |.  5A              POP EDX
005CB9A8  |.  59              POP ECX
005CB9A9  |.  59              POP ECX
005CB9AA  |.  64:8910         MOV DWORD PTR FS:[EAX],EDX
005CB9AD  |.  68 C7B95C00     PUSH pfstudio.005CB9C7
005CB9B2  |>  8D45 EC         LEA EAX,DWORD PTR SS:[EBP-14]
005CB9B5  |.  BA 05000000     MOV EDX,5
005CB9BA  |.  E8 4D90E3FF     CALL pfstudio.00404A0C
005CB9BF  \.  C3              RETN
005CB9C0   .^ E9 8389E3FF     JMP pfstudio.00404348
005CB9C5   .^ EB EB           JMP SHORT pfstudio.005CB9B2
005CB9C7   .  5B              POP EBX
005CB9C8   .  8BE5            MOV ESP,EBP
005CB9CA   .  5D              POP EBP
005CB9CB   .  C3              RETN
005CB9CC   .  E8 2BFFFFFF     CALL pfstudio.005CB8FC
005CB9D1   .  C3              RETN
复制代码



好吧，咱先简化下。上面这一大段，咱其实可以把它变成这样：
A.
005CB924  |.  E8 973CFBFF     CALL pfstudio.0057F5C0             ;  对用户名长度的检测！
005CB929  |.  84C0            TEST AL,AL
005CB92B  |.  74 4A           JE SHORT pfstudio.005CB977         ;  一失足成千古恨~~谁让你乱跳的？
（省略部分代码）
B.
005CB932  |.  E8 01FFFFFF     CALL pfstudio.005CB838               ;  算法核心之处就在这里面哦
005CB937  |.  8B45 F8         MOV EAX,DWORD PTR SS:[EBP-8]         ;  注册码运算的结果
（省略部分代码）
C.
005CB945  |.  8B45 F4         MOV EAX,DWORD PTR SS:[EBP-C]         ;  用户名(ASCII "GGLHY")
005CB948  |.  5A              POP EDX                              ;  数据窗口，看看庐山真面目吧
005CB949  |.  E8 F63CFBFF     CALL pfstudio.0057F644
005CB94E  |.  84C0            TEST AL,AL
005CB950  |.  75 29           JNZ SHORT pfstudio.005CB97B          ;  跳上黑木崖，勇闯光明顶！
（省略部分代码）
D.
005CB96E  |.  E8 D13CFBFF     CALL pfstudio.0057F644             ;  用户名转小写的验证
005CB973  |.  84C0            TEST AL,AL
005CB975  |.  75 04           JNZ SHORT pfstudio.005CB97B        ;  跳跳更健康，OK更闪亮~
005CB977  |>  33D2            XOR EDX,EDX                        ;  不跳就用强，上C4!
005CB979  |.  EB 02           JMP SHORT pfstudio.005CB97D
005CB97B  |>  B2 01           MOV DL,1                           ;  千年等“1”回！
复制代码


换言之，一个JE不能实现，且2个JNZ必须有一处实现。算法的核心更不能就轻易放过哈
    用户名转小写的注册验证流程与用户名未转小写的一样，为节约篇幅我就略去了。同时为保证大家对算法核心的理解，我会把它发在最后边。
    现在，我们分别来看看：

                                                                                       一、对用户名的检测
0057F5C0  /.  55              PUSH EBP
0057F5C1  |.  8BEC            MOV EBP,ESP
0057F5C3  |.  83C4 F8         ADD ESP,-8
（省略部分代码）
0057F5E2  |.  8B45 F8         MOV EAX,DWORD PTR SS:[EBP-8]       ;  输入的用户名(ASCII "GGLHY")
0057F5E5  |.  E8 BE56E8FF     CALL pfstudio.00404CA8
0057F5EA  |.  8945 FC         MOV DWORD PTR SS:[EBP-4],EAX       ;  得到用户名的长度！
0057F5ED  |.  8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
0057F5F0  |.  83C0 FB         ADD EAX,-5                         ;  长度值 -5
0057F5F3  |.  83E8 1C         SUB EAX,1C                         ;  再减32
0057F5F6  |.  0F92C3          SETB BL                            ;  我的爱对你说，真爱才是爱
0057F5F9  |.  84DB            TEST BL,BL
0057F5FB  |.  74 21           JE SHORT pfstudio.0057F61E         ;  跳来跳去不是好孩子哦~
0057F5FD  |.  8B7D FC         MOV EDI,DWORD PTR SS:[EBP-4]       ;  用户名的长度！
0057F600  |.  85FF            TEST EDI,EDI
0057F602  |.  7E 1A           JLE SHORT pfstudio.0057F61E
0057F604  |.  BE 01000000     MOV ESI,1
0057F609  |>  55              /PUSH EBP                          ; /Arg1
0057F60A  |.  8BC6            |MOV EAX,ESI                       ; |
0057F60C  |.  E8 7FFFFFFF     |CALL pfstudio.0057F590            ; \pfstudio.0057F590
0057F611  |.  59              |POP ECX
0057F612  |.  84C0            |TEST AL,AL
0057F614  |.  75 04           |JNZ SHORT pfstudio.0057F61A
0057F616  |.  33DB            |XOR EBX,EBX
0057F618  |.  EB 04           |JMP SHORT pfstudio.0057F61E
0057F61A  |>  46              |INC ESI
0057F61B  |.  4F              |DEC EDI
0057F61C  |.^ 75 EB           \JNZ SHORT pfstudio.0057F609
（省略部分代码）
0057F63B   .  8BC3            MOV EAX,EBX                         ；EBX，爱要怎么说出口？
0057F63D   .  5F              POP EDI
0057F63E   .  5E              POP ESI
0057F63F   .  5B              POP EBX
0057F640   .  59              POP ECX
0057F641   .  59              POP ECX
0057F642   .  5D              POP EBP
0057F643   .  C3              RETN
复制代码
     嗯，聪明的你一定马上就发现了程序对用户名的长度做了限制：不得小于5。
     是的，你真的很聪明~~
     但是，但是，但是.....我真的不想说这个“但是”，但是，我还是要说：但是，对用户名的限制真的就只有这么一条吗？
让我们在程序中输入用户名试试，看看会发生什么，随便按下键盘上的神马字母啊、数字啊、标点符号键不松，你会在不久的将来听见不断的“咚咚”声，而用户名框里却再也没有变化了。
     好吧，皇上，还记得大明湖畔的夏雨荷吗？oh，no，错了。是大家还记得0057F5F3处的 SUB EAX,1C 吗？
“1C”啊，你是电，你是光，你是唯一的神话~~~

小结：用户名长度大于4而小于33。



                                                             二、用户名与注册码前半部分的恩怨情仇

005CB949  |.  E8 F63CFBFF     CALL pfstudio.0057F644             ； 进去吧，好好看看
005CB94E  |.  84C0            TEST AL,AL
005CB950  |.  75 29           JNZ SHORT pfstudio.005CB97B        ;  跳上黑木崖，勇闯光明顶！
复制代码

F7进入：
0057F644  /.  55              PUSH EBP
0057F645  |.  8BEC            MOV EBP,ESP
0057F647  |.  33C9            XOR ECX,ECX
（省略部分代码）
0057F674  |.  8D55 F4         LEA EDX,DWORD PTR SS:[EBP-C]
0057F677  |.  8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]       ;  用户名(ASCII "GGLHY")
0057F67A  |.  E8 29FEFFFF     CALL pfstudio.0057F4A8             ;  用户名的运算得到的字符串。本例“36405”
0057F67F  |.  8B45 F4         MOV EAX,DWORD PTR SS:[EBP-C]
0057F682  |.  E8 2156E8FF     CALL pfstudio.00404CA8
（省略部分代码）
0057F6AD  |.  E8 5A9FE8FF     CALL pfstudio.0040960C               ;  ！！！
0057F6B2  |.  8BF0            MOV ESI,EAX
0057F6B4  |.  8B45 F8         MOV EAX,DWORD PTR SS:[EBP-8]
0057F6B7  |.  E8 EC55E8FF     CALL pfstudio.00404CA8
0057F6BC  |.  8D53 05         LEA EDX,DWORD PTR DS:[EBX+5]
0057F6BF  |.  3BC2            CMP EAX,EDX
0057F6C1  |.  75 30           JNZ SHORT pfstudio.0057F6F3
0057F6C3  |.  8D45 EC         LEA EAX,DWORD PTR SS:[EBP-14]
0057F6C6  |.  50              PUSH EAX
0057F6C7  |.  8BCB            MOV ECX,EBX
0057F6C9  |.  BA 01000000     MOV EDX,1
0057F6CE  |.  8B45 F8         MOV EAX,DWORD PTR SS:[EBP-8]
0057F6D1  |.  E8 3258E8FF     CALL pfstudio.00404F08
0057F6D6  |.  8B45 EC         MOV EAX,DWORD PTR SS:[EBP-14]      ;  注意这里，数据窗口的内容
0057F6D9  |.  8B55 F4         MOV EDX,DWORD PTR SS:[EBP-C]       ;  用户名的运算得到的字符串。本例“36405”
0057F6DC  |.  E8 1357E8FF     CALL pfstudio.00404DF4             ;  我不说，你能猜到它要干嘛了吗？
0057F6E1  |.  75 10           JNZ SHORT pfstudio.0057F6F3
0057F6E3  |.  81FE D2040000   CMP ESI,4D2                        ;  注意这常数
0057F6E9  |.  74 0C           JE SHORT pfstudio.0057F6F7
0057F6EB  |.  81FE D1040000   CMP ESI,4D1                        ;  还有这个常数
0057F6F1  |.  74 04           JE SHORT pfstudio.0057F6F7
0057F6F3  |>  33C0            XOR EAX,EAX                        ;  出卖我的爱，让0跑回来，最后知道**的我，眼泪掉下来
0057F6F5  |.  EB 02           JMP SHORT pfstudio.0057F6F9
0057F6F7  |>  B0 01           MOV AL,1                           ;  在爱与不爱间 来回千万遍！
0057F6F9  |> \8BD8            MOV EBX,EAX                        ;  是爱心传递使者还是冷血连环杀手？
（省略部分代码）
0057F71B   .^ EB EB           JMP SHORT pfstudio.0057F708
0057F71D   .  8BC3            MOV EAX,EBX                          ;  EBX，你亦真亦幻~~是正是邪？
0057F71F   .  5E              POP ESI
0057F720   .  5B              POP EBX
0057F721   .  8BE5            MOV ESP,EBP
0057F723   .  5D              POP EBP
0057F724   .  C3              RETN
复制代码

恩，我们先停下按F8的手，端起一杯清茶或香浓的咖啡，整理下思绪：
    用户名运算后，得到了一个5位数的字符串“36405”,路要一步一步走，饭要一口一口的吃。我们必须弄清楚这个5位数的字符串是何方神圣。我们先看下它的来历：
0057F674  |.  8D55 F4         LEA EDX,DWORD PTR SS:[EBP-C]
0057F677  |.  8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]         ;  用户名(ASCII "GGLHY")
0057F67A  |.  E8 29FEFFFF     CALL pfstudio.0057F4A8               ;  用户名的运算结果“36405”
0057F67F  |.  8B45 F4         MOV EAX,DWORD PTR SS:[EBP-C]         ;  用户名的运算得到的字符串。本例“36405”
复制代码

F7进入：
0057F4B7  |.  8945 FC         MOV DWORD PTR SS:[EBP-4],EAX
0057F4BA  |.  8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]         ;  用户名(ASCII "GGLHY")
0057F4BD  |.  E8 D659E8FF     CALL pfstudio.00404E98
0057F4C2  |.  33C0            XOR EAX,EAX
0057F4C4  |.  55              PUSH EBP
0057F4C5  |.  68 63F55700     PUSH pfstudio.0057F563
0057F4CA  |.  64:FF30         PUSH DWORD PTR FS:[EAX]
0057F4CD  |.  64:8920         MOV DWORD PTR FS:[EAX],ESP
0057F4D0  |.  33DB            XOR EBX,EBX
0057F4D2  |.  8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]
0057F4D5  |.  E8 CE57E8FF     CALL pfstudio.00404CA8
0057F4DA  |.  83F8 01         CMP EAX,1                            ;  用户名长度，本例=5
0057F4DD  |.  7C 11           JL SHORT pfstudio.0057F4F0
0057F4DF  |>  8B55 FC         /MOV EDX,DWORD PTR SS:[EBP-4]        ; 用户名(ASCII "GGLHY")
0057F4E2  |.  0FB65402 FF     |MOVZX EDX,BYTE PTR DS:[EDX+EAX-1]   ;  依次倒取用户名每一位ASC
0057F4E7  |.  03DA            |ADD EBX,EDX                         ;  累加（EBX初始=0）
0057F4E9  |.  2BD8            |SUB EBX,EAX                         ;  累加和 - 该字符在用户名中的位置值！
0057F4EB  |.  48              |DEC EAX
0057F4EC  |.  85C0            |TEST EAX,EAX
0057F4EE  |.^ 75 EF           \JNZ SHORT pfstudio.0057F4DF         ;  用户名运算完毕，结果保存到EBX
0057F4F0  |>  56              PUSH ESI                             ; /Arg1
0057F4F1  |.  8BC3            MOV EAX,EBX                          ; |用户名运算的结果，本例=16C
0057F4F3  |.  B9 E8030000     MOV ECX,3E8                          ; |
0057F4F8  |.  99              CDQ                                  ; |
0057F4F9  |.  F7F9            IDIV ECX                             ; |mod 3E8H(1000)
0057F4FB  |.  8955 F4         MOV DWORD PTR SS:[EBP-C],EDX         ; |
0057F4FE  |.  C645 F8 00      MOV BYTE PTR SS:[EBP-8],0            ; |
0057F502  |.  8D55 F4         LEA EDX,DWORD PTR SS:[EBP-C]         ; |
0057F505  |.  33C9            XOR ECX,ECX                          ; |
0057F507  |.  B8 78F55700     MOV EAX,pfstudio.0057F578            ; |ASCII "%.3d"
0057F50C  |.  E8 EFB1E8FF     CALL pfstudio.0040A700               ; \pfstudio.0040A700
0057F511  |.  8D45 F0         LEA EAX,DWORD PTR SS:[EBP-10]        ;  余数转化为3位数的字符形式，本例=“364”
0057F514  |.  50              PUSH EAX
0057F515  |.  8B45 FC         MOV EAX,DWORD PTR SS:[EBP-4]         ;  用户名(ASCII "GGLHY")
0057F518  |.  E8 8B57E8FF     CALL pfstudio.00404CA8               ;  取用户名长度，准备进行计算
0057F51D  |.  B9 64000000     MOV ECX,64                           ; |
0057F522  |.  99              CDQ                                  ; |
0057F523  |.  F7F9            IDIV ECX                             ; |mod 64H（100）
0057F525  |.  8955 F4         MOV DWORD PTR SS:[EBP-C],EDX         ; |
0057F528  |.  C645 F8 00      MOV BYTE PTR SS:[EBP-8],0            ; |
0057F52C  |.  8D55 F4         LEA EDX,DWORD PTR SS:[EBP-C]         ; |
0057F52F  |.  33C9            XOR ECX,ECX                          ; |
0057F531  |.  B8 88F55700     MOV EAX,pfstudio.0057F588            ; |ASCII "%.2d"
0057F536  |.  E8 C5B1E8FF     CALL pfstudio.0040A700               ; \pfstudio.0040A700
0057F53B  |.  8B55 F0         MOV EDX,DWORD PTR SS:[EBP-10]        ;  余数转为2位数的字符形式，本例=“05”
0057F53E  |.  8BC6            MOV EAX,ESI
0057F540  |.  E8 6B57E8FF     CALL pfstudio.00404CB0
0057F545  |.  33C0            XOR EAX,EAX
复制代码
      大致看下流程，我们就知道了，这个5位数分别是个3位数和一个2位数相连的结果。
详情如下：
3位数的来历:
       用户名每一位的ASC 减去 该位在用户名中的位置 的差值 累加起来,然后再MOD 3E8(1000)，余数转换成3位数的形式。
       比如用户名123，则是（31 -1） + （32-2） + （33 -3) = 90H
       90H =144
      144 mod 1000（3E8） =144 从而得到一个3位数的字符串“144”（不足3位则前面补0）
2位数的来历：
        很简单，用户名的长度 mod 100 ，余数转为2位数的字符串形式。（不足2位前面补0）

      OK，我们解开了字符串“36405”的身世之谜，接下来就是用户名运算得到字符串“36405”，与某个地址的值进行比较，不一样就挂了。所以嘛，那个地址里不是蒙面佐罗就是侠盗罗宾汉吗？我们得去找找他从哪里来。
    很显然，在我们看到所有注册码都联合起来后一路F8下来，我们是不是忽略了什么东西呢？
    好吧，回到罪案现场，咱去调查下：
（省略部分代码）
005CB8AA  |.  8B06            MOV EAX,DWORD PTR DS:[ESI]           ;  全世界无产者，联合起来！(ASCII "12345678901357924680")
005CB8AC  |.  E8 9B53EEFF     CALL pfstudio.004B0C4C
005CB8B1  |.  8B45 E8         MOV EAX,DWORD PTR SS:[EBP-18]
005CB8B4  |.  8D55 EC         LEA EDX,DWORD PTR SS:[EBP-14]
005CB8B7  |.  E8 E836FBFF     CALL pfstudio.0057EFA4               ; 打 倒日本帝国主义！还我们真xiang
005CB8BC  |.  8B55 EC         MOV EDX,DWORD PTR SS:[EBP-14]        ; “西经”已出现，悟空来取吧
005CB8BF  |.  8BC6            MOV EAX,ESI
005CB8C1  |.  E8 7691E3FF     CALL pfstudio.00404A3C
（省略部分代码）
复制代码
看看数据窗口：
00ED47A0  5F B2 18 1B D5 AF 2C DF  _?寨,
00ED47A8  C0 CE                    牢.
复制代码

整理下：
5F B2 18 1B D5 AF 2C DF C0 CE  
复制代码

    哈哈，一二三四五，快来数一数。正好20位！如果您的大脑在劳累之余还能想得起注册码的总长20位的话，我要恭喜你一下了。不过不是“You win”，而是“你已经很接近真xiang了”。
让我们把视线拉回到这里来：
0057F6D6  |.  8B45 EC         MOV EAX,DWORD PTR SS:[EBP-14]      ;  注意这里，数据窗口的内容
0057F6D9  |.  8B55 F4         MOV EDX,DWORD PTR SS:[EBP-C]       ;  用户名的运算得到的字符串。本例“36405”
0057F6DC  |.  E8 1357E8FF     CALL pfstudio.00404DF4             ;  我不说，你能猜到它要干嘛了吗？
0057F6E1  |.  75 10           JNZ SHORT pfstudio.0057F6F3
复制代码

    在程序运行到0057F6D6 处的时候，我们偷偷看下数据窗口，你看到了什么？啥~~~看透了爱情看透了你？哦，我听错了，你说看到的是这里：
5F B2 18 1B D5
复制代码

    哈哈，显然，用户名运算得到的字符串与“36405”与上面这5组（10）对应的5位字符相比较，如果不对就会“挥一挥衣袖，不带走一片西天的云彩”~~
    明白这一点就好办了，咱去看看这5组“数值”的来历（PS：不是李连杰演的新少林五祖啦，哈哈）。
    让我们紧跟全世界无产者的脚步，看看他们是如何利用批判的武器来解释“新少林五祖”的出身的？



                                                                           三.如梦亦如幻，应作如是观

    让我们拿起摄像机，和无产者们一起来见证这奇迹的时刻吧！（Sorry，阿狸先生，借用了你的“见证奇迹的时刻”这一词，你不要找我要版权哦）
005CB8B7  |.  E8 E836FBFF     CALL pfstudio.0057EFA4               ;  打 倒日本帝国主义！还我们真xiang
005CB8BC  |.  8B55 EC         MOV EDX,DWORD PTR SS:[EBP-14]        ; “西经”已出现，悟空来取吧
复制代码

F7进入：
jinbiao911，如果您要查看本帖隐藏内容请回复

让我们把目光紧紧盯着它：

0057EFF3  |.  8A82 C4FA6700   |MOV AL,BYTE PTR DS:[EDX+67FAC4]     ;  查表~~~
复制代码

右键跟随到数据窗口，看到如下内容：
0067FABD                       7B         {
0067FAC5  4D 86 4E 63 45 BC 90 5F  M哊cE紣_
0067FACD  8D 40                    岪.
复制代码

好，咱看看看看10次循环完毕后，表中分别取得是哪些内容：
4D 86 4E 63 45 BC 7B 4D 86 4E
复制代码

很明显不一样哈，显然
0057EFEB  |.  B9 07000000     |MOV ECX,7                           ;  注意参数7
0057EFF0  |.  99              |CDQ
0057EFF1  |.  F7F9            |IDIV ECX
0057EFF3  |.  8A82 C4FA6700   |MOV AL,BYTE PTR DS:[EDX+67FAC4]     ;  查表~~~
复制代码

这里是导致取值不同的原因~~~
恩，别告诉我你没看懂啊~~~~

很好，看明白这个循环，我们基本上可以说是离成功只有一步之遥了~~
注册码20位，每2位为一组作为数值，分别与查表的数值 XO人头马，我擦，错了，是XOR，得到的结果就保存在：
005CB8BC  |.  8B55 EC         MOV EDX,DWORD PTR SS:[EBP-14]        ; “西经”已出现，悟空来取吧
复制代码


大家可以去OD里实地考察一下，看看我们的神秘人的真面目。
00EC8284  5F B2 18 1B D5 AF 2C DF  _?寨,
00EC828C  C0 CE                    牢.
复制代码

眼熟吧，这不就是我们前面第二部分里看到的那一张张熟悉的面孔？

所以，用户名运算的结果生成的字符串“36405”，每一位的ASC码，必须是注册码前10位（5组）分别与表中前5组XOR的结果相等。
举例如下：
  （ 3   6   4   0   5 ）            <------  字符串
    33  36  34  30  35            <------  对应的ASC码
XOR
    4D  86  4E  63  45            <------  所查的表
---------------------------------
    7E  B0  7A  53  70            <------  结果
复制代码

       将结果连接起来，就是注册码的前10位了。
       大家去这里看看：
0057F6D6  |.  8B45 EC         MOV EAX,DWORD PTR SS:[EBP-14]      ;  与下面的一样了吗？哈哈
0057F6D9  |.  8B55 F4         MOV EDX,DWORD PTR SS:[EBP-C]       ;  用户名的运算得到的字符串。本例“36405”
复制代码

很好！

        你说啥？
        还有后面10位？
        问得好，这证明了你是个头脑很清醒的人，没有被眼前的胜利冲昏头脑，还记得有潜藏的特务~~~
        不过，我要告诉大家的是，这个软件，我们只要记住前10位注册码（少林5组）分别与表中的前5组来XOR就行了，因为，注册码的后10位，其实是可以有固定的。对，你没听错，也没看错，后10位真的可以是有固定的~~~（当然，前提是你和我一样想简单点的话）


                                                                                           四、不是尾声的尾声

不相信？好吧，尊驾请移步，看看这再也明白不过的内容吧：
0057F6E3  |.  81FE D2040000   CMP ESI,4D2                        ;  注意这常数
0057F6E9  |.  74 0C           JE SHORT pfstudio.0057F6F7
0057F6EB  |.  81FE D1040000   CMP ESI,4D1                        ;  还有这个常数
0057F6F1  |.  74 04           JE SHORT pfstudio.0057F6F7
0057F6F3  |>  33C0            XOR EAX,EAX                        ;  出卖我的爱，让0跑回来，最后知道真 相的我，眼泪掉下来
0057F6F5  |.  EB 02           JMP SHORT pfstudio.0057F6F9
0057F6F7  |>  B0 01           MOV AL,1                           ;  在爱与不爱间 来回千万遍！
复制代码


        我们现在将疑犯锁定在ESI上，如果ESI的值=4D1或4D2，那么他就是我党成功打入敌特内部的优秀特工“深海”，否则他就是潜伏在我党内的特务“佛龛”。。。Got it？
       我让们看看ESI的来历，在这里：
0057F6AD  |.  E8 5A9FE8FF     CALL pfstudio.0040960C               ;  ！！！
0057F6B2  |.  8BF0            MOV ESI,EAX
复制代码

       谁说不想进去？学大禹治水三过家门而不入？
       兄弟，我只能说“I服了U”。

F7进去后：
0040960C  /.  53              PUSH EBX
0040960D  |.  51              PUSH ECX
0040960E  |.  8BDA            MOV EBX,EDX
00409610  |.  8BD4            MOV EDX,ESP
00409612  |.  E8 559FFFFF     CALL pfstudio.0040356C               ;  再F7
00409617  |.  833C24 00       CMP DWORD PTR SS:[ESP],0
0040961B  |.  74 02           JE SHORT pfstudio.0040961F
0040961D  |.  8BC3            MOV EAX,EBX
0040961F  |>  5A              POP EDX
00409620  |.  5B              POP EBX
00409621  \.  C3              RETN
复制代码

再F7进入：
0040356C  /.  53              PUSH EBX
0040356D  |.  56              PUSH ESI
0040356E  |.  57              PUSH EDI
0040356F  |.  89C6            MOV ESI,EAX
00403571  |.  50              PUSH EAX
00403572  |.  85C0            TEST EAX,EAX
00403574  |.  74 6C           JE SHORT pfstudio.004035E2
00403576  |.  31C0            XOR EAX,EAX
00403578  |.  31DB            XOR EBX,EBX
0040357A  |.  BF CCCCCC0C     MOV EDI,0CCCCCCC
0040357F  |>  8A1E            /MOV BL,BYTE PTR DS:[ESI]              ; 注册码查表XOR后10位,每2位1组
00403581  |.  46              |INC ESI
00403582  |.  80FB 20         |CMP BL,20
00403585  |.^ 74 F8           \JE SHORT pfstudio.0040357F
00403587  |.  B5 00           MOV CH,0
00403589  |.  80FB 2D         CMP BL,2D                               ; 开始检测！下同
0040358C  |.  74 62           JE SHORT pfstudio.004035F0
0040358E  |.  80FB 2B         CMP BL,2B
00403591  |.  74 5F           JE SHORT pfstudio.004035F2
00403593  |>  80FB 24         CMP BL,24
00403596  |.  74 5F           JE SHORT pfstudio.004035F7
00403598  |.  80FB 78         CMP BL,78
0040359B  |.  74 5A           JE SHORT pfstudio.004035F7
0040359D  |.  80FB 58         CMP BL,58
004035A0  |.  74 55           JE SHORT pfstudio.004035F7
004035A2  |.  80FB 30         CMP BL,30
004035A5  |.  75 13           JNZ SHORT pfstudio.004035BA
004035A7  |.  8A1E            MOV BL,BYTE PTR DS:[ESI]
004035A9  |.  46              INC ESI
004035AA  |.  80FB 78         CMP BL,78
004035AD  |.  74 48           JE SHORT pfstudio.004035F7
004035AF  |.  80FB 58         CMP BL,58
004035B2  |.  74 43           JE SHORT pfstudio.004035F7
004035B4  |.  84DB            TEST BL,BL
004035B6  |.  74 20           JE SHORT pfstudio.004035D8
004035B8  |.  EB 04           JMP SHORT pfstudio.004035BE
004035BA  |>  84DB            TEST BL,BL
004035BC  |.  74 2D           JE SHORT pfstudio.004035EB
004035BE  |>  80EB 30         /SUB BL,30
004035C1  |.  80FB 09         |CMP BL,9
004035C4  |.  77 25           |JA SHORT pfstudio.004035EB                 ; 后5组只能是数字哦！
004035C6  |.  39F8            |CMP EAX,EDI
004035C8  |.  77 21           |JA SHORT pfstudio.004035EB
004035CA  |.  8D0480          |LEA EAX,DWORD PTR DS:[EAX+EAX*4]           ; 看懂了这循环的作用了吗
004035CD  |.  01C0            |ADD EAX,EAX
004035CF  |.  01D8            |ADD EAX,EBX
004035D1  |.  8A1E            |MOV BL,BYTE PTR DS:[ESI]
004035D3  |.  46              |INC ESI
004035D4  |.  84DB            |TEST BL,BL
004035D6  |.^ 75 E6           \JNZ SHORT pfstudio.004035BE
004035D8  |>  FECD            DEC CH
004035DA  |.  74 09           JE SHORT pfstudio.004035E5
004035DC  |.  85C0            TEST EAX,EAX
004035DE  |.  7D 54           JGE SHORT pfstudio.00403634
004035E0  |.  EB 09           JMP SHORT pfstudio.004035EB
004035E2  |>  46              INC ESI
004035E3  |.  EB 06           JMP SHORT pfstudio.004035EB
004035E5  |>  F7D8            NEG EAX
004035E7  |.  7E 4B           JLE SHORT pfstudio.00403634
004035E9  |.  78 49           JS SHORT pfstudio.00403634
004035EB  |>  5B              POP EBX                              ;  Default case of switch 0040360B
004035EC  |.  29DE            SUB ESI,EBX
004035EE  |.  EB 47           JMP SHORT pfstudio.00403637
004035F0  |>  FEC5            INC CH
004035F2  |>  8A1E            MOV BL,BYTE PTR DS:[ESI]
004035F4  |.  46              INC ESI
004035F5  |.^ EB 9C           JMP SHORT pfstudio.00403593
004035F7  |>  BF FFFFFF0F     MOV EDI,0FFFFFFF
004035FC  |.  8A1E            MOV BL,BYTE PTR DS:[ESI]
004035FE  |.  46              INC ESI
004035FF  |.  84DB            TEST BL,BL
00403601  |.^ 74 DF           JE SHORT pfstudio.004035E2
00403603  |>  80FB 61         /CMP BL,61
00403606  |.  72 03           |JB SHORT pfstudio.0040360B
00403608  |.  80EB 20         |SUB BL,20
0040360B  |>  80EB 30         |SUB BL,30                           ;  Switch (cases 30..46)
0040360E  |.  80FB 09         |CMP BL,9
00403611  |.  76 0B           |JBE SHORT pfstudio.0040361E
00403613  |.  80EB 11         |SUB BL,11
00403616  |.  80FB 05         |CMP BL,5
00403619  |.^ 77 D0           |JA SHORT pfstudio.004035EB
0040361B  |.  80C3 0A         |ADD BL,0A                           ;  Cases 41 ('A'),42 ('B'),43 ('C'),44 ('D'),45 ('E'),46 ('F') of switch 0040360B
0040361E  |>  39F8            |CMP EAX,EDI                         ;  Cases 30 ('0'),31 ('1'),32 ('2'),33 ('3'),34 ('4'),35 ('5'),36 ('6'),37 ('7'),38 ('8'),39 ('9') of switch 0040360B
00403620  |.^ 77 C9           |JA SHORT pfstudio.004035EB
00403622  |.  C1E0 04         |SHL EAX,4
00403625  |.  01D8            |ADD EAX,EBX
00403627  |.  8A1E            |MOV BL,BYTE PTR DS:[ESI]
00403629  |.  46              |INC ESI
0040362A  |.  84DB            |TEST BL,BL
0040362C  |.^ 75 D5           \JNZ SHORT pfstudio.00403603
0040362E  |.  FECD            DEC CH
00403630  |.  75 02           JNZ SHORT pfstudio.00403634
00403632  |.  F7D8            NEG EAX
00403634  |>  59              POP ECX
00403635  |.  31F6            XOR ESI,ESI
00403637  |>  8932            MOV DWORD PTR DS:[EDX],ESI
00403639  |.  5F              POP EDI
0040363A  |.  5E              POP ESI
0040363B  |.  5B              POP EBX
0040363C  \.  C3              RETN
复制代码

         Oh my God！这多分支，好吓人哈~~
         不过，大家稍微有点信心好不好。我前面说了，如果我们想简单的话，那我们看把注册码最后10位是固定的情形，这里面的大部分内容都是纸老虎~~
         其实真正有用的，有这里（情形一）：
004035BE  |>  80EB 30         /SUB BL,30
004035C1  |.  80FB 09         |CMP BL,9
004035C4  |.  77 25           |JA SHORT pfstudio.004035EB                 ; 后5组只能是数字哦！
004035C6  |.  39F8            |CMP EAX,EDI
004035C8  |.  77 21           |JA SHORT pfstudio.004035EB
004035CA  |.  8D0480          |LEA EAX,DWORD PTR DS:[EAX+EAX*4]           ; 看懂了这循环的作用了吗
004035CD  |.  01C0            |ADD EAX,EAX
004035CF  |.  01D8            |ADD EAX,EBX
004035D1  |.  8A1E            |MOV BL,BYTE PTR DS:[ESI]
004035D3  |.  46              |INC ESI
004035D4  |.  84DB            |TEST BL,BL
004035D6  |.^ 75 E6           \JNZ SHORT pfstudio.004035BE
复制代码

换句话说，我们就看最简单的情形，也就是这5组全是数字的话，则 条件一：
       输入的注册码后10位查表XOR的结果，（也是5组），每组作为ASC，只能不小于30且不大于39（换句话说，只能为数字）。
       不满足该条件，则ESI的值为FFFFFFFF。
                条件二：
       这5组,每组作为的ASC - 30 后 的数值作如下运算：

假设这5组分别是：

33 34 35 36 37
则  （33-30）* 10000
    （34-30）* 1000
    （35-30）* 100
    （36-30）* 10
    （37-30）* 1
复制代码

     然后把这5个积加起来，其实就是一个简单的5位数而已~~，这里就是34567。


复杂一点的情形二，就是注册码后10位查表XOR得到的5组结果中不仅有数字，还有字母。这就是下面那长长的循环中含有的N多分支的情形。在这里会将每组数值进行对应的运算，比如
00403608  |.  80EB 20         |SUB BL,20
0040360B  |>  80EB 30         |SUB BL,30                           ;  Switch (cases 30..46)
0040360E  |.  80FB 09         |CMP BL,9
00403611  |.  76 0B           |JBE SHORT pfstudio.0040361E
00403613  |.  80EB 11         |SUB BL,11
00403616  |.  80FB 05         |CMP BL,5
复制代码

这里的情况复杂了些，大家有兴趣可以自己跟踪一下。我嘛，呵呵，稍微偷下懒啊哈！



好吧，既然这里的主要内容都搞清楚了，那我们看看，ESI的值应该是多少？
请出这2个常数：4D1、4D2
4D1 =1233
4D2 =1234
           OK，这2个数怎么那么符合前面内容的要求呢？既是纯数字，又可看做各个乘积的累加和~~~
不会这么巧吧？

       让我们简单化点，就看看情形一这种纯数字的条件下，注册码最后10位是什么。

       你说啥？1233或1234才4位，注册码要5组，配不上？
我的大哥啊，从某种意义上来说，1234 是等价于 01234的啊！
好吧，我们假设ESI的值=4D2=1234  =》01234，那么注册码后10位（5组）可以看做：

( 0   1   2   3   4 )               <----- ESI的值对应的10进制字符形式
  30  31  32  33  34                 <----- 对应的ASC值
XOR
  BC  7B  4D  86  4E                 <---- 查表的后5组 ！（还记得有个参数7吗？）
-----------------------------
  8C  4A  7F  B5  7A
复制代码

那么，ESI要等于固定数值4D2(1234)，则注册码后10位必须为：8C4A7FB57A
同理，ESI要等于固定数值4D1(1233)，则注册码后10位必须为：8C4A7FB57D

   好了。我们重新组合下前10位和后10位，可理解成前10位链接后面的固定字符串要“8C4A7FB57A”（或“8C4A7FB57D”）
现在，我们在注册信息框中输入：
User：GGLHY
Reg key:7EB07A53708C4A7FB57D
看看,OK是不是已经 OK 了啊？{:4_307:}






怎么样，算法也是个战5渣吧


哎，写了好几个小时，累死了！破它比写破文简单多了~~~~
附上没优化、没美化又没说话的很烂的VB源码，有助于大家对该软件注册算法的理解：

jinbiao911，如果您要查看本帖隐藏内容请回复




这里是不太重要的内容，大家可以略过了~~~
下面是用户名与注册码前10位运算的结果不匹配的话，程序会将用户名转小写再次运算来验证。
因为流程一样，这里就不写了，列出用户名“乔装”的证据：


005CB7F0  |.  E8 F3D7E3FF     CALL pfstudio.00408FE8             ;  用户名大写转小写
005CB7F5  |.  33C0            XOR EAX,EAX
005CB7F7  |.  5A              POP EDX
复制代码

f7进入：
00408FEF  |.  8BC6            MOV EAX,ESI
00408FF1  |.  E8 B2BCFFFF     CALL pfstudio.00404CA8
00408FF6  |.  8BD8            MOV EBX,EAX                        ;  用户名长度
00408FF8  |.  8BC7            MOV EAX,EDI
00408FFA  |.  8BD3            MOV EDX,EBX
00408FFC  |.  E8 33C0FFFF     CALL pfstudio.00405034
00409001  |.  8BD6            MOV EDX,ESI                        ;  用户名(ASCII "GGLHY")
00409003  |.  8B37            MOV ESI,DWORD PTR DS:[EDI]
00409005  |.  85DB            TEST EBX,EBX
00409007  |.  74 15           JE SHORT pfstudio.0040901E
00409009  |>  8A02            /MOV AL,BYTE PTR DS:[EDX]          ;  用户名(ASCII "GGLHY")每一位
0040900B  |.  3C 41           |CMP AL,41
0040900D  |.  72 06           |JB SHORT pfstudio.00409015
0040900F  |.  3C 5A           |CMP AL,5A
00409011  |.  77 02           |JA SHORT pfstudio.00409015
00409013  |.  04 20           |ADD AL,20                             ; 证据在此，休得抵赖~~~~
00409015  |>  8806            |MOV BYTE PTR DS:[ESI],AL
00409017  |.  42              |INC EDX
00409018  |.  46              |INC ESI
00409019  |.  4B              |DEC EBX
0040901A  |.  85DB            |TEST EBX,EBX
0040901C  |.^ 75 EB           \JNZ SHORT pfstudio.00409009       ;  大写转小写~~~
0040901E  |>  5F              POP EDI
0040901F  |.  5E              POP ESI
00409020  |.  5B              POP EBX
00409021  \.  C3              RETN
复制代码

野生的沫沫

NanQiao

LZ乃文抄公是也：

http://bbs.chinapyg.com/thread-72337-1-1.html

pentium450

楼主你觉得脸红不？{:1_922:}