吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8886|回复: 12
收起左侧

[原创] zaas crackme算法分析+注册机

  [复制链接]
missviola 发表于 2009-10-20 20:27
本帖最后由 missviola 于 2009-10-20 20:29 编辑

【破文标题】zaas crackme算法分析+注册机
【破文作者】missviola[LCG]
破解工具】PEID OD SmartCheck
【破解平台】Windows XP
【原版下载】http://bbs.pediy.com/showthread.php?t=99360
【破解声明】只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
------------------------------------------------------------------------
【破解过程】某日,小菜我正在看雪上闲逛,发现zaas大侠发了一个初级的crackme。小菜我下载下来分析学习了一下,偶有心得,

不敢独享,发出来和大家共同分享一下。
首先我们用PEID查壳,显示为Microsoft Visual Basic 5.0 / 6.0。VB编写的东西,如果我等小菜直接用OD载入分析的话,可能为因

为代码的可读性不是特别好,而给cm搞得晕头转向的。所以我选择先用smartcheck总体看下cm的流程,然后再用OD载入去具体分析算

法细节。
我们用smartcheck载入cm,F5运行程序,输入注册名:viola,注册码:12345678,点击“试试手气”。选择下面的Events选项卡,

我们就可以看到cm的事件了,点击旁边的加号就可以进去具体分析了。我们选择最后一个Text2_Change进行分析。由于smartcheck不

能像OD那样那么方便的贴代码,还请大家多多见谅。

Asc(String:"v") returns Integer:118

Arguments
--------------------
String  string = 0015DBA4
      = "v"

首先获取注册名的第一位ASCII码值

Double (86) --> String ("86")
Double 86
String "86"

这里ASCII码对应的字符是“V”,也就是说将注册名第一位转换成为了大写字母。后面几位也是相同的。我们接着往下看。

Integer (65) --> Long (65)
Integer 65
Long 65


Chr(Integer:65)

Arguments
--------------------
Integer  charcode = 65 0x0041

Integer (0) --> Long (0)
Integer 0
Long 0

65对应的字符为A,往下看,我们可以看到cm好像在这里写入了26英文的大写字母。那么这个有什么用呢?我们现在还不知道。带着

疑问,我们接着看。

Len(String:"78563412") returns LONG:8

Arguments
--------------------
String  string1 = 0015DE8C
      = "78563412"

这里我们非常明显的看到,cm将我们输入的注册码颠倒了过来。(这里要注意一下,如果你的注册码中有小写字母的话,cm会把它转

换为大写字母的。由于我这里输入的是纯数字的注册码,所以看不出来,大家可以自行分析一下的。小菜我这里就小小偷下懒了 -_

-|||||)

Val(String:"&h78") returns double:120 (displayed as single-precision floating point)

Arguments
--------------------
String  string1 = 0015DDD4
      = "&h78"

Val(String:"&h56") returns double:86 (displayed as single-precision floating point)

Arguments
--------------------
String  string1 = 0015DDD4
      = "&h56"

Val(String:"&h34") returns double:52 (displayed as single-precision floating point)

Arguments
--------------------
String  string1 = 0015DDD4
      = "&h34"

Val(String:"&h12") returns double:18 (displayed as single-precision floating point)

Arguments
--------------------
String  string1 = 0015DDD4
      = "&h12"

这里cm将我们的注册码取两个为一组,并且转换为了十六进制的形式。

Double (18) --> Integer (18)
Double 18
Integer 18

Double (95) --> Integer (95)
Double 95
Integer 95

Asc(String:"K") returns Integer:75

Arguments
--------------------
String  string = 0015DE44
      = "K"

String ("86") --> Double (86)
String "86"
Double 86

这里的18为12的十进制,95的十六进制为5F,这里返回的ASCII码值为75,对应为“K”,86就是我们注册名第一位v的大写形式的

ASCII码值。到了这里cm就跳出了失败信息。所以我们可以猜测,如果返回的ASCII值如果也为86的话,那么就会比较下一位了,以此

类推,如果每位都相等的话,就证明我们注册成功了。但是这只是我们的猜测而已,到这里我们已经大致了解了cm的流程。下面我们

就用OD载入分析,来解开我们的疑问吧。
OD载入以后,我们选择在403310处下断点,由于这个cm会监测Text_Change,所以有时候我们还没输完注册码,cm就断下来了。为了

避免这个,我们可以直接把注册码粘贴进去,就不会有这个问题了。这里我就不贴出我们smartcheck看出来的对应部分代码了,大家

可以自行分析一下。我这里直接给出能回答我们疑问的代码:

00404262   . 66:8B143A      MOV DX,WORD PTR DS:[EDX+EDI]    这里第一次运算时为0x5B,第二次运算时为0x5C,最后一次为

0x5F。也就是说这里异或的数字第一次为0x5F减去注册名长度加上1,之后每次加上1。
00404266   . 66:33140B      XOR DX,WORD PTR DS:[EBX+ECX]    注册码的最后二位组成的十六进制同0x5B异或
0040426A   . 66:891408      MOV WORD PTR DS:[EAX+ECX],DX
0040426E   . 8B45 C8        MOV EAX,DWORD PTR SS:[EBP-38]
00404271   . 85C0           TEST EAX,EAX
00404273   . 74 2E          JE SHORT CrackMe.004042A3
00404275   . 66:8338 01     CMP WORD PTR DS:[EAX],1
00404279   . 75 28          JNZ SHORT CrackMe.004042A3
0040427B   . 8D45 A8        LEA EAX,DWORD PTR SS:[EBP-58]
0040427E   . 50             PUSH EAX
0040427F   . FF15 E0104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaI4Var>;  MSVBVM60.__vbaI4Var
00404285   . 8BF0           MOV ESI,EAX
00404287   . 8B45 C8        MOV EAX,DWORD PTR SS:[EBP-38]
0040428A   . 8B1D 68104000  MOV EBX,DWORD PTR DS:[<&MSVBVM60.__vbaGe>;  MSVBVM60.__vbaGenerateBoundsError
00404290   . 8B50 14        MOV EDX,DWORD PTR DS:[EAX+14]
00404293   . 8B48 10        MOV ECX,DWORD PTR DS:[EAX+10]
00404296   . 2BF2           SUB ESI,EDX
00404298   . 3BF1           CMP ESI,ECX
0040429A   . 72 02          JB SHORT CrackMe.0040429E
0040429C   . FFD3           CALL EBX                                 ;  <&MSVBVM60.__vbaGenerateBoundsError>
0040429E   > 8D0436         LEA EAX,DWORD PTR DS:[ESI+ESI]
004042A1   . EB 0C          JMP SHORT CrackMe.004042AF
004042A3   > FF15 68104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaGener>;  MSVBVM60.__vbaGenerateBoundsError
004042A9   . 8B1D 68104000  MOV EBX,DWORD PTR DS:[<&MSVBVM60.__vbaGe>;  MSVBVM60.__vbaGenerateBoundsError
004042AF   > 8B4D C8        MOV ECX,DWORD PTR SS:[EBP-38]
004042B2   . 8B51 0C        MOV EDX,DWORD PTR DS:[ECX+C]
004042B5   . 66:B9 1A00     MOV CX,1A
004042B9   . 66:8B0402      MOV AX,WORD PTR DS:[EDX+EAX]             ;  异或结果送AX
004042BD   . 66:99          CWD                                      ;  清零
004042BF   . 66:F7F9        IDIV CX                                  ;  异或结果idiv 0x1A
004042C2   . 0FBFFA         MOVSX EDI,DX                             ;  余数送EDI
004042C5   . 83FF 1A        CMP EDI,1A                               ;  余数同0x1A比较
004042C8   . 72 02          JB SHORT CrackMe.004042CC                ;  小于就跳走
004042CA   . FFD3           CALL EBX
004042CC   > 8B45 D0        MOV EAX,DWORD PTR SS:[EBP-30]
004042CF   . 85C0           TEST EAX,EAX
004042D1   . 74 2C          JE SHORT CrackMe.004042FF
004042D3   . 66:8338 01     CMP WORD PTR DS:[EAX],1
004042D7   . 75 26          JNZ SHORT CrackMe.004042FF
004042D9   . 8D55 A8        LEA EDX,DWORD PTR SS:[EBP-58]
004042DC   . 52             PUSH EDX
004042DD   . FF15 E0104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaI4Var>;  MSVBVM60.__vbaI4Var
004042E3   . 8BF0           MOV ESI,EAX
004042E5   . 8B45 D0        MOV EAX,DWORD PTR SS:[EBP-30]
004042E8   . 8B50 14        MOV EDX,DWORD PTR DS:[EAX+14]
004042EB   . 8B48 10        MOV ECX,DWORD PTR DS:[EAX+10]
004042EE   . 2BF2           SUB ESI,EDX
004042F0   . 3BF1           CMP ESI,ECX
004042F2   . 72 02          JB SHORT CrackMe.004042F6
004042F4   . FFD3           CALL EBX
004042F6   > 8D04B5 0000000>LEA EAX,DWORD PTR DS:[ESI*4]
004042FD   . EB 02          JMP SHORT CrackMe.00404301
004042FF   > FFD3           CALL EBX
00404301   > 8B4D 8C        MOV ECX,DWORD PTR SS:[EBP-74]               这里的ECX的地址我们d过去看一下
00404304   . 8B14B9         MOV EDX,DWORD PTR DS:[ECX+EDI*4]         ;  EDX中的值为ECX加上余数乘以4以后的地址
00404307   . 8B4D D0        MOV ECX,DWORD PTR SS:[EBP-30]
0040430A   . 8B49 0C        MOV ECX,DWORD PTR DS:[ECX+C]
0040430D   . 03C8           ADD ECX,EAX
0040430F   . FF15 C8104000  CALL DWORD PTR DS:[<&MSVBVM60.__vbaStrCo>;  MSVBVM60.__vbaStrCopy

我们这里看一下404301处地址那边的内容:

0015D3F0  64 D5 15 00 8C 83 15 00 4C D5 15 00 7C D5 15 00  d?.寖.L?.|?.
0015D400  94 D5 15 00 AC D5 15 00 C4 D5 15 00 DC D5 15 00  斦..恼.苷.
0015D410  F4 D5 15 00 0C D6 15 00 24 D6 15 00 3C D6 15 00  粽..?.$?.<?.
0015D420  54 D6 15 00 6C D6 15 00 84 D6 15 00 9C D6 15 00  T?.l?.勚.溨.
0015D430  B4 D6 15 00 CC D6 15 00 E4 D6 15 00 FC D6 15 00  粗.讨.渲..
0015D440  14 D7 15 00 2C D7 15 00 44 D7 15 00 5C D7 15 00  ?.,?.D?.\?.
0015D450  74 D7 15 00 8C D7 15 00                          t?.屪..

我们来看看这里的这些地址对应的内容是什么,我们d 15D564看下,发现为大写字母A,15838C为字母B,依次类推。原来这里的地址

对应的是26个大写字母。还记得刚才我们在smartcheck中的第一个疑问吗?也就是说cm通过刚才的那个余数,来取出对应地址的大写

字母。如果这里取出的大写字母同你注册名对应位置的字母相同时,就证明你注册通过了。

00404304   . 8B14B9         MOV EDX,DWORD PTR DS:[ECX+EDI*4] 根据这一句我们可以知道余数应该就是字母在26个大写英文字

母中的位置,比如A为0,B为1,依次类推。比如我这里的注册名viola,那么对应的大写字母形式就是VIOLA,这几个字母在26个字母

中的位置分别为21,8,14,11,0。那么我这里余数也应该为21,8,14,11,0。为了方便运算,我们可以假设商为0。由于异或运

算是可逆的,所以我们可以推算出对应位置的注册码应该为4e 54 53 55 5f,由于这里的异或运算是将注册码倒过来取的,所以我们

还得把它颠倒一次,最终的注册码为5f5553544e。


------------------------------------------------------------------------
【破解总结】最后我们再来总结一下这个cm的算法:
1.首先将注册名各位转换为大写字母。
2.将注册码颠倒过来,两位为一组,转换成为十六进制形式。
3.各组注册码同中间数进行异或运算,异或的结果再idiv 0x1A,取其余数。中间数第一次为0x5F减去注册码长度加上1,随后每次运

算都加上1。
4.用余数作为下标,来确定对应下标在26个大写字母中对应的字母。比如0为A,1为B,以此类推。
5.如果对应各位余数的返回的字符同注册名中的各位都相同的话,则认为注册成功。

最后给出我用python写的注册机,在windows xp+python 2.5下编译通过:

regname = raw_input('please input your regname:')
regstring = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ'
sn = ''

regname = regname[::-1]

for i in range(0, len(regname)):
    temp = regstring.index(regname
.upper())
    temp = hex(temp ^ (95-i))
    temp = temp.split("0x")[1]
    sn = sn + temp

print "Your registrion key is:%s" % sn
print "Press Enter key to exit"
raw_input()
------------------------------------------------------------------------
【版权声明】本文原创于52pojie技术论坛, 转载请注明作者并保持文章的完整, 谢谢!


QQ截图未命名.jpg

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Hmily 发表于 2009-10-20 20:38
missviola最近算法分析量产很高啊,分析很好,加精鼓励!
creantan 发表于 2009-10-20 20:51
我本善良 发表于 2009-10-20 21:48
Hmily 发表于 2009-10-20 23:59
支持下~~[s:53]学习算法~~!
creantan 发表于 2009-10-20 20:51


creantan兄弟最近怎么也没有发文章让大家来学习啦,都冬眠啦~
creantan 发表于 2009-10-21 09:50
creantan兄弟最近怎么也没有发文章让大家来学习啦,都冬眠啦~
Hmily 发表于 2009-10-20 23:59


有时间就写。。呵呵。。。[s:40]
dj007 发表于 2009-10-21 14:30
支持算法注册机...
flygo 发表于 2009-10-22 10:42
看不懂 还得学
clarke.y 发表于 2009-11-6 00:25
学习学习!!支持楼主!!
jay2u 发表于 2010-1-1 15:40
牛逼啊  [s:43]高手教我啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-22 22:30

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表