|
 |
推荐文章 |
|
|
|
|
|
|
|
|
|
|
时间到了 v1.5 简单注册算法分析 + 注册机源代码(tc2) |
|
时间到了 v1.5 简单注册算法分析 + 注册机源代码(tc2)
破解目标:时间到了 1.5
官方主页:无
软件简介:本软件可以安排X分钟后“显示一段信息”、“执行某个文件”、“锁定屏幕”、“关闭Windows”、“循环锁屏”其中一个且只有一个任务。但在非Win9x操作系统下取消了有关锁屏的功能(即是说在非Win9x系统下不能使用上述的全部功能).“循环锁屏(隔时锁屏)”只向注册用户开放,除此没有限制。注:在Windows 2000/xp/NT可以使用,但封印了部分功能。
下载地址:http://count.skycn.com/softdown.php?id=11656&url=http://on165-down.skycn.net/down/sjdl.rar
使用工具:FI 2.50、CASPr 1.10、W32Dasm、Ollydbg 1.09b 汉化版
作者:炎之川[BCG]
时间:2003.4.12
主页:http://skipli.yeah.net/
声明: 此文仅用于学习及交流,若要转载请保持文章完整。
这个软件是昨天在 fixdown 的国产软件破解更新里面看到的,只有一个注册码,所以就随便下载了一个,开始时发现其中用了一些浮点指令,本来有些怕,不过把注册流程跟了一遍才发现那是哄人的……
用 Fileinfo 2.50 征测,得知软件是用 ASPack 1.082 加的壳,真是很古老的版本啊~用 CASPr 轻松脱掉壳。
使用 W32Dasm 分析,可以找到注册成功、失败等提示信息,稍作分析后用 OD 装入程序,在 48CCF8 处下断点,然后 Ctrl+F2 重新载入程序,F9 运行,输入注册名及假注册码并点击“验证”:
Name: lovefire
Serial: 787878
注意注册名必须为8位,这是软件提示你的。
浮点指令的解释参考自看雪大哥的 Crack Tutorial 2001
0048CCF8 /. 55 PUSH EBP //断在这里
0048CCF9 |. 8BEC MOV EBP,ESP
0048CCFB |. 33C9 XOR ECX,ECX
0048CCFD |. 51 PUSH ECX
0048CCFE |. 51 PUSH ECX
0048CCFF |. 51 PUSH ECX
0048CD00 |. 51 PUSH ECX
0048CD01 |. 51 PUSH ECX
0048CD02 |. 51 PUSH ECX
0048CD03 |. 51 PUSH ECX
0048CD04 |. 51 PUSH ECX
0048CD05 |. 53 PUSH EBX
0048CD06 |. 56 PUSH ESI
0048CD07 |. 57 PUSH EDI
0048CD08 |. 8BF0 MOV ESI,EAX
0048CD0A |. 33C0 XOR EAX,EAX
0048CD0C |. 55 PUSH EBP
0048CD0D |. 68 58CE4800 PUSH un.0048CE58
0048CD12 |. 64:FF30 PUSH DWORD PTR FS:[EAX]
0048CD15 |. 64:8920 MOV DWORD PTR FS:[EAX],ESP
0048CD18 |. 8D55 F4 LEA EDX,DWORD PTR SS:[EBP-C]
0048CD1B |. 8B86 00040000 MOV EAX,DWORD PTR DS:[ESI+400]
0048CD21 |. E8 B205FAFF CALL un.0042D2D8
0048CD26 |. 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] //用户名送eaxDWOR
0048CD29 |. E8 0670F7FF CALL un.00403D34 //这个call取得用户名的长度
0048CD2E |. 83F8 08 CMP EAX,8 //比较输入的用户名是否等于8?
0048CD31 |. 74 21 JE SHORT un.0048CD54 //等于则跳转到下面的注册码计算部分
0048CD33 |. 6A 40 PUSH 40
0048CD35 |. 68 68CE4800 PUSH un.0048CE68
0048CD3A |. 68 70CE4800 PUSH un.0048CE70
0048CD3F |. A1 E4384900 MOV EAX,DWORD PTR DS:[4938E4]
0048CD44 |. E8 C366FAFF CALL un.0043340C
0048CD49 |. 50 PUSH EAX ; |hOwner
0048CD4A |. E8 159DF7FF CALL <JMP.&user32.MessageBoxA> ; \MessageBoxA //不等于8,则弹出提示“注册标识符长度不足!”
0048CD4F |. E9 D9000000 JMP un.0048CE2D
0048CD54 |> 8D55 F0 LEA EDX,DWORD PTR SS:[EBP-10]
0048CD57 |. 8B86 00040000 MOV EAX,DWORD PTR DS:[ESI+400]
0048CD5D |. E8 7605FAFF CALL un.0042D2D8 //再次取用户名
0048CD62 |. 8B45 F0 MOV EAX,DWORD PTR SS:[EBP-10] //用户名送eax
0048CD65 |. E8 CA6FF7FF CALL un.00403D34 //用户名长度
0048CD6A |. 8BD8 MOV EBX,EAX //长度送ebx
0048CD6C |. 85DB TEST EBX,EBX //比较ebx是否为0
0048CD6E |. 7C 32 JL SHORT un.0048CDA2 //小于则跳过循环,直接失败(这里验证注册名是否有输入?)
0048CD70 |. 43 INC EBX //ebx是用户名长度,ebx+1=9 作计数器
0048CD71 |. 33FF XOR EDI,EDI //edi清零
0048CD73 |> 8D55 EC /LEA EDX,DWORD PTR SS:[EBP-14]
0048CD76 |. 8B86 00040000 |MOV EAX,DWORD PTR DS:[ESI+400]
0048CD7C |. E8 5705FAFF |CALL un.0042D2D8 //再次取用户名
0048CD81 |. 8B45 EC |MOV EAX,DWORD PTR SS:[EBP-14 //用户名送eax
0048CD84 |. 0FB64438 FF |MOVZX EAX,BYTE PTR DS:[EAX+EDI-1] //逐位取用户名
//由于上面将ebx计数器+1,所以第一次循环时[EAX+EDI-1]的值为0,什么也取不到
0048CD89 |. 69C0 43020000 |IMUL EAX,EAX,243 /eax=eax*243,注意第一次循环时eax=0,第二次循环开始,eax为注册名的ASCII值
0048CD8F |. 05 89000000 |ADD EAX,89 //eax=eax+89
0048CD94 |. 8945 E8 |MOV DWORD PTR SS:[EBP-18],EAX //得出的eax值放入堆栈SS
0048CD97 |. DB45 E8 |FILD DWORD PTR SS:[EBP-18] //浮点指令!装入整数到st(0)
0048CD9A |. DD5D F8 |FSTP QWORD PTR SS:[EBP-8] //dest <- st(0),即将目的操作数(dest)放入 [EBP-8]
0048CD9D |. 9B |WAIT
0048CD9E |. 47 |INC EDI //edi+1
0048CD9F |. 4B |DEC EBX //ebx-1
0048CDA0 |.^75 D1 \JNZ SHORT un.0048CD73 //没有取完就跳回去继续
第一次循环,取得的eax值为0,所以 eax=eax*243+89=0*243+89=89,st(0)=137.00000000000000000
第二次循环,取得的eax值为6C(即“l”),所以 eax=eax*243+89=6C*243+89=F4CD,st(0)=62669.000000000000000
…………
第九次循环,取得的eax值为65(即“e”),所以 eax=eax*243+89=65*243+89=E4F8,st(0)=58616.00000000000000000
结果这个循环的真实作用就是:
(注册名最后一个字符ASCII值)*243+89
所以只有最后一次的计算有效,前面的计算均无实际用途。
0048CDA2 |> 8D55 E4 LEA EDX,DWORD PTR SS:[EBP-1C]
0048CDA5 |. 8B86 04040000 MOV EAX,DWORD PTR DS:[ESI+404]
0048CDAB |. E8 2805FAFF CALL un.0042D2D8 //取假码
0048CDB0 |. 8B45 E4 MOV EAX,DWORD PTR SS:[EBP-1C] //假码放入eax
0048CDB3 |. 50 PUSH EAX //假码入栈
0048CDB4 |. DD45 F8 FLD QWORD PTR SS:[EBP-8] //又一个浮点指令,作用是装入实数到st(0),此时 [EBP-8] 中放的数据就是上面最后一次循环得出的值
0048CDB7 |. 83C4 F4 ADD ESP,-0C
0048CDBA |. DB3C24 FSTP TBYTE PTR SS:[ESP] ; | dest <- st(0),即将目的操作数(dest)放入 [ESP]
0048CDBD |. 9B WAIT ; |
0048CDBE |. 8D45 E0 LEA EAX,DWORD PTR SS:[EBP-20] ; |
0048CDC1 |. E8 AEBEF7FF CALL un.00408C74 ; \ //得出实数部分,即真实注册码,放在[EBP-20]中
0048CDC6 |. 8B55 E0 MOV EDX,DWORD PTR SS:[EBP-20] //真码送edx
0048CDC9 |. 58 POP EAX //假码出栈
0048CDCA |. E8 7570F7FF CALL un.00403E44 //比较真假注册码
0048CDCF |. 75 40 JNZ SHORT un.0048CE11 //不同则注册失败
0048CDD1 |. 6A 40 PUSH 40
0048CDD3 |. 68 88CE4800 PUSH un.0048CE88
0048CDD8 |. 68 94CE4800 PUSH un.0048CE94
0048CDDD |. A1 E4384900 MOV EAX,DWORD PTR DS:[4938E4]
0048CDE2 |. E8 2566FAFF CALL un.0043340C
0048CDE7 |. 50 PUSH EAX ; |hOwner
0048CDE8 |. E8 779CF7FF CALL <JMP.&user32.MessageBoxA> ; \MessageBoxA //这里弹出注册失败的MessageBox
归根到底,虽然软件用了一些浮点指令,但根本没有用到小数部分的计算,全部都是实数部分的计算。
算法总结:
(注册名的最后一个字符的ASCII值)*243+89,结果转换为10进制就是注册码。
注册信息保存在系统目录下的 vsde.dll 文件中,这其实是一个ini文件,注册后内容如下:
[set]
vnt=1
left=320
top=171
finished=1
reg=1 //注册后增加此行
至此,时间到了 v1.5 注册算法分完成,由于是国产软件,所以不提供可用的注册码。
----------------------------------------------------------
注册机源代码(TC 2.0)
以下是注册机源代码,TC 中似乎不能进行浮点计算,但软件的算法部分的浮点指令并不是计算指令,只是数据传递和对常量的操作指令,且只用到了实数部分,并没有用小数,所以姑且按普通的整型写一下注册机,想来应该不会有什么大问题吧^_^
另外由于水平非常有限,写的代码可能比较一般……^_^
/* KeyGen by 炎之川[BCG],2003.4.12 */
/* KeyGen by 炎之川[BCG],2003.4.12,修正于 2003.4.13 */
/* 感谢 wscn 兄的指点 */
#include <stdio.h>
#include <string.h>
main()
{
char name[80];
int name_len,i;
unsigned long int sn1;
unsigned long int sn2=0;
clrscr();
printf(" _/_/_/ _/_/_/ _/_/_/\n _/ _/ _/ _/\n _/_/_/ _/ _/ _/_/\n _/ _/ _/ _/ _/\n_/_/_/ _/_/_/ _/_/_/\n\n -= shijiandaole 1.5 KeyGen by lovefire[BCG] =-\n\n\nPlease enter your name: ");
gets(name);
name_len=strlen(name);
if (name_len>7 && name_len<9)
{
for (i=0;i<name_len;i++)
{
sn2=name[i]*0x243+0x89;
}
printf("\nok, try this serial: %u\n",sn2);
printf("\n\nNOTE: serial only for test!");
printf("\nIf you like it, buy it to support the soft's author!");
}
else
{
printf("\nReg Name MUST have 8 char. ;)\n");
}
printf("\n\nhave fun^^\nwelcome to http://skipli.yeah.net/");
getch();
}
----------------------------------------------------------
炎之川
属于中国破解组织BCG(Beginner's Cracking Group)
_/_/_/ _/_/_/ _/_/_/
_/ _/ _/ _/
_/_/_/ _/ _/ _/_/
_/ _/ _/ _/ _/
_/_/_/ _/_/_/ _/_/_/ |
|
|
|
|
|
特别声明: 本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。 |
|
|
|
|
|
责任编辑: 原点 |
投稿作者: 本站收集 |
|
|
信息来源: 网络 |
录入时间: 2005-6-1 |
|
|
|
| |
|
设为首页
加入收藏
总编信箱
投稿或申请专栏请先 [登 陆]