【逆向入门】160CM-001-注册算法分析(嚼碎了教给你)

(编辑:jimmy 日期: 2024/10/30 浏览:2)


题目来源:
【反汇编练习】160个CrackME索引目录1~160建议收藏备用
https://www.52pojie.cn/thread-709699-1-1.html
(出处: 吾爱破解论坛)
一,工具准备:
动态调试工具:x64dbg(x86)
查壳工具:DIE(EXEINFO)
环境:Windows10(1909)裸机
二,Serial/name:
将文件拖入dbg运行,有两个题目(serial/name 和 serial)
本次分析第一个题目的算法(第二个无,仅仅是爆破)
2-1首先进行serial/name
输入假码
【逆向入门】160CM-001-注册算法分析(嚼碎了教给你)
搜索字符串,下断点,断下。
这段代码是判断name有没有大于等于4位数字,有则跳过报错。本文不多分析。
0042F9C8 | E8 8BB0FEFF              | call acid burn.41AA58                   | 获取位数0042F9CD | 8B45 F0                  | mov eax,dword ptr ss:[ebp-10]           |0042F9D0 | E8 DB40FDFF              | call acid burn.403AB0                   |0042F9D5 | A3 6C174300              | mov dword ptr ds:[43176C],eax           |0042F9DA | 8D55 F0                  | lea edx,dword ptr ss:[ebp-10]           |0042F9DD | 8B83 DC010000            | mov eax,dword ptr ds:[ebx+1DC]          |0042F9E3 | E8 70B0FEFF              | call acid burn.41AA58                   | 从这里开始取前四位数字0042F9E8 | 8B45 F0                  | mov eax,dword ptr ss:[ebp-10]           |0042F9EB | 0FB600                   | movzx eax,byte ptr ds:[eax]             |0042F9EE | 8BF0                     | mov esi,eax                             |0042F9F0 | C1E6 03                  | shl esi,3                               |0042F9F3 | 2BF0                     | sub esi,eax                             |0042F9F5 | 8D55 EC                  | lea edx,dword ptr ss:[ebp-14]           |0042F9F8 | 8B83 DC010000            | mov eax,dword ptr ds:[ebx+1DC]          |0042F9FE | E8 55B0FEFF              | call acid burn.41AA58                   |0042FA03 | 8B45 EC                  | mov eax,dword ptr ss:[ebp-14]           |0042FA06 | 0FB640 01                | movzx eax,byte ptr ds:[eax+1]           |0042FA0A | C1E0 04                  | shl eax,4                               |0042FA0D | 03F0                     | add esi,eax                             |0042FA0F | 8935 54174300            | mov dword ptr ds:[431754],esi           |0042FA15 | 8D55 F0                  | lea edx,dword ptr ss:[ebp-10]           |0042FA18 | 8B83 DC010000            | mov eax,dword ptr ds:[ebx+1DC]          |0042FA1E | E8 35B0FEFF              | call acid burn.41AA58                   |0042FA23 | 8B45 F0                  | mov eax,dword ptr ss:[ebp-10]           |0042FA26 | 0FB640 03                | movzx eax,byte ptr ds:[eax+3]           |0042FA2A | 6BF0 0B                  | imul esi,eax,B                          |0042FA2D | 8D55 EC                  | lea edx,dword ptr ss:[ebp-14]           |0042FA30 | 8B83 DC010000            | mov eax,dword ptr ds:[ebx+1DC]          |0042FA36 | E8 1DB0FEFF              | call acid burn.41AA58                   |0042FA3B | 8B45 EC                  | mov eax,dword ptr ss:[ebp-14]           |0042FA3E | 0FB640 02                | movzx eax,byte ptr ds:[eax+2]           |0042FA42 | 6BC0 0E                  | imul eax,eax,E                          |0042FA45 | 03F0                     | add esi,eax                             |0042FA47 | 8935 58174300            | mov dword ptr ds:[431758],esi           |0042FA4D | A1 6C174300              | mov eax,dword ptr ds:[43176C]           |0042FA52 | E8 D96EFDFF              | call acid burn.406930                   |0042FA57 | 83F8 04                  | cmp eax,4                               | 判断name是否为4位数字0042FA5A | 7D 1D                    | jge acid burn.42FA79                    |0042FA5C | 6A 00                    | push 0                                  |0042FA5E | B9 74FB4200              | mov ecx,acid burn.42FB74                | 42FB74:"Try Again!"0042FA63 | BA 80FB4200              | mov edx,acid burn.42FB80                | 42FB80:"Sorry , The serial is incorect !"0042FA68 | A1 480A4300              | mov eax,dword ptr ds:[430A48]           |0042FA6D | 8B00                     | mov eax,dword ptr ds:[eax]              |

咱们往下看。如图,这是判断完name长度后跳转到的地方
这里就开始计算我们的注册码了
2-2 取首位数字
【逆向入门】160CM-001-注册算法分析(嚼碎了教给你)
我们先看第一个方框圈起来的部分:movzx eax,byte ptr ds:[eax]
movzx 是一个数据传送指令,功能例子:movzx a,b  将b的值传送给a,可以看作高级编程语言中的 a=b。
eax,是寄存器之一,用来暂存一些数据、地址、指令。在动态调试工具的右上角可以查看某寄存器当前的值
byte ptr ds:[eax],byte 单字节,ptr(pointner的缩写,可以暂且不管)ds是寄存器  [eax] 是eax寄存器中的值
那么movzx eax,byte ptr ds:[eax]就是取eax寄存器当前所存的值的第一个字节(提问:为什么是第一个字节捏),存入eax中。
在第二个方框我们可以看到,第一个字节为“1”,即假name 1234中的首位数字。
我们输入的name是以ascii码的形式读入的,转换为十六进制为31(方框2中的31即为ANSI格式的1转换为十六进制后的数字).十进制为49
2-3 计算注册码
【逆向入门】160CM-001-注册算法分析(嚼碎了教给你)
看到方框一,imul dword ptr ds:[431750]
imul 是算数指令,做乘法。功能例子:imul eax,a 将eax中的值和a相乘,并把结果存入eax
其中,eax为第一操作数,a为第二操作数。值得注意的是,第一操作数必须为寄存器。
当只有一个操作数时,另一个乘数一般为eax中的值。
看到方框二,此时dword ptr ds:[431750]对应的值为0x29(十六进制),十进制为41
当前eax中的值为0x31,即十进制的49
故imul dword ptr ds:[431750],即为 0x31 * 0x29 ,即49x41 = 2009。
【逆向入门】160CM-001-注册算法分析(嚼碎了教给你)
看方框一,经过两个mov 的操作,现在eax和dword ptr ds:[431750]的值已经相等,即十六进制的7D9(十进制的2009)
看到add dword ptr ds:[431750],eax
add,算术指令,加法。功能示例:add eax,a 将a和eax中的值相加,并且结果存入eax
其中eax为第一操作数,a为第二操作数。第一操作数要么指向内存,要么指向寄存器。
故,add dword ptr ds:[431750],eax 即 7D9 + 7D9 =2009+2009 = 4018
并将结果存入内存地址为431750的地方,留着备用
2-4 第一题结语
注册码的计算过程全部分析完毕。后续则是固定格式(CW-XXX-CRACKED)的组装,不做分析。
本次假name(1234)对应的注册码(CW-4018-CRACKED)
Keygen代码(C++)如下:
int main() {        char str;        printf("输入name的首位:");        scanf_s("%c",&str);        int reg = str * 41 * 2;        printf("你滴注册码:CW-%d-CRACKED", reg);        return 0; }