菜鸟破文：一个简单crackme的注册码分析

windale

【文章标题】: 一个简单crackme的注册码分析
【文章作者】: windale(夜风)
【作者QQ号】: 717844727
【软件名称】: CrackMe1.Exe
【软件大小】: 11.5 KB
【下载地址】: http://www.live-share.com/files/167596/CrackMe1.Exe.html（此crackme由Proudhao提供，点我查看）
【加壳方式】: 无
【保护方式】: 无
【编写语言】: VB
【使用工具】: PEiD, OllyDbg 1.10
【操作平台】: WinXP SP2
【软件介绍】: 一个十分简单的crackme
【作者声明】: 我是一只很菜的菜鸟，这是我第一次破掉crackme、第一次追出注册码算法、第一次写破文。写这篇破文，目的是与像我这样的新手分享一下我的破解经验，同时希望得到高手的赐教。
--------------------------------------------------------------------------------
【详细过程】
先用PEiD查壳，没有加壳，用VB写的。运行一下，随便输入注册码，点OK后出现错误提示"you get wrong try again"。


退出程序，用OD载入，插件->超级字符串参考，找到"you get wrong"，双击后来到这里：

004025E5   > \68 C81B4000   PUSH CrackMe1.00401BC8                ;  you get wrong
004025EA   .  68 9C1B4000   PUSH CrackMe1.00401B9C                ;  \n\n
004025EF   .  FFD7          CALL EDI
004025F1   .  8BD0          MOV EDX,EAX
004025F3   .  8D4D E8       LEA ECX,DWORD PTR SS:[EBP-18]
004025F6   .  FFD3          CALL EBX
004025F8   .  50            PUSH EAX
004025F9   .  68 E81B4000   PUSH CrackMe1.00401BE8                ;  try again


往上看，找到注册成功的提示"you get it"，上面紧接着一个条件跳转，满足条件则跳到后面提示注册失败的地方，否则继续执行，提示注册成功。因此判断这个是关键跳转：

00402569   .  83C4 0C       ADD ESP,0C
0040256C   .  B9 04000280   MOV ECX,80020004
00402571   .  B8 0A000000   MOV EAX,0A
00402576   .  894D 9C       MOV DWORD PTR SS:[EBP-64],ECX
00402579   .  66:85F6       TEST SI,SI                            ;  检测是否为0,是则跳转到注册码错误提示,否则注册成功:
0040257C   .  8945 94       MOV DWORD PTR SS:[EBP-6C],EAX
0040257F   .  894D AC       MOV DWORD PTR SS:[EBP-54],ECX
00402582   .  8945 A4       MOV DWORD PTR SS:[EBP-5C],EAX
00402585   .  894D BC       MOV DWORD PTR SS:[EBP-44],ECX
00402588   .  8945 B4       MOV DWORD PTR SS:[EBP-4C],EAX
0040258B      74 58         JE SHORT CrackMe1.004025E5            ;  关键跳转(将JE改为JNE即实现暴破,但我们的目的是分析注册算法,因此不必管它).
0040258D   .  68 801B4000   PUSH CrackMe1.00401B80                ;  you get it
00402592   .  68 9C1B4000   PUSH CrackMe1.00401B9C                ;  \n\n
00402597   .  FFD7          CALL EDI
00402599   .  8BD0          MOV EDX,EAX
0040259B   .  8D4D E8       LEA ECX,DWORD PTR SS:[EBP-18]
0040259E   .  FFD3          CALL EBX
004025A0   .  50            PUSH EAX
004025A1   .  68 A81B4000   PUSH CrackMe1.00401BA8                ;  KeyGen it now


继续往上看，找到一处调用，调用的是字符串比较函数，而且紧挨着关键跳转，因此判断是真假注册码的比较：

00402533   .  FF15 28414000 CALL DWORD PTR DS:[<&MSVBVM50.__vbaStrCmp>]         ;  比较真假注册码,结果存入ESI,相同为0,不同为-1:
00402539   .  8BF0          MOV ESI,EAX
0040253B   .  8D55 E0       LEA EDX,DWORD PTR SS:[EBP-20]
0040253E   .  F7DE          NEG ESI                                             ;  求补码.
00402540   .  8D45 E8       LEA EAX,DWORD PTR SS:[EBP-18]
00402543   .  52            PUSH EDX
00402544   .  1BF6          SBB ESI,ESI                                         ;  带借位减.
00402546   .  8D4D E4       LEA ECX,DWORD PTR SS:[EBP-1C]
00402549   .  50            PUSH EAX
0040254A   .  46            INC ESI                                             ;  加1.
0040254B   .  51            PUSH ECX
0040254C   .  6A 03         PUSH 3
0040254E   .  F7DE          NEG ESI                                             ;  求补码.
00402550   .  FF15 5C414000 CALL DWORD PTR DS:[<&MSVBVM50.__vbaFreeStrList>]    ;  MSVBVM50.__vbaFreeStrList
00402556   .  83C4 10       ADD ESP,10
00402559   .  8D55 D8       LEA EDX,DWORD PTR SS:[EBP-28]
0040255C   .  8D45 DC       LEA EAX,DWORD PTR SS:[EBP-24]
0040255F   .  52            PUSH EDX
00402560   .  50            PUSH EAX
00402561   .  6A 02         PUSH 2
00402563   .  FF15 F4404000 CALL DWORD PTR DS:[<&MSVBVM50.__vbaFreeObjList>]    ;  MSVBVM50.__vbaFreeObjList
00402569   .  83C4 0C       ADD ESP,0C
0040256C   .  B9 04000280   MOV ECX,80020004
00402571   .  B8 0A000000   MOV EAX,0A
00402576   .  894D 9C       MOV DWORD PTR SS:[EBP-64],ECX
00402579   .  66:85F6       TEST SI,SI                                          ;  检测是否为0,是则跳转到注册码错误提示,否则注册成功:
0040257C   .  8945 94       MOV DWORD PTR SS:[EBP-6C],EAX
0040257F   .  894D AC       MOV DWORD PTR SS:[EBP-54],ECX
00402582   .  8945 A4       MOV DWORD PTR SS:[EBP-5C],EAX
00402585   .  894D BC       MOV DWORD PTR SS:[EBP-44],ECX
00402588   .  8945 B4       MOV DWORD PTR SS:[EBP-4C],EAX
0040258B      74 58         JE SHORT CrackMe1.004025E5                          ;  关键跳转.


再往上看，没有发现什么明显的东西，只有几个字符串操作函数和一些其他的函数调用。不熟悉VB的函数，但在这几处函数调用最开始的地方发现一个函数__vbaObjSet，从名字上看似乎是用来初始化的。于是试着在此处下断点，然后F9运行，看能否得到有用的信息，输入name，随意输入注册码，点OK后程序在这里被断下来：

00402382   .  8D4D D4       LEA ECX,DWORD PTR SS:[EBP-2C]                 ;  在此处下断点.
00402385   .  50            PUSH EAX
00402386   .  51            PUSH ECX
00402387   .  FF15 0C414000 CALL DWORD PTR DS:[<&MSVBVM50.__vbaObjSet>]   ;  MSVBVM50.__vbaObjSet


接着一路按F8步过，走了很久也没有什么情况出现。直到运行0040240F处后，寄存器窗口中出现了前面输入的name的字符串。于是接下来慢按F8，结合寄存器窗口中的数据一步一步地分析语句，最终得到以下分析结果：

00402409   > \8B95 50FFFFFF MOV EDX,DWORD PTR SS:[EBP-B0]
0040240F   .  8B45 E4       MOV EAX,DWORD PTR SS:[EBP-1C]               ;  此处将读取到的name存入EAX中.
00402412   .  50            PUSH EAX
00402413   .  8B1A          MOV EBX,DWORD PTR DS:[EDX]
00402415   .  FF15 E4404000 CALL DWORD PTR DS:[<&MSVBVM50.__vbaLenBstr>];  计算name长度,存入EDI,我们将其记为A:
0040241B   .  8BF8          MOV EDI,EAX
0040241D   .  8B4D E8       MOV ECX,DWORD PTR SS:[EBP-18]
00402420   .  69FF FB7C0100 IMUL EDI,EDI,17CFB                          ;  用A乘以0x17CFB,结果存入EDI,我们将其记为B:
00402426   .  51            PUSH ECX
00402427   .  0F80 91020000 JO CrackMe1.004026BE
0040242D   .  FF15 F8404000 CALL DWORD PTR DS:[<&MSVBVM50.#516>]        ;  name首个字符的ASCII码,存入EDX,我们将其记为C:
00402433   .  0FBFD0        MOVSX EDX,AX
00402436   .  03FA          ADD EDI,EDX                                 ;  计算B+C,结果存入EDI,我们将其记为D:
00402438   .  0F80 80020000 JO CrackMe1.004026BE
0040243E   .  57            PUSH EDI
0040243F   .  FF15 E0404000 CALL DWORD PTR DS:[<&MSVBVM50.__vbaStrI4>]  ;  将D的十进制形式转换为字符串:
00402445   .  8BD0          MOV EDX,EAX
00402447   .  8D4D E0       LEA ECX,DWORD PTR SS:[EBP-20]


看来这就应该是真注册码的计算过程。可是接着往下，发现对name的计算操作到此为止，寄存器窗口中也没有发现有用的数据。试着将字符串D作为注册码填入，结果注册失败。这时突然想起来，一开始查找参考字符串时注意到有个"aka-"，接着从关键跳转处往上找的时候发现"aka-"下面紧跟着一个貌似连接字符串的函数__vbaStrCat。于是现在往下找，找到了这个地方，并且在它下面就是比较真假注册码。隐约感觉到离成功不远了。于是马上在上面一处下断点，运行到断点后F8步过，分析后得到了真注册码：

00402510   > \8B45 E8       MOV EAX,DWORD PTR SS:[EBP-18]                          ;  在这里下断.
00402513   .  8B4D E4       MOV ECX,DWORD PTR SS:[EBP-1C]
00402516   .  8B3D 00414000 MOV EDI,DWORD PTR DS:[<&MSVBVM50.__vbaStrCat>]         ;  将"AKA-"与前面得到的字符串D连接起来,得到真注册码:
0040251C   .  50            PUSH EAX
0040251D   .  68 701B4000   PUSH CrackMe1.00401B70                                 ;  aka-
00402522   .  51            PUSH ECX
00402523   .  FFD7          CALL EDI                                               ;  <&MSVBVM50.__vbaStrCat>
00402525   .  8B1D 70414000 MOV EBX,DWORD PTR DS:[<&MSVBVM50.__vbaStrMove>]        ;  MSVBVM50.__vbaStrMove
0040252B   .  8BD0          MOV EDX,EAX
0040252D   .  8D4D E0       LEA ECX,DWORD PTR SS:[EBP-20]
00402530   .  FFD3          CALL EBX                                               ;  <&MSVBVM50.__vbaStrMove>
00402532   .  50            PUSH EAX
00402533   .  FF15 28414000 CALL DWORD PTR DS:[<&MSVBVM50.__vbaStrCmp>]            ;  比较真假注册码.


重新运行程序，将得到的真注册码填入，果然注册成功。


总结注册码算法如下：
name长度乘以97531(=16进制的17CFB)，再加上name首字符的ASCII码值，然后在得到的数前面加上"AKA-"，就是最后的注册码。
例如：
我在name中填的是windale，长度为7，w的ASCII码是119。7*97531+119=682836，因此正确的注册码就是AKA-682836。


最后又用几组name和注册码测试，都可以成功注册。因此这次破解过程到此结束。


由于本人太菜，不会写注册机，所以就不写了，留给大家练习吧。
由于本人是第一次，水平很有限，如果有什么错误请尽管指出，我一定会虚心学习。


最最后，我想说的是，只要你有决心+信心+耐心，就没有你做不到的事情！

[ 本帖最后由 windale 于 2007-2-28 01:43 编辑 ]

windtrace

比较详细,非常值得学习

冰蓝的心

文章内容非富,还有注释.

rewq911

呵呵
支持啊。。。

wer

详细,学习,呵呵

lgwhx

经典破解，学习了，感谢分享。/:D

花满楼

不错，简单明了

zdm2000

不错嘛，我还不会。向楼主学习。

xuanyuanhanbing

厉害啊，我支持啊