MP3 WAV OGG WMA AC3 to CD Burner算法分析+简单逆向汇编

playboysen

【破文标题】MP3 WAV OGG WMA AC3 to CD Burner算法分析+简单逆向汇编
【破文作者】Playbo ysen
【作者邮箱】playb [email protected]
【作者主页】playbo ysen2.photo.163.com
【破解工具】PEiD,OD
【破解平台】Windows XP
【软件名称】MP3 WAV OGG WMA AC3 to CD Burner V.1.2.33: (09/09/2008)
【软件大小】2.38 MB
【软件类别】国外软件/光碟工具
【软件授权】共享版
【软件语言】英文
【更新时间】2008-09-09
【原版下载】http://www.divxtodvd.net/
【保护方式】注册码
【软件简介】烧录CD光盘,支持 MP3 WAV WMA OGG AC3 音频格式,支持650M(74min),700M(80min),730M(83min)光盘,支持所有CDRs,支持大部分IDE,USB,IEEE1384,SCSI CD 设备,内置高速烧录 CD 光盘引擎!
【破解声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：）
初学破解与编程，只是感兴趣，没有其它目的。失误之处敬请诸位大侠赐教！
--------------------------------------------------------------
【破解内容】
--------------------------------------------------------------

    前几天闲来无事，找了两本汇编语言程序设计来玩玩，主要目的当然并非学习汇编程序设计，只是平时分析算法和程序逆向如果不懂汇编举步维艰，算是大四每天自习或者茶余饭后的消遣，今天来分析一个软件，然后用汇编语言搞个注册机，算是这十来天的书没有白看,同时也给大家开阔一下视野,提供算法分析或者dll文件注册方式破解的另外一种思路吧~~

    打开软件试运行,知道软件是注册名加注册码的保护方式，有错误提示，未加壳，编写语言VC++。OK,Come on...
    OD载入，查找关键字符找到以下关键代码：

1. 00406456   .  53            push    ebx
   
2. 00406457   .  56            push    esi
   
3. 00406458   .  6A 01         push    1
   
4. 0040645A   .  8BD9          mov     ebx, ecx                        
   
5. 0040645C   .  E8 71AF0000   call    <jmp.&MFC42.#6334>
   
6. 00406461   .  8B43 64       mov     eax, dword ptr [ebx+64]          ;  注册名放入EAX
   
7. 00406464   .  8D5424 08     lea     edx, dword ptr [esp+8]
   
8. 00406468   .  2BD0          sub     edx, eax
   
9. 0040646A   >  8A08          mov     cl, byte ptr [eax]
   
10. 0040646C   .  880C02        mov     byte ptr [edx+eax], cl
    
11. 0040646F   .  40            inc     eax
    
12. 00406470   .  84C9          test    cl, cl
    
13. 00406472   .^ 75 F6         jnz     short 0040646A
    
14. 00406474   .  8B43 60       mov     eax, dword ptr [ebx+60]
    
15. 00406477   .  8D5424 48     lea     edx, dword ptr [esp+48]
    
16. 0040647B   .  2BD0          sub     edx, eax
    
17. 0040647D   >  8A08          mov     cl, byte ptr [eax]
    
18. 0040647F   .  880C02        mov     byte ptr [edx+eax], cl
    
19. 00406482   .  40            inc     eax
    
20. 00406483   .  84C9          test    cl, cl
    
21. 00406485   .^ 75 F6         jnz     short 0040647D
    
22. 00406487   .  68 5C814100   push    0041815C                         ; /既然这一段代码是核心算法部分,此处加载ether.dll,不得不让人生疑......
    
23. 0040648C   .  FF15 18314100 call    dword ptr [<&KERNEL32.LoadLibrar>; \LoadLibraryA
    
24. 00406492   .  8BF0          mov     esi, eax
    
25. 00406494   .  68 E0904100   push    004190E0                         ; /reg_code
    
26. 00406499   .  56            push    esi                              ; |hModule
    
27. 0040649A   .  FF15 14314100 call    dword ptr [<&KERNEL32.GetProcAdd>; \GetProcAddress
    
28. 004064A0   .  8D8C24 880000>lea     ecx, dword ptr [esp+88]          ;  这个地址是用来存放等会计算好的注册码的
    
29. 004064A7   .  8D5424 08     lea     edx, dword ptr [esp+8]           ;  用户名地址放入
    
30. 004064AB   .  51            push    ecx                              ;  ECX,EDX就是ether.dll中的ether.reg_code函数的两个参数
    
31. 004064AC   .  52            push    edx
    
32. 004064AD   .  FFD0          call    eax                              ;  ether.reg_code函数----求注册码的核心哦
    
33. 004064AF   .  83C4 08       add     esp, 8
    
34. 004064B2   .  56            push    esi                              ; /hLibModule
    
35. 004064B3   .  FF15 10314100 call    dword ptr [<&KERNEL32.FreeLibrar>; \FreeLibrary 释放DLL文件
    
36. 004064B9   .  8D8424 880000>lea     eax, dword ptr [esp+88]          ;  这里出现了真正的注册码
    
37. 004064C0   .  8D4C24 48     lea     ecx, dword ptr [esp+48]
    
38. 004064C4   .  50            push    eax
    
39. 004064C5   .  51            push    ecx
    
40. 004064C6   .  E8 45DCFFFF   call    00404110                         ;  此Call并非关键,这里是真假注册码的比较
    
41. 004064CB   .  83C4 08       add     esp, 8
    
42. 004064CE   .  85C0          test    eax, eax
    
43. 004064D0   .  0F85 DF000000 jnz     004065B5                         ;  关键跳转
    
44. 004064D6   >  8A4C04 08     mov     cl, byte ptr [esp+eax+8]
    
45. 004064DA   .  8888 F09A4100 mov     byte ptr [eax+419AF0], cl
    
46. 004064E0   .  40            inc     eax
    
47. 004064E1   .  84C9          test    cl, cl
    
48. 004064E3   .^ 75 F1         jnz     short 004064D6
    
49. 004064E5   .  33C0          xor     eax, eax
    
50. 004064E7   >  8A4C04 48     mov     cl, byte ptr [esp+eax+48]
    
51. 004064EB   .  8888 F0994100 mov     byte ptr [eax+4199F0], cl

复制代码

经过以上的分析，很明显ether.dll中的ether.reg_code导出函数就是此dll文件提供给软件注册的一个接口，其中需要两个参数：一个是输入的用户名；一个是用来储存计算好的注册码的变量（或地址）
    既然如此，我们就不看软件具体的算法（从004064AD进入ether.dll可以看到，懒婆娘的裹脚布——又臭又长的一堆算法），来直接写注册机
    首先，我们应该预设等会要用到的一些常量和变量，这些可以写到.const、.data或者.data?段；
    其次，我们需要实现Dll文件的加载。在程序初始化的时候我们使用LoadLibrary函数，如果加载成功再用GetProcAddress函数来得到ether.reg_code的地址，如果加载失败则提示错误！
    最后，就可以根据我们刚才反汇编时得出的ether.reg_code导出函数的参数入栈方式来直接做注册机!当然，求出注册码不可以得意忘形哦，最后不要忘了FreeLibrary来释放掉刚才加载DLL文件。
关键源码如下：（此注册机使用了CCDebugger大虾的汇编模板，在此做出说明并感谢）

1. KeyGen.inc头文件源码:
   
2. include windows.inc
   
3. include kernel32.inc
   
4. include user32.inc
   
5. include Comctl32.inc
   
6. include shell32.inc
   
7. 
   
8. includelib kernel32.lib
   
9. includelib user32.lib
   
10. includelib Comctl32.lib
    
11. includelib shell32.lib
    
12. 
    
13. DlgProc      PROTO  :HWND,:UINT,:WPARAM,:LPARAM
    
14. 
    
15. .const
    
16. 
    
17. MAIN_DIALOG      equ 101
    
18. DLG_ABOUT      equ 102
    
19. IDC_NAME      equ 1001
    
20. IDC_SN        equ 1002
    
21. IDC_GEN        equ 1005
    
22. IDC_EXIT      equ 1006
    
23. IDC_ABOUT      equ 1007
    
24. IDC_OK        equ 1008
    
25. ICON_MAIN      equ 10
    
26. 
    
27. szError        db 'ether.dll文件未找到或者加载失败，注册机无法正常使用！',0
    
28. szDll          db 'ether.dll',0
    
29. szRegcode      db 'reg_code',0
    
30. .data
    
31. 
    
32. szFormat      db '%08lX',0  ;跟踪进ether.dll可得知注册码的输出形式
    
33. error         db 'Please input your name!',0
    
34. 
    
35. .data?
    
36. 
    
37. hDllInstance      dd ?
    
38. lpRegcode         dd ?
    
39. hInstance         dd ?
    
40. username          dd ?
    
41. serial            dd ?

复制代码

Keygen.Asm文件源码如下:

1. .386
   
2. .model flat, stdcall  ;32 bit memory model
   
3. option casemap :none  ;case sensitive
   
4. 
   
5. include Keygen.inc
   
6. 
   
7. .code
   
8. 
   
9. start:
   
10. 
    
11.   invoke GetModuleHandle,NULL
    
12.   mov  hInstance,eax
    
13. 
    
14.   invoke InitCommonControls
    
15.   invoke DialogBoxParam,hInstance,MAIN_DIALOG,NULL,addr DlgProc,NULL
    
16.   invoke ExitProcess,0
    
17. 
    
18. ;########################################################################
    
19. AboutProc proc hAWin:HWND,uMsg:UINT,wParam:WPARAM,lParam:LPARAM
    
20.   
    
21.   mov  eax,uMsg
    
22.   .if eax == WM_INITDIALOG
    
23.     invoke LoadIcon,hInstance,ICON_MAIN
    
24.     invoke SendMessage, hAWin, WM_SETICON, ICON_SMALL, eax
    
25.   .elseif eax == WM_COMMAND
    
26.     mov eax,wParam
    
27.     .if eax == IDC_OK
    
28.       invoke EndDialog,hAWin,0
    
29.     .endif  
    
30.   .elseif eax == WM_CLOSE
    
31.   invoke EndDialog,hAWin,NULL
    
32.   .else
    
33.     mov    eax,FALSE
    
34.     ret
    
35.   .endif
    
36.   mov    eax,TRUE
    
37.   ret
    
38. 
    
39. AboutProc endp
    
40. ;########################################################################
    
41. 
    
42. DlgProc proc hWin:HWND,uMsg:UINT,wParam:WPARAM,lParam:LPARAM
    
43. 
    
44.     mov  eax,uMsg
    
45.     .if eax == WM_INITDIALOG
    
46.       invoke LoadLibrary,addr szDll
    
47.       .if eax
    
48.         mov hDllInstance,eax
    
49.         invoke GetProcAddress,hDllInstance,addr szRegcode
    
50.         mov lpRegcode,eax
    
51.       .else
    
52.         invoke MessageBox,hWin,addr szError,NULL,MB_OK or MB_ICONWARNING
    
53.       .endif
    
54.       invoke LoadIcon,hInstance,ICON_MAIN
    
55.       invoke SendMessage, hWin, WM_SETICON, ICON_SMALL, eax
    
56.       pop edi
    
57.     .elseif eax == WM_COMMAND
    
58.       mov eax,wParam
    
59.       .if eax == IDC_GEN
    
60.         invoke GetDlgItemText,hWin,IDC_NAME, addr username, 255
    
61.         .if eax == 0
    
62.           invoke SetDlgItemText,hWin,IDC_SN,addr error
    
63.           ret                        
    
64.         .else
    
65.           push offset serial
    
66.           push offset username
    
67.           call lpRegcode                  
    
68.           invoke SetDlgItemText,hWin,IDC_SN,addr serial
    
69.           ret
    
70.         .endif
    
71.       .elseif eax == IDC_ABOUT
    
72.       invoke CreateDialogParam,hInstance,DLG_ABOUT,hWin,addr AboutProc,FALSE
    
73.         
    
74.       .elseif eax == IDC_EXIT
    
75.               .if hDllInstance
    
76.                 xor eax,eax
    
77.                 mov lpRegcode,eax
    
78.                 invoke FreeLibrary,hDllInstance
    
79.               .endif
    
80.         invoke    EndDialog,hWin,NULL
    
81.       .endif
    
82.       
    
83.     .elseif eax == WM_CLOSE
    
84.       invoke EndDialog,hWin,0
    
85.     .else
    
86.       mov    eax,FALSE
    
87.       ret
    
88.     .endif
    
89.   mov    eax,TRUE
    
90.   ret
    
91. 
    
92. DlgProc endp
    
93. 
    
94. end start

复制代码

另外我把整个注册机的工程文件也全部打包上传（所有文件加一起还不到30K,注册机只有几Kb），方便大家跟踪练习。想看源码的朋友可以把文件夹解压到RadASM\Masm\Projects目录下，即可使用RadASM打开工程。
     注意：请把注册机拷贝到软件根目录下运行或者把软件根目录中的ether.dll复制到注册机目录即可!

[ 本帖最后由 playboysen 于 2008-9-15 11:21 编辑 ]

nv21

/:014 /:014

破解爱好者

看见算法就晕!/:L

天使的锁链

很费解/:023

unpack

很强悍，只会一点点爆破~~~~~~

playboysen

原帖由 天使的锁链 于 2008-9-18 20:49 发表
很费解/:023

其实这么长的汇编代码关键部分只有十几行的,其他代码都是模板自动生成的,因为不知道为什么我们论坛发贴无法设置粗体字,郁闷,就没有标出来的,关键部分如下(下面所用到的变量的声明在Keygen.inc头文件里面):

加载DLL文件:

1. .if eax == WM_INITDIALOG
   
2.       invoke LoadLibrary,addr szDll
   
3.       .if eax
   
4.         mov hDllInstance,eax
   
5.         invoke GetProcAddress,hDllInstance,addr szRegcode
   
6.         mov lpRegcode,eax
   
7.       .else
   
8.         invoke MessageBox,hWin,addr szError,NULL,MB_OK or MB_ICONWARNING
   
9.       .endif

复制代码

取用户名并且调用DLL函数源码如下:

1. .elseif eax == WM_COMMAND
   
2.       mov eax,wParam
   
3.       .if eax == IDC_GEN
   
4.         invoke GetDlgItemText,hWin,IDC_NAME, addr username, 255
   
5.         .if eax == 0
   
6.           invoke SetDlgItemText,hWin,IDC_SN,addr error
   
7.           ret                        
   
8.         .else
   
9.           push offset serial
   
10.           push offset username
    
11.           call lpRegcode                  
    
12.           invoke SetDlgItemText,hWin,IDC_SN,addr serial
    
13.           ret
    
14.         .endif

复制代码

释放DLL文件的代码:

1. .elseif eax == IDC_EXIT
   
2.               .if hDllInstance
   
3.                 xor eax,eax
   
4.                 mov lpRegcode,eax
   
5.                 invoke FreeLibrary,hDllInstance
   
6.               .endif
   
7.         invoke    EndDialog,hWin,NULL
   
8.       .endif

复制代码

[ 本帖最后由 playboysen 于 2008-9-19 10:52 编辑 ]

qq289011638

看了这么代码，头就晕乎乎的！