- UID
- 28002
注册时间2007-2-20
阅读权限20
最后登录1970-1-1
以武会友
TA的每日心情 | 开心 2024-9-24 14:39 |
---|
签到天数: 12 天 [LV.3]偶尔看看II
|
【破文标题】全球卫片超级下载2006(GoogleMapSuperGet2006)算法分析及注册机编写
【破文作者】藍色の夢(shenhaiyu)
【破解工具】OD,PYG Cracker's 破解计算工具 VB6.0
【破解平台】XP SP2
【软件名称】全球卫片超级下载2006(GoogleMapSuperGet2006) 企业版 V 10.25.201
【软件大小】4027K
【原版下载】http://cn.arceyes.net/
【保护方式】隐蔽注册码
【软件简介】
全球卫片超级下载[GoogleMapSuperGet]是一款基于Google服务器的多线程高速卫片下载、超大图无缝拼接工具,它可以高速下载您所指定的任意经纬度范围的卫片,并可将所下载卫片无缝拼接为超大图片,使您可以充分利用Google免费卫片资源,享受遨游世界的乐趣。该软件的主要特点包括:
1.下载速度快:下载速度快是本软件的最大优点之一,经测试,最佳状态一分钟可下载68张,平均每0.88秒即可下载一张。
2.资源消耗少:经测试,本软件在下载卫片时通常所占内存资源仅为11兆左右;所占CPU(2.4G)资源≤2%。
3.无缝拼接超大图:本软件能对卫片进行较为良好的无缝拼接,最大JPEG拼图文件为8192×8192像素;最大BMP拼图文件为无穷大,但普通的图像处理软件(如PHOTOSHOP)所支持的最大BMP文件为30000×30000像素,因此对卫片进行超大图拼接时建议选择生成多个16384×16384像素的BMP文件。
4.下载范围自定义:您可以通过输入下载范围的左下角和右上角经纬度坐标的方式自定义下载范围,系统将会根据您所指定的下载范围自动计算URL并进行下载。
5.多任务同时下载:多任务同时下载功能在同一时刻最多支持5个任务同时下载,以避免对服务器造成过大的负载。
6.计划任务待下载:如果当前已经有5个下载任务,当再启动其它下载任务时,该任务将会自动被转换为等待下载的计划任务,每当下载任务小于5个时,系统会自动启动计划任务进行下载。
7.断点续传下载:当下载任务被人为暂停、软件或系统异常引起系统崩溃、断电等人为或非人为因素导致下载任务被强制中断时,该任务将会被置为暂停下载状态,当被中断的任务被再次启动时,系统不会对已下载的数据进行重复下载,断点续传功能有效地保证了下载任务的正确高效执行。
8.卫片分级下载:卫片分级下载是指按卫片的精度等级对卫片进行分级下载,在下载任务所对应的下载目录中以卫片的精度等级进行分类,并以精度等级(01≤精度等级≤20)命名文件夹(如05、06、07等)。卫片分级下载有效地保证了卫片的完整性,避免了因某些卫片无法下载导致拼图产生空白的缺点。
9.地标分类管理:您可以跟据你的个人需求,对地标进行分类管理,轻易实现对地标类别和地标(下载任务)进行添加、删除、重命名等管理操作。
0.绿色免安装:本软件是一款免安装绿色软件,不对操作系统进行任何恶意设置;不捆绑任何流氓软件;不捆绑任何第三方插件;通过正版卡巴斯基扫描后发布,无病毒,可放心使用。
【破解说明】
作为一名搞GIS的人,不可能没与 GoogleEarth 打过交道。上面又多又全又清晰的卫星图片让人有一种见到就想搞到手的冲动。可是高昂的费用让人望而却步,再加上 GoogleEarth 的数据加密,几乎不可能以免费的方式获得它的卫星图片。值得庆幸的是,http://maps.google.cpm 为我们提供了一个便捷的方法:就是从IE缓存中保存每一景图片,然后拼接到一起。这样虽然得到了图片,可是巨大的工作量又让我望洋兴叹,仅仅一个北京市的20级全图就有上千张图片需要拼接,那个汗啊!!本来想自己做一个程序用来图片的自动拼接,可是上网一搜居然发现了这款小软件,不但可以根据地理坐标自动下载每景图片,还有很方便的自动拼接功能,简直是踏破铁鞋无觅处,得来全。。。。等等,注册!!!这种软件还要注册,作者真是不知怎么想的,编写个软件盗用人家 Google 的数据居然还进行商业活动,企业版的居然要 1998 元这么多!不注册的话下载下来的卫片被弄得一个一个的窟窿,还真没法使用。作为一名 Cracker 为了把免费贯彻到底,二话不说索性再来Crack一个!
对于绝大多数Cracker来说,这个软件相当的容易爆破,但是这篇文章重点落在算法分析以及注册机的编写,应该算是一篇简单详细的入门教程吧。
===================================================================================
【破解过程】
下载后运行软件,居然没有发现注册入口,可是用 Resource Hacker 打开却发现有注册对话框这个资源,看来是被作者隐藏了,估计是用热键或者激活文件什么的激活注册窗口吧,没时间研究这个了,换个思路试试。打开注册表一顿搜索,终于在 HKEY_LOCAL_MACHINE\SOFTWARE\SuperGet2006\Enterprise10.25.201 下发现了 RegCode 这个键值,一看就知道是用来存储注册码的。
【分析过程】
挂上OD,打开 SuperGet.exe 在反汇编窗口上右击鼠标,选择搜索->所有参考的字符串,然后仔细的找吧,快到底部的时候是否注意到了 00426B6C PUSH SuperGet.004307DC ASCII "RegCode" 这一行,对,就应该是这里了,双击这一行就在反汇编窗口中定位到这一句了。向上翻翻看,会有不少收获:
===================================================================================
......
00426AAC |. 3BC3 CMP EAX,EBX
00426AAE |. 0F85 1B010000 JNZ SuperGet.00426BCF
00426AB4 |. 8B7424 24 MOV ESI,DWORD PTR SS:[ESP+24]
00426AB8 |. 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
00426ABC |. 897424 20 MOV DWORD PTR SS:[ESP+20],ESI
00426AC0 |. FF15 94D14200 CALL DWORD PTR DS:[<&MFC71.#310_ATL::CStringT<char,>; MFC71.7C173199
00426AC6 |. 8D5424 1C LEA EDX,DWORD PTR SS:[ESP+1C]
00426ACA |. 52 PUSH EDX
00426ACB |. C68424 3C040000 02 MOV BYTE PTR SS:[ESP+43C],2
00426AD3 |. E8 7E0A0000 CALL <JMP.&Public.GetCPUID> ; 看来这里是用来计算硬件ID的,只用到了CPU呢
00426AD8 |. 8D4424 20 LEA EAX,DWORD PTR SS:[ESP+20]
00426ADC |. 8BCC MOV ECX,ESP
00426ADE |. 896424 14 MOV DWORD PTR SS:[ESP+14],ESP
00426AE2 |. 50 PUSH EAX
00426AE3 |. C68424 40040000 03 MOV BYTE PTR SS:[ESP+440],3
00426AEB |. FF15 C8D24200 CALL DWORD PTR DS:[<&MFC71.#297_ATL::CStringT<char,>; MFC71.7C14E575
00426AF1 |. 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
00426AF5 |. 51 PUSH ECX
00426AF6 |. E8 AF0A0000 CALL <JMP.&Public.CreateEncrypt> ; 这是什么?嗯,看来我们要的东西就在这里,明显是一个字串加密函数
00426AFB |. 83C4 08 ADD ESP,8
00426AFE |. 50 PUSH EAX
00426AFF |. 8D4C24 20 LEA ECX,DWORD PTR SS:[ESP+20]
00426B03 |. C68424 3C040000 04 MOV BYTE PTR SS:[ESP+43C],4
00426B0B |. FF15 E0D24200 CALL DWORD PTR DS:[<&MFC71.#781_ATL::CStringT<char,>; MFC71.7C150F15
00426B11 |. 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10]
00426B15 |. C68424 38040000 03 MOV BYTE PTR SS:[ESP+438],3
00426B1D |. FF15 84D14200 CALL DWORD PTR DS:[<&MFC71.#578_ATL::CStringT<char,>; MFC71.7C1771B1
00426B23 |. 8D4C24 18 LEA ECX,DWORD PTR SS:[ESP+18]
00426B27 |. FF15 88D14200 CALL DWORD PTR DS:[<&MFC71.#876_ATL::CSimpleStringT>; MFC71.7C158BCD
00426B2D |. 8D5424 10 LEA EDX,DWORD PTR SS:[ESP+10]
00426B31 |. 52 PUSH EDX
00426B32 |. 68 1F000200 PUSH 2001F
00426B37 |. 53 PUSH EBX
00426B38 |. 50 PUSH EAX
00426B39 |. 68 02000080 PUSH 80000002
00426B3E |. 895C24 24 MOV DWORD PTR SS:[ESP+24],EBX
00426B42 |. FFD7 CALL EDI
00426B44 |. 85C0 TEST EAX,EAX
00426B46 |. 75 15 JNZ SHORT SuperGet.00426B5D
00426B48 |. 8BC6 MOV EAX,ESI
00426B4A |. 3BC3 CMP EAX,EBX
00426B4C |. 74 07 JE SHORT SuperGet.00426B55
00426B4E |. 50 PUSH EAX ; /hKey
00426B4F |. FF15 00D04200 CALL DWORD PTR DS:[<&ADVAPI32.RegCloseKey>] ; \RegCloseKey
00426B55 |> 8B7424 10 MOV ESI,DWORD PTR SS:[ESP+10]
00426B59 |. 897424 20 MOV DWORD PTR SS:[ESP+20],ESI
00426B5D |> 8D4424 10 LEA EAX,DWORD PTR SS:[ESP+10]
00426B61 |. 50 PUSH EAX
00426B62 |. 8D4C24 30 LEA ECX,DWORD PTR SS:[ESP+30]
00426B66 |. 51 PUSH ECX
00426B67 |. 68 DC074300 PUSH SuperGet.004307DC ; ASCII "RegCode"
00426B6C |. 8D4C24 2C LEA ECX,DWORD PTR SS:[ESP+2C] ; 我们刚才找到的地方,剩下的不必关心了
00426B70 |. E8 5BE8FEFF CALL SuperGet.004153D0
00426B75 |. 85C0 TEST EAX,EAX
00426B77 |. 0F85 38010000 JNZ SuperGet.00426CB5
00426B7D |. 8D5424 2C LEA EDX,DWORD PTR SS:[ESP+2C]
00426B81 |. 52 PUSH EDX
00426B82 |. 8D4C24 18 LEA ECX,DWORD PTR SS:[ESP+18]
......
在 00426AD3 和 00426AF6 分别按 F2 下两个断点,再按 F9 执行程序,会遇到两次异常错误,按 Shift+F9 跳过错误继续执行,最后停在断点 00426AD3 处了,按 F7 跟入,看到了一大串字符处理函数,汗一个!
......
10001C70 > 6A FF PUSH -1
10001C72 68 49450010 PUSH Public.10004549
10001C77 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
10001C7D 50 PUSH EAX
10001C7E 64:8925 00000000 MOV DWORD PTR FS:[0],ESP
10001C85 83EC 34 SUB ESP,34
10001C88 A1 B0800010 MOV EAX,DWORD PTR DS:[100080B0]
10001C8D 53 PUSH EBX
10001C8E 56 PUSH ESI
10001C8F 33F6 XOR ESI,ESI
10001C91 8D4C24 08 LEA ECX,DWORD PTR SS:[ESP+8]
10001C95 894424 38 MOV DWORD PTR SS:[ESP+38],EAX
10001C99 897424 0C MOV DWORD PTR SS:[ESP+C],ESI
10001C9D FF15 DC500010 CALL DWORD PTR DS:[<&MFC71.#310_ATL::CStringT>; MFC71.7C173199
10001CA3 897424 44 MOV DWORD PTR SS:[ESP+44],ESI
10001CA7 897424 0C MOV DWORD PTR SS:[ESP+C],ESI
10001CAB 897424 10 MOV DWORD PTR SS:[ESP+10],ESI
10001CAF B8 01000000 MOV EAX,1
10001CB4 33D2 XOR EDX,EDX
10001CB6 0FA2 CPUID
10001CB8 895424 0C MOV DWORD PTR SS:[ESP+C],EDX
10001CBC 894424 10 MOV DWORD PTR SS:[ESP+10],EAX
10001CC0 8B4C24 10 MOV ECX,DWORD PTR SS:[ESP+10]
10001CC4 8B5424 0C MOV EDX,DWORD PTR SS:[ESP+C]
10001CC8 33C0 XOR EAX,EAX
10001CCA 894424 15 MOV DWORD PTR SS:[ESP+15],EAX
10001CCE 894424 19 MOV DWORD PTR SS:[ESP+19],EAX
10001CD2 894424 1D MOV DWORD PTR SS:[ESP+1D],EAX
10001CD6 894424 21 MOV DWORD PTR SS:[ESP+21],EAX
10001CDA 894424 25 MOV DWORD PTR SS:[ESP+25],EAX
10001CDE 894424 29 MOV DWORD PTR SS:[ESP+29],EAX
10001CE2 51 PUSH ECX
10001CE3 894424 31 MOV DWORD PTR SS:[ESP+31],EAX
10001CE7 52 PUSH EDX
10001CE8 894424 39 MOV DWORD PTR SS:[ESP+39],EAX
10001CEC 8D4424 1C LEA EAX,DWORD PTR SS:[ESP+1C]
10001CF0 68 B0520010 PUSH Public.100052B0 ; ASCII "%08X%08X"
10001CF5 50 PUSH EAX
10001CF6 C64424 24 00 MOV BYTE PTR SS:[ESP+24],0
10001CFB FF15 98510010 CALL DWORD PTR DS:[<&MSVCR71.sprintf>] ; MSVCR71.sprintf
10001D01 83C4 10 ADD ESP,10
10001D04 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
10001D08 51 PUSH ECX
10001D09 8D4C24 0C LEA ECX,DWORD PTR SS:[ESP+C]
10001D0D FF15 30510010 CALL DWORD PTR DS:[<&MFC71.#784_ATL::CStringT>; MFC71.7C14FF74
10001D13 6A 41 PUSH 41
10001D15 6A 01 PUSH 1
10001D17 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10]
10001D1B FF15 24510010 CALL DWORD PTR DS:[<&MFC71.#3849_ATL::CString>; MFC71.7C189C8A
10001D21 6A 52 PUSH 52
10001D23 6A 03 PUSH 3
10001D25 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10]
10001D29 FF15 24510010 CALL DWORD PTR DS:[<&MFC71.#3849_ATL::CString>; MFC71.7C189C8A
10001D2F 6A 43 PUSH 43
10001D31 6A 05 PUSH 5
10001D33 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10]
10001D37 FF15 24510010 CALL DWORD PTR DS:[<&MFC71.#3849_ATL::CString>; MFC71.7C189C8A
10001D3D 6A 45 PUSH 45
10001D3F 6A 07 PUSH 7
10001D41 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10]
10001D45 FF15 24510010 CALL DWORD PTR DS:[<&MFC71.#3849_ATL::CString>; MFC71.7C189C8A
10001D4B 6A 59 PUSH 59
10001D4D 6A 09 PUSH 9
10001D4F 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10]
10001D53 FF15 24510010 CALL DWORD PTR DS:[<&MFC71.#3849_ATL::CString>; MFC71.7C189C8A
10001D59 6A 45 PUSH 45
10001D5B 6A 0B PUSH 0B
10001D5D 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10]
10001D61 FF15 24510010 CALL DWORD PTR DS:[<&MFC71.#3849_ATL::CString>; MFC71.7C189C8A
10001D67 6A 53 PUSH 53
10001D69 6A 0D PUSH 0D
10001D6B 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10]
10001D6F FF15 24510010 CALL DWORD PTR DS:[<&MFC71.#3849_ATL::CString>; MFC71.7C189C8A
10001D75 6A 4E PUSH 4E
10001D77 6A 0F PUSH 0F
10001D79 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10]
10001D7D FF15 24510010 CALL DWORD PTR DS:[<&MFC71.#3849_ATL::CString>; MFC71.7C189C8A
10001D83 6A 45 PUSH 45
10001D85 6A 11 PUSH 11
10001D87 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10]
10001D8B FF15 24510010 CALL DWORD PTR DS:[<&MFC71.#3849_ATL::CString>; MFC71.7C189C8A
10001D91 6A 54 PUSH 54
10001D93 6A 13 PUSH 13
10001D95 8D4C24 10 LEA ECX,DWORD PTR SS:[ESP+10]
10001D99 FF15 24510010 CALL DWORD PTR DS:[<&MFC71.#3849_ATL::CString>; MFC71.7C189C8A
10001D9F 8B7424 4C MOV ESI,DWORD PTR SS:[ESP+4C]
10001DA3 8D5424 08 LEA EDX,DWORD PTR SS:[ESP+8]
10001DA7 52 PUSH EDX
10001DA8 8BCE MOV ECX,ESI
10001DAA FF15 B4500010 CALL DWORD PTR DS:[<&MFC71.#297_ATL::CStringT>; MFC71.7C14E575
10001DB0 8D4C24 08 LEA ECX,DWORD PTR SS:[ESP+8]
10001DB4 FF15 64500010 CALL DWORD PTR DS:[<&MFC71.#578_ATL::CStringT>; MFC71.7C1771B1
10001DBA 8B4C24 3C MOV ECX,DWORD PTR SS:[ESP+3C]
10001DBE 8BC6 MOV EAX,ESI
10001DC0 5E POP ESI
10001DC1 64:890D 00000000 MOV DWORD PTR FS:[0],ECX
10001DC8 8B4C24 34 MOV ECX,DWORD PTR SS:[ESP+34]
10001DCC 5B POP EBX
10001DCD E8 9D1F0000 CALL Public.10003D6F
10001DD2 83C4 40 ADD ESP,40
10001DD5 C3 RETN
有些晕是不是,没关系,我们大可不必分析它的算法,在 return 之前的 10001DD2 处按 F2 下一个断点,再按 F9 执行到这里看看,你会赫然的发现堆栈窗口中显示这么一串:
0012FA30 003D8830 ASCII "0A3R8C7EFY9EFSFN0E0T000686",
赶紧运行软件看看机器码,我的老天,这不就是软件中显示的机器码吗?服了作者了,这都懒得加密,直接就拿出来用,倒是给我们破解省了不少事,再汗一个!既然机器码没有二次加密,我们就没有必要分析它的算法了,因为程序已经直接给了我们嘛。
再按两次 F7 回到了00426AD8 这一句,接下来要关心关心这一句了:
00426AF6 E8 AF0A0000 CALL <JMP.&Public.CreateEncrypt>
定位到这里后按下 F4 跳到这一句,可以看到机器码已经入栈了,看来注册码就是在这里计算出来的了。按下 F7 跟入:
10001DE0 > 6A FF PUSH -1
10001DE2 68 7B450010 PUSH Public.1000457B
10001DE7 64:A1 00000000 MOV EAX,DWORD PTR FS:[0]
10001DED 50 PUSH EAX
10001DEE 64:8925 0000000>MOV DWORD PTR FS:[0],ESP
10001DF5 83EC 08 SUB ESP,8
10001DF8 53 PUSH EBX
10001DF9 55 PUSH EBP
10001DFA 56 PUSH ESI
10001DFB 33F6 XOR ESI,ESI
10001DFD 57 PUSH EDI
10001DFE 897424 14 MOV DWORD PTR SS:[ESP+14],ESI
10001E02 68 BC520010 PUSH Public.100052BC ; ASCII "ILOVEMYGIRLFRIENDZHENGYANRONG"看来是用于加密算法的字串,经查找是存在Public.dll文件中的资源
10001E07 8D4C24 18 LEA ECX,DWORD PTR SS:[ESP+18]
10001E0B 897424 24 MOV DWORD PTR SS:[ESP+24],ESI
...... ;这一部分不必看,无非就是字串规格化
10001E68 85C0 TEST EAX,EAX
10001E6A 7E 7D JLE SHORT Public.10001EE9
10001E6C 8BF3 MOV ESI,EBX
10001E6E 2BFB SUB EDI,EBX
10001E70 8A0437 MOV AL,BYTE PTR DS:[EDI+ESI]
10001E73 3006 XOR BYTE PTR DS:[ESI],AL ;各取出机器码与加密码对应的一个字符进行异或操作,这是最常用的字串加密手段
10001E75 8A06 MOV AL,BYTE PTR DS:[ESI] ;保存到AL中,进行ASCII码的比较
10001E77 3C 30 CMP AL,30
10001E79 7C 18 JL SHORT Public.10001E93 ; if AL<'0' then 跳转
10001E7B 3C 39 CMP AL,39
10001E7D 7E 04 JLE SHORT Public.10001E83 ; if AL<='9' then 跳转
10001E7F 3C 41 CMP AL,41
10001E81 7C 0C JL SHORT Public.10001E8F ; if AL<'A' then 跳转
10001E83 3C 5A CMP AL,5A
10001E85 7E 04 JLE SHORT Public.10001E8B ; if AL<='Z' then 跳转
10001E87 3C 61 CMP AL,61
10001E89 7C 04 JL SHORT Public.10001E8F ; if AL<'a' then 跳转
10001E8B 3C 7A CMP AL,7A
10001E8D 7E 4A JLE SHORT Public.10001ED9 ; if AL<='z' then 跳转
10001E8F 3C 30 CMP AL,30
10001E91 7D 20 JGE SHORT Public.10001EB3 ; if AL>='0' then 跳转
10001E93 04 30 ADD AL,30 ; AL=AL+&H30
10001E95 3C 39 CMP AL,39
10001E97 8806 MOV BYTE PTR DS:[ESI],AL
10001E99 7E 0A JLE SHORT Public.10001EA5 ; if AL<='9' then 跳转
10001E9B 3C 41 CMP AL,41
10001E9D 7D 06 JGE SHORT Public.10001EA5 ; if AL>='A' then 跳转
10001E9F 04 0A ADD AL,0A ; AL=AL+&H10
10001EA1 8806 MOV BYTE PTR DS:[ESI],AL
10001EA3 ^ EB D0 JMP SHORT Public.10001E75
10001EA5 3C 5A CMP AL,5A
10001EA7 ^ 7E CC JLE SHORT Public.10001E75 ; if AL<='Z' then 跳转
10001EA9 3C 61 CMP AL,61
10001EAB ^ 7D C8 JGE SHORT Public.10001E75 ; if AL>='a' then 跳转
10001EAD 04 0A ADD AL,0A ; AL=AL+&H10
10001EAF 8806 MOV BYTE PTR DS:[ESI],AL
10001EB1 ^ EB C2 JMP SHORT Public.10001E75
10001EB3 3C 39 CMP AL,39
10001EB5 7E 0A JLE SHORT Public.10001EC1 ; if AL<='9' then 跳转
10001EB7 3C 41 CMP AL,41
10001EB9 7D 06 JGE SHORT Public.10001EC1 ; if AL>='A' then 跳转
10001EBB 04 0A ADD AL,0A ; AL=AL+&H10
10001EBD 8806 MOV BYTE PTR DS:[ESI],AL
10001EBF ^ EB B4 JMP SHORT Public.10001E75
10001EC1 3C 5A CMP AL,5A
10001EC3 7E 0A JLE SHORT Public.10001ECF ; if AL<='Z' then 跳转
10001EC5 3C 61 CMP AL,61
10001EC7 7D 06 JGE SHORT Public.10001ECF ; if AL>='a' then 跳转
10001EC9 04 0A ADD AL,0A ; AL=AL+&H0A
10001ECB 8806 MOV BYTE PTR DS:[ESI],AL
10001ECD ^ EB A6 JMP SHORT Public.10001E75
10001ECF 3C 7A CMP AL,7A
10001ED1 ^ 7E A2 JLE SHORT Public.10001E75 ; if AL<='z' then 跳转
10001ED3 2C 7A SUB AL,7A
10001ED5 8806 MOV BYTE PTR DS:[ESI],AL
10001ED7 ^ EB 9C JMP SHORT Public.10001E75 ;到此为止,以上程序的意思就是:在加密码和机器码中取出同一位置的一个字符,将这两个字符的ASCII码进行异或操作,如果异或后得到的数值还是某一数字或字母的ASCII,则把这个数字或者字母作为该位置的注册码,如果不是一个数字或字母的ASCII则进行加减操作,使其成为一个数字或字母的ASCII。
从 10001E79 到 10001ED7 这一段对于老鸟来说再熟悉不过了,菜鸟看不懂汇编没关系,看注释里的解说。别告诉我看了注释还是很晕,我觉得写的够详细了。下面举个例子来说明:
首先有关ASCII的说明:
数字以及字母字符 .... 0- 9 ..... A- Z ..... a- z ....
对应的16进制ASCII码 --29 30-39 3A-40 41-5A 5B-60 61-7A 7B--
对应的10进制ASCII码 --41 48-57 58-64 65-90 91-96 97-122 123-
加密字串(作者固化到程序中的一串加密用的字符串,呵呵,蛮亲密的,它保存于Public.dll中,不同版本略有区别)
ILOVEMYGIRLFRIENDZHENGYANRONG
我的机器码:0A3R8C7EFY9EFSFN0E0T000686
计算的结果:yG243Hn2IEu3DJ30tOxA4wiwvd
用16进制ASCII表示则是:
加密字串:49 4C 4F 56 45 4D 59 47 49 52 4C 46 52 49 45 4E 44 5A 48 45 4E 47 59 41 4E 52 4F 4E 47
机 器 码:30 41 33 52 38 43 37 45 46 59 39 45 46 53 46 4E 30 45 30 54 30 30 30 36 38 36
最后结果:79 47 32 34 33 48 6E 32 49 45 75 33 44 4A 33 30 74 4F 78 41 34 77 69 77 76 64
又有些晕了是不是,比如加密字串的第一个字母是I(49),机器码的第一个字母是0(30),将他们异或 I(49) xor 0(30) =y(79),得到的是一个 y 的 ASCII,所以就将它作为第一位的注册码。再看第二位:L(4C) xor A(41) = 显示不出来(0D),因为 ASCII 码 0D 对应的字符不是数字也不是字母,所以要进行加减运算:0D<30,所以0D=0D+30=(3D),还不是所要的,于是 3D+0A=47。总之就是一个算法:异或得到的16进制数如果小于30,则加上30;如果大于7A,则减去7A;如果处于 3A-40 或 5B-60 之间,则加上0A。这样计算的目的就是为了保证结果一定是某一字母或数字的ASCII码。因此得到的注册码就是一串由大小写字母和数字组成的字符串,长度与机器码相同。
接下来无非就是判断一下注册表中的注册码与它算出来的是否一致,不一致则关闭一些功能,一致则开启注册版的功能。我们可以用爆破的方法爆掉注册码的判断程序,使其永远都是注册版,但是如果这样的话,就不是本文的意思了,我们既然都知道了机器码如何算出注册码,何不做一个注册机自己算出真正的注册码呢。
=========================================================================
【破解总结】
先别急,我们先来验证一下刚才的计算结果,新建一个文本文件,写入如内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\SuperGet2006\Enterprise10.25.201]
"RegCode"="yG243Hn2IEu3DJ30tOxA4wiwvd"
保存为 reg 文件,导入注册表后运行程序,怎么样,是不是发现注册用的菜单都没了,使用上也没有了限制,看来注册码没有问题。那么,接下来就用VB写一个注册机吧(为什么用VB?因为我很喜欢VB啊):
=========================================================================
Private Sub cmdExit_Click()
End
End Sub
Private Sub cmdRegFile_Click()
On Error GoTo ErrorHandler
Open "Register.reg" For Output As #1 '打开或生成文件
Print #1, "Windows Registry Editor Version 5.00"
Print #1,
Print #1, "[HKEY_LOCAL_MACHINE\SOFTWARE\SuperGet2006\Enterprise10.25.201]"
Print #1, Chr(34) + "RegCode" + Chr(34) + "=" + Chr(34) + txtSN.Text + Chr(34)
Print #1,
Close #1 '关闭文件
If MsgBox("已在当前目录下生成 Register.reg 文件,立即导入到注册表完成注册吗?", 49, "提示") = vbOK Then
Shell "regedit Register.reg", 1 '调用注册表编辑器导入注册信息
End If
Exit Sub
ErrorHandler:
MsgBox "文件写入错误,请检查是否文件只读或者磁盘可写!", vbOKOnly, "错误"
End Sub
Private Sub txtID_Change()
Dim IDLen As Integer '存储机器码长度
Dim IDS As Integer '存储每一位机器码的ASCII值
Dim EPS As Integer '存储每一位加密码的ASCII值
Dim Rst As Integer '存储运算后的结果
Dim EPT As String '存储加密码
EPT = "ILOVEMYGIRLFRIENDZHENGYANRONG" '加密码
txtID.MaxLength = Len(EPT)
txtSN.Text = "" '清除原先显示的注册内容
IDLen = Len(txtID.Text) '获取机器码长度
If IDLen < 1 Then
txtSN.Text = "请输入机器码"
cmdRegFile.Enabled = False
Exit Sub
End If
cmdRegFile.Enabled = True
For i = 1 To IDLen '开始逐位运算
IDS = Asc(Mid(txtID.Text, i, 1)) '取机器码的每一位
EPS = Asc(Mid(EPT, i, 1)) '取加密码的每一位
Rst = IDS Xor EPS '简单的异或加密运算
If Rst > 122 Then Rst = Rst - 122 'ASCII码限制转换
If Rst < 48 Then Rst = Rst + 48
If Rst > 57 And Rst < 65 Then Rst = Rst + 10
If Rst > 90 And Rst < 97 Then Rst = Rst + 10
txtSN.Text = txtSN.Text & Chr(Rst) '得到注册码
Next i
Exit Sub
End Sub
Private Sub txtID_KeyPress(KeyAscii As Integer) '用于输入机器码的过滤
If (KeyAscii < 48) Or (KeyAscii > 57 And KeyAscii < 65) Or (KeyAscii > 90 And KeyAscii < 97) Or (KeyAscii > 122) Then '如果输入的不是数字与字母
If KeyAscii <> 22 And KeyAscii <> 8 Then KeyAscii = 0: Beep '不是按下 Ctrl+V 和 Backspace 的话取消该次按键并发出声音警告
End If
If KeyAscii >= 97 And KeyAscii <= 122 Then KeyAscii = KeyAscii - 32 '将小写字母转换成大写字母
End Sub
=========================================================================
以上程序可以适用于各个版本,只需略微改动加密字串和注册表路径即可。有兴趣你也可以都写入程序,做一个全系列注册机。版本区别如下:
2006 企业版 10.25.201:
加密字串:ILOVEMYGIRLFRIENDZHENGYANRONG
注册表路径:[HKEY_LOCAL_MACHINE\SOFTWARE\SuperGet2006\Enterprise10.25.201]
2006 专业版 10.25.201:
加密字串:PROFESSIONALILOVEMYGIRLFRIENDZHENGYANRONG
注册表路径:[HKEY_LOCAL_MACHINE\SOFTWARE\SuperGet2006\Profession10.25.201]
2006 个人版 10.25.201:
加密字串:ILOVEMYGIRLFRIENDZHENGYANRONG
注册表路径:[HKEY_LOCAL_MACHINE\SOFTWARE\SuperGet2006\Personal10.25.201]
=========================================================================
也许有的人还会问,我是如何看出来上面那段ASCII码计算过程的。说实话,看了之后我也晕,主要还是凭借经验以及对汇编代码的熟悉程度推断出来的。总之,对于 Cracker 来说,最重要的还是经验以及运气,还有契而不舍的精神。希望高手们不要笑话我这个再简单不过的破文,也希望这篇文章能给初学者带来更多的收获。
最后再啰嗦一句,虽然软件主要是以窃取 Google 的数据为基础,虽然作者要价很高,但毕竟软件里凝结了劳动的辛勤,请购买正版支持作者吧,不要将此文用作非法的目的,谢谢。(全文完)
另外我在网上找到了最新的2007版,可是发现注册算法没变,但是程序启动时不检查注册码了,跟了半天也没找到猫腻所在。看来作者意识到自己软件注册上的简陋了,呵呵。希望哪位DD或者看过此文的朋友帮忙分析一下2007版的注册过程,帖上来大家一起研究一下,谢谢了。
全球卫片超级下载2007 企业版 10.25.21 下载地址:http://www.onlinedown.net/soft/52016.htm
[ 本帖最后由 shenhaiyu 于 2007-4-9 08:56 编辑 ] |
|