chk文件恢复工具算法分析（响应NISY的号召）

冰糖 · 发表于 2008-6-14 12:38:21

【破文标题】chk文件恢复工具算法分析
【破文作者】冰糖[BST]
【作者邮箱】[email protected]
【作者主页】http://bbs.thulu.com
【破解工具】peid0.94+OD
【破解平台】XPsp3
【软件名称】chkresume2.0.1
【软件大小】自己看
【原版下载】http://www.onlinedown.net/soft/62572.htm
【保护方式】无
【软件简介】把系统扫描产生的.CHK文件恢复成原来的文件类型的工具.
>支持.mp3,.jpg,.bmp,.avi,.mpg,.doc,.gif 等70余种文件类型。

【破解声明】本文仅供研究学习，本人对因这篇文章而导致的一切后果，不承担任何法律责任。本文中的不足之处
------------------------------------------------------------------------
【破解过程】首先说明一下，这个软件是白痴在“吹猪大会”上给我布置的讲课作业，然后看到这边再征集破文，就详细写了一篇，不然也不会有这篇破文的诞生

进入正题
拿到软件，首先PEID查壳，什么也没发现

OD载入，提示被压缩，看代码，明显有一个未知修改壳，简单，一路F8,F4到OEP

00455370 > $  55          push ebp                            ;  这里就是OEP
00455371 .  8BEC       mov    ebp, esp
00455373 .  83C4 F0    add    esp, -10
00455376 .  B8 88514500 mov    eax, 00455188
0045537B .  E8 600FFBFF call 004062E0
00455380 .  A1 54704500 mov    eax, dword ptr [457054]

脱壳发现是Borland Delphi 6.0 - 7.0程序

拿出DEDE找到按钮入口点 00453990 下断

00453A34 .  53          push ebx                            ;  注册按钮，F2下断
00453A35 .  8BD8       mov    ebx, eax
00453A37 .  A1 38714500 mov    eax, dword ptr [457138]
00453A3C .  8B00       mov    eax, dword ptr [eax]
00453A3E .  E8 7D130000 call 00454DC0                      ;  关键算法CALL，F7跟人
00453A43 .  84C0       test al, al
00453A45 .  74 13       je    short 00453A5A
00453A47 .  A1 38714500 mov    eax, dword ptr [457138]
00453A4C .  8B00       mov    eax, dword ptr [eax]
00453A4E .  E8 11160000 call 00455064
00453A53 .  8BC3       mov    eax, ebx

00454DCE  |.  55          push ebp
00454DCF  |.  68 DB4E4500 push 00454EDB
00454DD4  |.  64:FF30    push dword ptr fs:[eax]
00454DD7  |.  64:8920    mov    dword ptr fs:[eax], esp
00454DDA  |.  33DB       xor    ebx, ebx
00454DDC  |.  8D55 F8    lea    edx, dword ptr [ebp-8]
00454DDF  |.  A1 70714500 mov    eax, dword ptr [457170]
00454DE4  |.  8B00       mov    eax, dword ptr [eax]
00454DE6  |.  8B80 14030000 mov    eax, dword ptr [eax+314]
00454DEC  |.  E8 D7D9FDFF call 004327C8
00454DF1  |.  8B45 F8    mov    eax, dword ptr [ebp-8]          ;  我输入的用户名bingtang
00454DF4  |.  E8 EFF9FAFF call 004047E8
00454DF9  |.  8BF0       mov    esi, eax                      ;  取用户名长度
00454DFB  |.  85F6       test esi, esi
00454DFD  |.  7E 32       jle    short 00454E31                ;  小于等于0就跳
00454DFF  |.  C745 F4 01000>mov    dword ptr [ebp-C], 1
00454E06  |>  8D45 F0    /lea    eax, dword ptr [ebp-10]
00454E09  |.  50          |push eax
00454E0A  |.  B9 01000000 |mov    ecx, 1                         ;  ecx=1
00454E0F  |.  8B55 F4    |mov    edx, dword ptr [ebp-C]       ;  edx=1
00454E12  |.  8B45 F8    |mov    eax, dword ptr [ebp-8]       ;  eax<--bingtang
00454E15  |.  E8 2EFCFAFF |call 00404A48
00454E1A  |.  8B45 F0    |mov    eax, dword ptr [ebp-10]
00454E1D  |.  E8 C6FBFAFF |call 004049E8
00454E22  |.  8A00       |mov    al, byte ptr [eax]             ;  al<--依次取b，i,n,g,t,a,n,g
00454E24  |.  25 FF000000 |and    eax, 0FF                      ;  and &hff
00454E29  |.  03D8       |add    ebx, eax                      ;  ebx为取用户名的每个字符ASSCII相加
00454E2B  |.  FF45 F4    |inc    dword ptr [ebp-C]
00454E2E  |.  4E          |dec    esi
00454E2F  |.^ 75 D5       \jnz    short 00454E06
00454E31  |>  69C3 A0860100 imul eax, ebx, 186A0                ;  EBX*&H186A0-->EAX
00454E37  |.  05 54820100 add    eax, 18254                      ;  EAX +  &H18254-->EAX
00454E3C  |.  05 CE730100 add    eax, 173CE                      ;  EAX +&H173CE-->EAX
00454E41  |.  8BD8       mov    ebx, eax                      ;  EAX-->EBX(标记1,下面还用到)
00454E43  |.  8BC3       mov    eax, ebx
00454E45  |.  B9 10270000 mov    ecx, 2710                      ;  ECX=&H2710
00454E4A  |.  99          cdq
00454E4B  |.  F7F9       idiv ecx                            ;  EAX/ECX-->EAX
00454E4D  |.  8BC8       mov    ecx, eax                      ;  EAX-->ECX
00454E4F  |.  03CB       add    ecx, ebx                      ;  ECX + EBX(标记1)-->ECX(结果1）
00454E51  |.  8BC3       mov    eax, ebx                      ;  ebx（标记1)-->eax(标记2)
00454E53  |.  BE E8030000 mov    esi, 3E8                      ;  esi=&H3E8
00454E58  |.  99          cdq
00454E59  |.  F7FE       idiv esi                            ;  EAX(标记2)/ESI-->EAX
00454E5B  |.  03C8       add    ecx, eax                      ;  ECX(结果1） + EAX-->ECX(结果2）
00454E5D  |.  8BC3       mov    eax, ebx                      ;  ebx（标记1)-->eax(标记3)
00454E5F  |.  BE 64000000 mov    esi, 64                         ;  esi=&H64
00454E64  |.  99          cdq
00454E65  |.  F7FE       idiv esi                            ;  EAX(标记3)/ESI-->EAX
00454E67  |.  03C8       add    ecx, eax                      ;  ECX(结果2） + EAX-->ECX(结果3）
00454E69  |.  8BC3       mov    eax, ebx                      ;  ebx（标记1)-->eax(标记4)
00454E6B  |.  BB 0A000000 mov    ebx, 0A                         ;  EBX=&H0A
00454E70  |.  99          cdq
00454E71  |.  F7FB       idiv ebx                            ;  EAX(标记4)/EBX-->EAX
00454E73  |.  03C8       add    ecx, eax                      ;  ECX(结果3） + EAX-->ECX(结果4，真码）
00454E75  |.  8BD9       mov    ebx, ecx                      ;  EBX<--ECX(结果4，真码）
00454E77  |.  8D55 EC    lea    edx, dword ptr [ebp-14]
00454E7A  |.  A1 70714500 mov    eax, dword ptr [457170]
00454E7F  |.  8B00       mov    eax, dword ptr [eax]
00454E81  |.  8B80 18030000 mov    eax, dword ptr [eax+318]
00454E87  |.  E8 3CD9FDFF call 004327C8
00454E8C  |.  8B45 EC    mov    eax, dword ptr [ebp-14]       ;  假码
00454E8F  |.  E8 B836FBFF call 0040854C
00454E94  |.  3BD8       cmp    ebx, eax                      ;  真假码比较
00454E96  |.  75 19       jnz    short 00454EB1                ;  关键跳
00454E98  |.  C645 FF 01 mov    byte ptr [ebp-1], 1
00454E9C  |.  B8 DC8B4500 mov    eax, 00458BDC

很不错的一个软件，可惜作者加密做的太弱了，国产软件还要加油

------------------------------------------------------------------------
【破解总结】很简单，就是通过用户名的ASCII码的和计算出一个数，然后用这个数分别除四个数的结果相加的和就是注册码

附一组可用注册码
name：bingtang
code：93770263

VB注册机源码，测试正常
Private Sub Command1_Click()
Dim i As Integer
Dim a As Long
Dim t As String
t = Text1
For i = 1 To Len(t)
a = a + Asc(Mid(t, i, 1))
Next i
b = a * &H186A0 + &H18254 + &H173CE
C = b + b \ &H2710 + b \ &H3E8 + b \ &H64 + b \ &HA
Text2.Text = CStr(C)

End Sub

灌水而已，写破文花了我不少时间，作为算法入门还不错
------------------------------------------------------------------------
【版权声明】本文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!

[ 本帖最后由冰糖于 2008-6-14 12:40 编辑 ]

Nisy · 发表于 2008-6-14 22:22:22

感谢老兄赐稿 :loveliness: 以后有时间要送两篇E文的软件哦最好成一个小的系列有利于读者的学习

tianxj · 发表于 2008-6-15 07:42:02

这个早分析过了/:017

tianxj · 发表于 2008-6-15 07:43:55

【破文标题】chk文件恢复工具 2.0.1
【破文作者】tianxj
【作者邮箱】[email protected]
【作者主页】www.chinapyg.com
【破解工具】PEiD,OD
【破解平台】Windows XP
【软件名称】chk文件恢复工具 2.0.1(2008-4-28)
【软件大小】189KB
【原版下载】华军软件园
【保护方式】注册码
【软件简介】
把系统扫描产生的.CHK文件恢复成原来的文件类型的工具.
>支持.mp3,.jpg,.bmp,.avi,.mpg,.doc,.gif 等70余种文件类型。
【破解声明】我是一只小菜鸟，偶得一点心得，愿与大家分享：）
--------------------------------------------------------------
【破解内容】
--------------------------------------------------------------
**************************************************************
一、运行程序，进行注册，输入错误的注册信息进行检测，有无提示信息
**************************************************************
二、用PEiD对chkresume查壳，为什么也没发现
用PEiD对插件脱壳，无壳。Borland Delphi 6.0 - 7.0编写。
**************************************************************
三、通过PE Explorer和DeDe查找按钮事件
运行OD，打开chkresume.exe.unpacked_，来到

00453A34 . 53 PUSH EBX
00453A35 . 8BD8 MOV EBX,EAX
00453A37 . A1 38714500 MOV EAX,DWORD PTR DS:[457138]
00453A3C . 8B00 MOV EAX,DWORD PTR DS:[EAX]
00453A3E . E8 7D130000 CALL chkresum.00454DC0 ; //关键CALL
00453A43 . 84C0 TEST AL,AL
00453A45 . 74 13 JE SHORT chkresum.00453A5A ; //关键跳转
00453A47 . A1 38714500 MOV EAX,DWORD PTR DS:[457138]
00453A4C . 8B00 MOV EAX,DWORD PTR DS:[EAX]
00453A4E . E8 11160000 CALL chkresum.00455064
00453A53 . 8BC3 MOV EAX,EBX
00453A55 . E8 C2FCFFFF CALL chkresum.0045371C
00453A5A > 5B POP EBX
00453A5B . C3 RETN
00453A5C . 53 PUSH EBX
00453A5D . 8BD8 MOV EBX,EAX
00453A5F . 6A 01 PUSH 1
00453A61 . 68 843A4500 PUSH chkresum.00453A84
00453A66 . 68 883A4500 PUSH chkresum.00453A88 ; http://www.pcsoft.com.cn/soft/soft_10996.htm
00453A6B . 68 B83A4500 PUSH chkresum.00453AB8 ; iexplore.exe
00453A70 . 68 C83A4500 PUSH chkresum.00453AC8 ; open
00453A75 . 8BC3 MOV EAX,EBX
00453A77 . E8 3455FEFF CALL chkresum.00438FB0
00453A7C . 50 PUSH EAX ; |hWnd
00453A7D . E8 FA12FDFF CALL <JMP.&SHELL32.ShellExecuteA> ; \ShellExecuteA
00453A82 . 5B POP EBX
00453A83 . C3 RETN
==============================================================
00454DC0 /$ 55 PUSH EBP
00454DC1 |. 8BEC MOV EBP,ESP
00454DC3 |. 33C9 XOR ECX,ECX
00454DC5 |. 51 PUSH ECX
00454DC6 |. 51 PUSH ECX
00454DC7 |. 51 PUSH ECX
00454DC8 |. 51 PUSH ECX
00454DC9 |. 51 PUSH ECX
00454DCA |. 53 PUSH EBX
00454DCB |. 56 PUSH ESI
00454DCC |. 33C0 XOR EAX,EAX
00454DCE |. 55 PUSH EBP
00454DCF |. 68 DB4E4500 PUSH chkresum.00454EDB
00454DD4 |. 64:FF30 PUSH DWORD PTR FS:[EAX]
00454DD7 |. 64:8920 MOV DWORD PTR FS:[EAX],ESP
00454DDA |. 33DB XOR EBX,EBX
00454DDC |. 8D55 F8 LEA EDX,DWORD PTR SS:[EBP-8]
00454DDF |. A1 70714500 MOV EAX,DWORD PTR DS:[457170]
00454DE4 |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00454DE6 |. 8B80 14030000 MOV EAX,DWORD PTR DS:[EAX+314]
00454DEC |. E8 D7D9FDFF CALL chkresum.004327C8
00454DF1 |. 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8]
00454DF4 |. E8 EFF9FAFF CALL chkresum.004047E8
00454DF9 |. 8BF0 MOV ESI,EAX
00454DFB |. 85F6 TEST ESI,ESI
00454DFD |. 7E 32 JLE SHORT chkresum.00454E31
00454DFF |. C745 F4 01000>MOV DWORD PTR SS:[EBP-C],1
00454E06 |> 8D45 F0 /LEA EAX,DWORD PTR SS:[EBP-10]
00454E09 |. 50 |PUSH EAX
00454E0A |. B9 01000000 |MOV ECX,1
00454E0F |. 8B55 F4 |MOV EDX,DWORD PTR SS:[EBP-C]
00454E12 |. 8B45 F8 |MOV EAX,DWORD PTR SS:[EBP-8]
00454E15 |. E8 2EFCFAFF |CALL chkresum.00404A48
00454E1A |. 8B45 F0 |MOV EAX,DWORD PTR SS:[EBP-10]
00454E1D |. E8 C6FBFAFF |CALL chkresum.004049E8
00454E22 |. 8A00 |MOV AL,BYTE PTR DS:[EAX]
00454E24 |. 25 FF000000 |AND EAX,0FF
00454E29 |. 03D8 |ADD EBX,EAX
00454E2B |. FF45 F4 |INC DWORD PTR SS:[EBP-C]
00454E2E |. 4E |DEC ESI
00454E2F |.^ 75 D5 \JNZ SHORT chkresum.00454E06 ; //依次取用户名ASC值，累加到EBX
00454E31 |> 69C3 A0860100 IMUL EAX,EBX,186A0
00454E37 |. 05 54820100 ADD EAX,18254
00454E3C |. 05 CE730100 ADD EAX,173CE
00454E41 |. 8BD8 MOV EBX,EAX
00454E43 |. 8BC3 MOV EAX,EBX
00454E45 |. B9 10270000 MOV ECX,2710
00454E4A |. 99 CDQ
00454E4B |. F7F9 IDIV ECX
00454E4D |. 8BC8 MOV ECX,EAX
00454E4F |. 03CB ADD ECX,EBX
00454E51 |. 8BC3 MOV EAX,EBX
00454E53 |. BE E8030000 MOV ESI,3E8
00454E58 |. 99 CDQ
00454E59 |. F7FE IDIV ESI
00454E5B |. 03C8 ADD ECX,EAX
00454E5D |. 8BC3 MOV EAX,EBX
00454E5F |. BE 64000000 MOV ESI,64
00454E64 |. 99 CDQ
00454E65 |. F7FE IDIV ESI
00454E67 |. 03C8 ADD ECX,EAX
00454E69 |. 8BC3 MOV EAX,EBX
00454E6B |. BB 0A000000 MOV EBX,0A
00454E70 |. 99 CDQ
00454E71 |. F7FB IDIV EBX
00454E73 |. 03C8 ADD ECX,EAX
00454E75 |. 8BD9 MOV EBX,ECX ; //EBX再运算
00454E77 |. 8D55 EC LEA EDX,DWORD PTR SS:[EBP-14]
00454E7A |. A1 70714500 MOV EAX,DWORD PTR DS:[457170]
00454E7F |. 8B00 MOV EAX,DWORD PTR DS:[EAX]
00454E81 |. 8B80 18030000 MOV EAX,DWORD PTR DS:[EAX+318]
00454E87 |. E8 3CD9FDFF CALL chkresum.004327C8
00454E8C |. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14] ; //试练码
00454E8F |. E8 B836FBFF CALL chkresum.0040854C ; //试练码转16进制送入EAX
00454E94 |. 3BD8 CMP EBX,EAX ; //关键比较
00454E96 |. 75 19 JNZ SHORT chkresum.00454EB1 ; //关键跳转
00454E98 |. C645 FF 01 MOV BYTE PTR SS:[EBP-1],1 ; //[EBP-1]=1
00454E9C |. B8 DC8B4500 MOV EAX,chkresum.00458BDC
00454EA1 |. 8B55 F8 MOV EDX,DWORD PTR SS:[EBP-8]
00454EA4 |. E8 D3F6FAFF CALL chkresum.0040457C
00454EA9 |. 891D E08B4500 MOV DWORD PTR DS:[458BE0],EBX
00454EAF |. EB 04 JMP SHORT chkresum.00454EB5
00454EB1 |> C645 FF 00 MOV BYTE PTR SS:[EBP-1],0
00454EB5 |> 33C0 XOR EAX,EAX
00454EB7 |. 5A POP EDX
00454EB8 |. 59 POP ECX
00454EB9 |. 59 POP ECX
00454EBA |. 64:8910 MOV DWORD PTR FS:[EAX],EDX
00454EBD |. 68 E24E4500 PUSH chkresum.00454EE2
00454EC2 |> 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14]
00454EC5 |. E8 5EF6FAFF CALL chkresum.00404528
00454ECA |. 8D45 F0 LEA EAX,DWORD PTR SS:[EBP-10]
00454ECD |. E8 56F6FAFF CALL chkresum.00404528
00454ED2 |. 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
00454ED5 |. E8 4EF6FAFF CALL chkresum.00404528
00454EDA \. C3 RETN
00454EDB .^ E9 4CF0FAFF JMP chkresum.00403F2C
00454EE0 .^ EB E0 JMP SHORT chkresum.00454EC2
00454EE2 . 8A45 FF MOV AL,BYTE PTR SS:[EBP-1] ; //标志位赋值
00454EE5 . 5E POP ESI
00454EE6 . 5B POP EBX
00454EE7 . 8BE5 MOV ESP,EBP
00454EE9 . 5D POP EBP
00454EEA . C3 RETN

复制代码

**************************************************************
【破解总结】
--------------------------------------------------------------
【算法总结】
--------------------------------------------------------------
【算法注册机】
KeyGen.rek
.const

.data
szHomePage db "https://www.chinapyg.com",0
szEmail db "mailto:[email protected]",0
szErrMess  db "请输入姓名！",0
szBuffer db 50 dup (0)
szFMT db "%d",0

.code
mov esi,eax
invoke lstrlen,esi
mov ecx,eax
xor edx,edx
xor ebx,ebx
xor eax,eax
n1:
mov bl,byte ptr [esi+eax]
add edx,ebx
inc eax
cmp ecx,eax
jg n1
mov ebx,edx
IMUL EAX,EBX,186A0h
ADD EAX,18254h
ADD EAX,173CEh
MOV EBX,EAX
MOV EAX,EBX
MOV ECX,2710h
CDQ
IDIV ECX
MOV ECX,EAX
ADD ECX,EBX
MOV EAX,EBX
MOV ESI,3E8h
CDQ
IDIV ESI
ADD ECX,EAX
MOV EAX,EBX
MOV ESI,64h
CDQ
IDIV ESI
ADD ECX,EAX
MOV EAX,EBX
MOV EBX,0Ah
CDQ
IDIV EBX
ADD ECX,EAX
MOV EBX,ECX
invoke wsprintf,addr szBuffer,addr szFMT,ebx
lea eax,szBuffer
--------------------------------------------------------------
【内存注册机】
中断地址 00454E94
中断次数 1
第一字节 3B
指令长度 2
寄存器方式-EBX
         十进制
--------------------------------------------------------------
【注册信息】
用户名：abcdef
注册码：66548313
--------------------------------------------------------------
希望以后可以在猫老大和PYG 5.4Cracker学习小组的帮助下进一步提高自己。
感谢飘云老大、猫老大、Nisy老大以及很多前辈们的学习教程以及所有帮助过我的论坛兄弟姐妹们！谢谢
--------------------------------------------------------------
【版权声明】破文是学习的手记，兴趣是成功的源泉；本破文纯属技术交流, 转载请注明作者并保持文章的完整, 谢谢!

冰糖 · 发表于 2008-6-15 11:59:20

哈哈，我忘了发表前搜索一下

tianxj · 发表于 2008-6-15 22:15:53

原帖由冰糖于 2008-6-15 11:59 发表
哈哈，我忘了发表前搜索一下

论坛上没有的,我觉的比较简单,所以没有发

		自动登录	找回密码
密码			加入我们

[08版] chk文件恢复工具算法分析（响应NISY的号召）

相关帖子