一款国产软件注册算法分析 + KeyGen代码

125243102

作者：romangol

呵呵，见笑了，高手鹿过就好了，新手看

这是一款国产软件，8块钱注册费，随便怎么用都花掉了，还不如支持一下别人的辛苦工作。crack只是为了说明一下明码比较的危险性和写写注册机的分析

拿出OD来，先载入分析，ooops，软件被加密了，拿出PEiD来分析，Aspack2.12，懒了，不想手脱，就用工具解决了

然后再PEiD，Delphi编的，OD载入，查找参考文本字符串，看到“注册成功”，哈哈哈哈，不好意思，来到这个字符串的函数里面004D5168 /. 55         PUSH EBP           // 函数开始

先看看代码。运行几次试试看，说句实话，OD最方便的就是它的直观了，在这个地址上004D51FF |. 0F85 13010000 JNZ 备忘录.004D5318可以很明显的看到，如果不跳转就注册成功了（OD还给你画了箭头的），于是乎，这个地方就可以作为爆破点

倒着往上看，在004D51F7 |. 8B55 FC     MOV EDX,DWORD PTR SS:[EBP-4]下个断点，运行到这里，明码比较就出来了

最后，看注册码算法。
004D5197 |> 8D45 F8     /LEA EAX,DWORD PTR SS:[EBP-8]     // 在这里开始一个循环，估计多半是注册码计算的地方了
004D519A |. 50         |PUSH EAX
004D519B |. 8D55 F4     |LEA EDX,DWORD PTR SS:[EBP-C]
004D519E |. 8B86 08030000 |MOV EAX,DWORD PTR DS:[ESI+308]
004D51A4 |. E8 9F79F7FF   |CALL 备忘录.0044CB48
004D51A9 |. 8B45 F4     |MOV EAX,DWORD PTR SS:[EBP-C]
004D51AC |. E8 A73DF3FF   |CALL 备忘录.00408F58
004D51B1 |. BA 64534D00   |MOV EDX,备忘录.004D5364             ; JYSBKADMBF
004D51B6 |. 0FB6541A FF   |MOVZX EDX,BYTE PTR DS:[EDX+EBX-1]
004D51BB |. 03C2       |ADD EAX,EDX
004D51BD |. B9 3E000000   |MOV ECX,3E
004D51C2 |. 99         |CDQ
004D51C3 |. F7F9       |IDIV ECX
004D51C5 |. 42         |INC EDX
004D51C6 |. B9 01000000   |MOV ECX,1
004D51CB |. B8 78534D00   |MOV EAX,备忘录.004D5378             ; 0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ
004D51D0 |. E8 D7F5F2FF   |CALL 备忘录.004047AC
004D51D5 |. 8B55 F8     |MOV EDX,DWORD PTR SS:[EBP-8]
004D51D8 |. 8D45 FC     |LEA EAX,DWORD PTR SS:[EBP-4]
004D51DB |. E8 74F3F2FF   |CALL 备忘录.00404554
004D51E0 |. 43         |INC EBX
004D51E1 |. 83FB 0B     |CMP EBX,0B
004D51E4 |.^ 75 B1       \JNZ SHORT 备忘录.004D5197


这里忍不住要做一些猜测，看见
004D51B1 |. BA 64534D00   |MOV EDX,备忘录.004D5364             ; JYSBKADMBF
就觉得应该是一个密钥或者用来做运算的字符串
看见
004D51CB |. B8 78534D00   |MOV EAX,备忘录.004D5378             ; 0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ
就觉得应该是一张表

运行一下检测我们的猜想，每次运行到如下语句
004D51B6 |. 0FB6541A FF   |MOVZX EDX,BYTE PTR DS:[EDX+EBX-1]
就可以看到依次取的是JYSBKADMBF的每一位字符，用来做如下运算：
004D51BB |. 03C2       |ADD EAX,EDX
004D51BD |. B9 3E000000   |MOV ECX,3E
004D51C2 |. 99         |CDQ
004D51C3 |. F7F9       |IDIV ECX
004D51C5 |. 42         |INC EDX
运行结束之后，注意到EDX的值（即EAX与ECX求余的值）和那张表的关系了么，反正我是撞大运一样的去数了一下，发现果然是用EDX的值来定位选取表中的字符每次得到的字符，就放在[EBP-8]上面，为什么？下面的代码
004D51D5 |. 8B55 F8     |MOV EDX,DWORD PTR SS:[EBP-8]
004D51D8 |. 8D45 FC     |LEA EAX,DWORD PTR SS:[EBP-4]
004D51DB |. E8 74F3F2FF   |CALL 备忘录.00404554
[EBP-8]和[EBP-4]地址明显是两个参数指向的地方，勤奋一点，去那里看看函数运行前后的变化，很容易就发现，每次将[EBP-8]上的字符移到[EBP-4]的上面，而[EBP-4]根据前面找到注册码的地方，可以知道是存放最终注册码的，所以[EBP-8]就是注册码算法每次生成的一位字符的存放地址了

那么我们就可以写出注册算法了hiahia，慢……刚刚的算法里面，每次取的是JYSBKADMBF的一位字符放入EDX，然后和EAX相加，除以ECX求余（恒等于0x3E），可是，EAX的值是什么呢？

运行的时候观察发现EAX是一个16进制数（为什么不是地址或者其他……这个也解释不清，调试多了，就可以看得出地址和数值的差别），用windows计算器转换一下，什么，好眼熟。嘿嘿，原来是机器码吖。OK，所有问题解决，开始写注册机。

/*
    Code by RomanGoliard 9:06 2007-3-9
    KeyGen of Memo 1.0
*/

#include <iostream>

int main()
{
    long machine_code;
    char regcode[20];

    char table[] = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ";
    char key[] = "JYSBKADMBF";
   
    std::cin >> machine_code;
   
    for ( size_t i = 0; i < 10; ++i )
          regcode = table[(machine_code + key) % 0x3e];
   
    std::cout << regcode;
    return 0;
}

结束，希望对初学的人有所帮助。当然，最重要的是，你需要自己去调试。

这款软件在 http://www.wyfei.com可以下载，具体是哪个软件，就不说明了，保护一下作者的权益（虽然网上已经流传了内存注册机）