wyh1983 发表于 2007-1-4 13:12:06

某汽车配件软件爆破分析

第一天加入的学习小组,第二天才程序课程密码,第三天就大病不起.大夫初步诊断胃肠炎,
医院里打了半天的吊瓶,刚刚见点效果,实在难受的不行,,坐在电脑前面, 正好手里有一个北京某汽运公司的软件
拿过来分析一下.

运华汽配

大家可以自己从网上搜下,不知道有没有.

程序分好多版本,我分析的是单机版.

程序安装完毕,查看程序安装目录,
PEID查看主执行程序Borland Delphi 6.0 - 7.0无壳.
软件用户名+四组注册码方式注册
发现程序目录内有一reg.exe文件
OD载入reg.exe文件,查看提示信息
发现注册成功,感谢您的使用!从这里向上看.


00458F1B    83F8 04         CMP EAX,4
00458F1E    74 1D         JE SHORT Reg.00458F3D
00458F20    6A 00         PUSH 0
00458F22    B9 C0974500   MOV ECX,Reg.004597C0                     ;
00458F27    BA C8974500   MOV EDX,Reg.004597C8                     ; 第一组的注册码输入不正确,请检查!
00458F2C    A1 20B34500   MOV EAX,DWORD PTR DS:
00458F31    8B00            MOV EAX,DWORD PTR DS:
00458F33    E8 A0BAFFFF   CALL Reg.004549D8
00458F38    E9 81070000   JMP Reg.004596BE
00458F3D    8D95 78FEFFFF   LEA EDX,DWORD PTR SS:
00458F43    8B45 FC         MOV EAX,DWORD PTR SS:
00458F46    8B80 28030000   MOV EAX,DWORD PTR DS:
00458F4C    E8 9BBCFDFF   CALL Reg.00434BEC
00458F51    8B85 78FEFFFF   MOV EAX,DWORD PTR SS:
00458F57    8D95 7CFEFFFF   LEA EDX,DWORD PTR SS:
00458F5D    E8 6EF8FAFF   CALL Reg.004087D0
00458F62    8B85 7CFEFFFF   MOV EAX,DWORD PTR SS:
00458F68    E8 EBB9FAFF   CALL Reg.00404958
00458F6D    83F8 04         CMP EAX,4                                                是否为4位,是就继续
00458F70    74 1D         JE SHORT Reg.00458F8F
00458F72    6A 00         PUSH 0
00458F74    B9 C0974500   MOV ECX,Reg.004597C0                     ;
00458F79    BA EC974500   MOV EDX,Reg.004597EC                     ; 第二组的注册码输入不正确,请检查!
00458F7E    A1 20B34500   MOV EAX,DWORD PTR DS:
00458F83    8B00            MOV EAX,DWORD PTR DS:
00458F85    E8 4EBAFFFF   CALL Reg.004549D8
00458F8A    E9 2F070000   JMP Reg.004596BE
00458F8F    8D95 70FEFFFF   LEA EDX,DWORD PTR SS:
00458F95    8B45 FC         MOV EAX,DWORD PTR SS:
00458F98    8B80 34030000   MOV EAX,DWORD PTR DS:
00458F9E    E8 49BCFDFF   CALL Reg.00434BEC
00458FA3    8B85 70FEFFFF   MOV EAX,DWORD PTR SS:
00458FA9    8D95 74FEFFFF   LEA EDX,DWORD PTR SS:
00458FAF    E8 1CF8FAFF   CALL Reg.004087D0
00458FB4    8B85 74FEFFFF   MOV EAX,DWORD PTR SS:
00458FBA    E8 99B9FAFF   CALL Reg.00404958
00458FBF    83F8 04         CMP EAX,4                                                         是否为4位,是就继续
00458FC2    74 1D         JE SHORT Reg.00458FE1
00458FC4    6A 00         PUSH 0
00458FC6    B9 C0974500   MOV ECX,Reg.004597C0                     ;
00458FCB    BA 10984500   MOV EDX,Reg.00459810                     ; 第三组的注册码输入不正确,请检查!
00458FD0    A1 20B34500   MOV EAX,DWORD PTR DS:
00458FD5    8B00            MOV EAX,DWORD PTR DS:
00458FD7    E8 FCB9FFFF   CALL Reg.004549D8
00458FDC    E9 DD060000   JMP Reg.004596BE
00458FE1    8D95 68FEFFFF   LEA EDX,DWORD PTR SS:
00458FE7    8B45 FC         MOV EAX,DWORD PTR SS:
00458FEA    8B80 38030000   MOV EAX,DWORD PTR DS:
00458FF0    E8 F7BBFDFF   CALL Reg.00434BEC
00458FF5    8B85 68FEFFFF   MOV EAX,DWORD PTR SS:
00458FFB    8D95 6CFEFFFF   LEA EDX,DWORD PTR SS:
00459001    E8 CAF7FAFF   CALL Reg.004087D0
00459006    8B85 6CFEFFFF   MOV EAX,DWORD PTR SS:
0045900C    E8 47B9FAFF   CALL Reg.00404958
00459011    83F8 04         CMP EAX,4                                                      是否为4位,是就继续
00459014    74 1D         JE SHORT Reg.00459033
00459016    6A 00         PUSH 0
00459018    B9 C0974500   MOV ECX,Reg.004597C0                     ;
0045901D    BA 34984500   MOV EDX,Reg.00459834                     ; 第四组的注册码输入不正确,请检查!
00459022    A1 20B34500   MOV EAX,DWORD PTR DS:
00459027    8B00            MOV EAX,DWORD PTR DS:
00459029    E8 AAB9FFFF   CALL Reg.004549D8
0045902E    E9 8B060000   JMP Reg.004596BE
00459033    8D45 F8         LEA EAX,DWORD PTR SS:
00459036    BA 60984500   MOV EDX,Reg.00459860                     ; 974620134

中间省略了一部份,下面开始计算码

004594AB   .8B45 E0       MOV EAX,DWORD PTR SS:
004594AE   .E8 FDB6FAFF   CALL Reg.00404BB0
004594B3   .FFB5 08FEFFFF PUSH DWORD PTR SS:
004594B9   .8D45 E0       LEA EAX,DWORD PTR SS:
004594BC   .BA 07000000   MOV EDX,7
004594C1   .E8 52B5FAFF   CALL Reg.00404A18
004594C6   .8B45 E0       MOV EAX,DWORD PTR SS:
004594C9   .8B55 E8       MOV EDX,DWORD PTR SS:
004594CC   .E8 CBB5FAFF   CALL Reg.00404A9C                                              关键CALL,EAX为真码,EDX为假码,制作注册机中断这里
004594D1   .74 2E         JE SHORT Reg.00459501                                              这里是关键跳
004594D3   .6A 00         PUSH 0
004594D5   .B9 C0974500   MOV ECX,Reg.004597C0                     ;提示
004594DA   .BA 7C984500   MOV EDX,Reg.0045987C                     ;【注册单位名称】或【注册码】有误,请重新输入!
004594DF   .A1 20B34500   MOV EAX,DWORD PTR DS:
004594E4   .8B00          MOV EAX,DWORD PTR DS:
004594E6   .E8 EDB4FFFF   CALL Reg.004549D8
004594EB   .8B45 FC       MOV EAX,DWORD PTR SS:
004594EE   .8B80 04030000 MOV EAX,DWORD PTR DS:
004594F4   .8B10          MOV EDX,DWORD PTR DS:
004594F6   .FF92 C0000000 CALL DWORD PTR DS:
004594FC   .E9 BD010000   JMP Reg.004596BE
00459501   >8D8D 04FEFFFF LEA ECX,DWORD PTR SS:

注册机:
中断地址:4594CC
中断次数:1
第一字节:E8
长度5
EAX内



好了,就这样吧,程序采用用户名加密,计算注册码,
具体怎么算,我就不分析了!!!实在没心情,
如果有什么疑问,可以跟贴或QQ联系我.

tigerisme 发表于 2007-1-4 16:06:22

不错的爆破,学习!:lol:

avel 发表于 2007-1-5 08:03:38

/:D /:D
跟你~!

have 发表于 2007-1-5 11:16:50

好文,收藏学习了,谢谢

yb1974zm 发表于 2007-1-17 23:15:07

谢谢/:D

zchh19 发表于 2007-2-1 13:18:27

学习!!!!!!!!!!!!!!!!!!!!!

kurusaki 发表于 2007-9-29 16:12:39

这类软件第一次接触,学习

zhaoyafei19 发表于 2007-9-30 18:43:24

我来学习了
希望各位不要见笑
页: [1]
查看完整版本: 某汽车配件软件爆破分析