逆向序列号生成算法(三)

最新推荐文章于 2021-09-05 20:20:24 发布
最新推荐文章于 2021-09-05 20:20:24 发布
阅读量7.3k 收藏 1
点赞数
分类专栏: 逆向C++ Windows平台相关 文章标签: 算法 null system float input 扩展
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AlbertLi/article/details/7039377
版权

 接着上次的分析,继续分析下去,对于这个CrackMe,其要求是写出注册机,那么我们就根据其注册码的验证过程,进行逆向分析,首先找到最关键的一个爆破点,我们先看看这个爆破点的位置,如图1可见最后的验证关键点其实在那个MagicNum的值上面,因为用户名是我们给定的,属于已知值,而序列号则是可以由我们构造的也可以认为是已知值,唯一不确定的就是那个MagicNum了,而这个值却跟我们输入的用户名及序列号密切相关。因此切实找到:MagicNum(魔数)如图2与用户名、序列号之间的关系就是最后写出注册机的关键所在了。

(图1)

接下来我们大致看看这三者之间的关系 :最后的注册码正确与否取决于序列号的最后四个字符,即:我们设dword ptr[402168]为a,

dword ptr[40216c]为b,dword ptr[402179]为c,需要算出的最后四个字节为nResult,其必须满足,nResult的值必须都在ASCII码可打印表示范围内(PS:不然你无法输入对应的字符......),且nResult == a^b^MagicNum|0x40404040&0x77777777^c。其中的a\b\c皆可由我们构造,而MagciNum则与我们构造的这些数相关,到底有些什么关系呢?我们接下来看看MagicNum与我们构造的用户名及序列号之间的关系。

(图2)

其中的edi可以是用户名算出值亦可为序列号算出值。(此值即为Step1过程中算出的值),整个递归过程与edi值有关。通过阅读程序,我们需要找到edi与递归次数之间的直接关系,这样我们可以想办控制魔数的自增次数从而控制住魔数的值。通过在给定用户名的情况下,利用edi与魔数之间的关系,构造出满足条件的序列号(这个过程可以控制在可容忍范围内的穷举)。在分析的过程中比较棘手的地方是就是递归调用。OK,看到这里基本定位了关键点所在。我们先暂停一下,仅从分析如何快速制作出可行的注册机的角度来尝试一下,在这个角度上,首先要保证递归函数调用后的返回值ECX为1(这个时候关于递归与魔数的关系就可以不用考虑了),把这个条件分析出来。然后只用去利用:nResult == a^b^MagicNum|0x40404040&0x77777777这个值,自己去构造符合条件的剩余的序列号部分即可。例如:nResult值已知的情况下,设序列号剩下的两个字节分别为X1、X2,要求nResult^X1==X2,且X1,X2都在['0','~']这个范围内。根据这个思路可以写出如下的注册机:

// KeyGen.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <assert.h>
#include <iostream>
#include <math.h>
#include <bitset>
#pragma warning(disable:4244)

typedef unsigned long DWORD;
typedef unsigned int  UINT;

//
//函数声明部分
//

//
//扩展用户名到16字节
void ExtendNameTo16Bytes( char *pStrName );

//验证序列号Step1
void CalculateKeyStep1( const char *pStrName, const char *pStrSerialNum, 
                        DWORD &outTempNum1, DWORD &outTempNum2 );

//抽离的递归函数
void Func( DWORD nTempNum1, DWORD nTempNum2,
           UINT &uCount, DWORD &nMagicNum );

//验证序列号Step2
bool CalculateKeyStep2( DWORD nTempNum1, DWORD nTempNum2, 
                        const char *pStrName, char *szLast8BytesSerials );

//构造最后的8字节序列号
bool GenerateCorrect8BytesSerial( const DWORD nSrc, char szOUT[] );

//N个字节字符串生成器
void GenerateNBytesStrings( const char *pStrUserName, char *pStr, 
                            const UINT nBytes );

//
//函数实现部分
//
void ExtendNameTo16Bytes( char *pStrName )
{
    assert( NULL != pStrName );
    if ( NULL == pStrName ) return;
    size_t nStrLen = strlen(pStrName);
    if ( nStrLen >= 16 ) return;
    size_t nNeedtoExtend = 16 - nStrLen;
    int nCount = 0;
    while ( nNeedtoExtend-- )
    {
        *(pStrName+nStrLen+nCount) = *(pStrName+nCount);
        ++nCount;
    }
}

void CalculateKeyStep1( const char *pStrName, const char *pStrSerialNum, 
                        DWORD &outTempNum1, DWORD &outTempNum2 )
{
    assert( NULL != pStrName );
    assert( NULL != pStrSerialNum );
    if ( NULL == pStrName || NULL == pStrSerialNum )
        return;

    outTempNum1 =  *(DWORD*)pStrName;
    outTempNum2 = *(DWORD*)(pStrName+4);
    DWORD nSerialTemp1 = *(DWORD*)pStrSerialNum;
    DWORD nSerialTemp2 = *(DWORD*)(pStrSerialNum+4);

    outTempNum1 ^= nSerialTemp1;
    outTempNum2 ^= nSerialTemp2;

    outTempNum1 &= 0x7F3F1F0F; //0111 1111-0011 1111-0001 1111-0000 1111
                               //x31=0,x23=0,x15=0,x7=0
    outTempNum2 &= 0x07030100; //0111 0000-0011 0000-0001 0000-0000 0000
                               //x31=0,x23=0,x15=0,x7=0

    for (int idx=0; idx<8; ++idx)
    {
        std::bitset<32>  vBtsEAX( outTempNum1<<idx );
        std::bitset<32>  vBtsEBX( outTempNum2<<idx );
        std::bitset<32>  vBtsR(0);
        vBtsR[7] = vBtsEAX[31];
        vBtsR[6] = vBtsEAX[23];
        vBtsR[5] = vBtsEAX[15];
        vBtsR[4] = vBtsEAX[7];
        vBtsR[3] = vBtsEBX[31];
        vBtsR[2] = vBtsEBX[23];
        vBtsR[1] = vBtsEBX[15];
        vBtsR[0] = vBtsEBX[7];
        int nValue = vBtsR.to_ulong();
        if (idx <= 3)
        {
            nValue <<= 8*(3-idx);
            outTempNum1 ^= nValue;
        }
        else
        {
            nValue <<= 8*(7-idx);
            outTempNum2 ^=nValue;
        }
    }
}

void Func( DWORD nTempNum1, DWORD nTempNum2, 
           UINT &uCount, DWORD &nMagicNum )
{
    if ( uCount <= 0x80 ) return;
    UINT uTMCount = uCount;
    DWORD nValue = nTempNum1;
    uCount &= 0xff;       //取最低一个字节,根据下面程序的执行
    if ( uCount > 8 )     //其实为取CL的低四位.
    {
        nValue = nTempNum2;
        uCount >>= 4;     //取CL高4位.
    }
    
    //nValue为DWORD,占4个字节,如下图示:
    //|---|---|---|---|
    //| 1 | 2 | 3 | 4 |
    //|___|___|___|___|
    //
    UINT uRotateCount = (UINT)(log((float)uCount)/log(2.0f));
    switch( uRotateCount%4 )
    {
    case 1:
        nValue >>= 16; //|---|
        break;         //| 2 |
                       //|___|
    case 2:
        nValue >>= 8;  //|---|
        break;         //| 3 |
                       //|___|
    case 3:
        break;         //|---|
                       //| 4 |
                       //|___|
    default:
        nValue >>= 24; //|---|
        break;         //| 1 |
                       //|___|
    }
    uCount = (uTMCount&0xff00)>>8;
    nValue &=uCount;
    uCount = 0x80;
    while ( uCount&nValue ? 1:uCount>>=1 )
    {
        if ( !(uCount&nValue) ) continue;
        nValue ^= uCount;
        uCount ^= ((uCount&0xff)<<8);
        uTMCount &= 0xff00;
        uTMCount ^= uCount;
        ++nMagicNum;
        Func( nTempNum1, nTempNum2, uTMCount, nMagicNum );
        uCount = 0x80;
    }
    uCount = uTMCount; //In order to retrieve the return value
}

bool GenerateCorrect8BytesSerial( const DWORD nSrc, char szOUT[] )
{
    if ( NULL == szOUT )
        return false;

    char cCount = '0';
    char cV1(0);
    char cV2(0);
    char cV3(0);
    char cV4(0);
    char cS1(0);
    char cS2(0);
    char cS3(0);
    char cS4(0);
    while ( cCount <= '~' )
    {
        //第一字节
        cV1 = cCount^((nSrc&0xff000000)>>24);
        if ( 0 == cS1 && cV1 >= '0' && cV1 <= '~' )
            cS1 = cCount;

        //第二字节
        cV2 = cCount^((nSrc&0xff0000)>>16);
        if ( 0 == cS2 &&cV2 >= '0' && cV2 <= '~' )
            cS2 = cCount;

        //第三字节
        cV3 = cCount^((nSrc&0xff00)>>8);
        if ( 0 == cS3 && cV3 >= '0' && cV3 <= '~' )
            cS3 = cCount;

        //第四字节
        cV4 = cCount^((nSrc&0xff));
        if ( 0 == cS4 &&cV4 >= '0' && cV4 <= '~' )
            cS4 = cCount;

        if ( 0 != cS1 && 0 != cS2 && 0 != cS3 && 0 != cS4 )
        {
            szOUT[0] = cS1;
            szOUT[1] = cS2;
            szOUT[2] = cS3;
            szOUT[3] = cS4;
            szOUT[4] = cV4;
            szOUT[5] = cV3;
            szOUT[6] = cV2;
            szOUT[7] = cV1;
            return true;
        }
        ++cCount;
    }
    return false;
}

bool CalculateKeyStep2( DWORD nTempNum1, DWORD nTempNum2, 
                        const char *pStrName, char *szLast8BytesSerials )
{
    if ( NULL == szLast8BytesSerials || NULL == pStrName )
        return false;

    DWORD nMagicNum = 0xfedcba98;
    UINT  uCount = 0xff01;
    Func( nTempNum1, nTempNum2, uCount,nMagicNum );
    if ( 1 == uCount )
    {
        nTempNum1 = *(DWORD*)(pStrName+8);
        nTempNum2 = *(DWORD*)(pStrName+ 0xc);
        nTempNum1 ^= nTempNum2; 
        nTempNum1 ^= nMagicNum;
        nTempNum1 |= 0x40404040;
        nTempNum1 &= 0x77777777;
        return GenerateCorrect8BytesSerial( nTempNum1, szLast8BytesSerials );
    }
    return false;
}


void GenerateNBytesStrings( const char *pStrUserName, char *pStr, 
                            const UINT nBytes )
{
    assert( NULL != pStr );
    if( NULL ==  pStr ) return;
    
    while ( pStr[nBytes-1] <= '~' )
    {
        //
        //Add codes for what you want to deal with
        DWORD nT1(0), nT2(0);
        CalculateKeyStep1( pStrUserName, pStr, nT1, nT2 );
        char szLast8BytesSerials[9] = { 0 };
        if ( CalculateKeyStep2( nT1, nT2, pStrUserName, szLast8BytesSerials ) )
        {
            printf("%s's Serial is: %s%s\n", pStrUserName, pStr, szLast8BytesSerials );
        }
          //
        ++pStr[0];
        for(UINT idx=0; idx<nBytes && pStr[nBytes-1] <= '~'; ++idx)
        {
            if( pStr[idx] > '~' )
            {
                pStr[idx] = '0';
                pStr[idx+1]++;
            }
        }
    }
}


int _tmain(int argc, _TCHAR* argv[])
{
    const char szHint0[] = "***********This is the KeyGen for CycleCrackMe***********";
    const char szHint1[] = "Please Input your name:";
    std::cout << szHint0 << std::endl;
    std::cout << szHint1 << std::endl;
    char szUserName[32] = { 0 };
    std::cin >> szUserName;
    std::cout << "Please Waiting......" << std::endl;
    ExtendNameTo16Bytes( (char*)szUserName );
    char szSerialFirst8Bytes[] = "00000000";
    GenerateNBytesStrings( szUserName, szSerialFirst8Bytes, 8 );
    system("pause");
    return 0;
}
测试结果如下:

此次仅仅是利用了注册算法的进行的部分逆运算获取的注册码,且在程序实现过程中没有达成对所有存在的注册码的穷举,因此,需要对注册机程序做进一步的修改,使之达到既定的要求。

To be continued.......


AlbertLi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
逆向入门之crackme001-acid
m0_57803259的博客
10-19 248
Crackme
以诚支票打印 3.60 逆向 + 序列号生成
11-12
以诚支票打印 3.60 逆向 + 序列号生成以诚支票打印 3.60 逆向 + 序列号生成
c#使用椭圆签名算法制作软件序列号
weixin_34269583的博客
03-16 151
椭圆曲线密码学(Elliptic curve cryptography,缩写为ECC)是基于椭圆曲线数学的一种公钥密码的方法。椭圆曲线在密码学中的使用是在1985年由Neal Koblitz和Victor Miller分别独立提出的。 椭圆签名算法应该是微软最先用在软件保护上的,我们平常用的25位序列号就是基于椭圆签名算法的。理论上说,椭圆签名算法是很难破解的,因为...(省略,感兴趣的可以看看...
序列号生成器原理
Kalong Room
08-21 4566
(1)序列号保护机制 数学算法一项都是密码加密的核心,但在一般的软件加密中,它似乎并不太为人们关心,因为大多数时候软件加密本身实现的都是一种编程的技巧。但近几年来随着序列号加密程序的普及,数学算法软件加密中的比重似乎是越来越大了。 我们先来看看在网络上大行其道
RSA加密序列号生成
04-21
vc++6.0运行环境,提供注册码生成与注册,含注册机!!
机器码、序列号、认证码、注册码的生成算法(五)
lweiyue的专栏
06-06 8437
生成注册码(对称加密) 非对称加密自然是要更安全的,因为软件里没有私钥。但该方法最大的缺点就是密钥太长,注册码太长,无法手抄。鉴于我们假设破解者是无法对软件反编译的,使用对称加密也未尝不可。 流程跟上一节提到的基本一致。加密方法可以使用DES,密钥最短是64位,也就是16个字符。明文信息最长是7个字节,我们用4个字节存放机器码(相当于一个int),然后剩下的个字节存放过期信息。 下面是实现...
第十六章-序列号生成算法分析-Part1
Onlyone_1314的博客
08-26 1471
步骤:1、查看CrackMe程序信息2、使用OllyDbg加载CrackMe程序3、GetDlgItemTextA函数设置一个内存断点4、读取输入的序列号的位置5、输入的序列号的值6、输入的序列号计算的值保存在eax寄存器7、程序的计算逻辑8、计算输入的用户名9、验证输入的用户名字符串10、输入的用户名的值11、完整的用户名和序列号的比较逻辑12、用户名和序列号的注册机 序列号是基于名称变化的,也就是说我们将讨论序列号生成算法。 1、查看CrackMe程序信息 先运行一下CrackMe程序: 有File、
序列号解决过程分析
wangzhiyu12的博客
11-07 253
软件分析 软件 软件的下载链接 crackmeesy.zip 分析 点击运行一下,显示的窗口: 输入密码:aaaaaaaaa(随便瞎按的)点击check,如下图所示: 开始破解 1 搜索字符串,发现“Enter password…”字样: 点进去,下断点: 重新加载,并且运行,输入aaaaaaa,点击check,断点处停下来,一步一步F8 ...
逆向分析CrackMe系列——CrackMe004之注册码算法分析
草草君
08-26 1091
逆向分析CrackMe系列——CrackMe004注册码算法分析 本文内容承接前面的工作,记录了自己每一步的分析过程和思路,由于内容较长,故单独写一篇。 (本系列的CrackMe资源均来自我爱破解网). 18.通过前面的分析,初步认为生成算法就藏在刚刚的两个死循环中,我们一个一个来分析: 19. 从00457FDC开始单步执行,在00457FDC处将edx指向了 [ebp-C],我们对[ebp-C]进行监控,F8继续执行,发现在call 00423348函数调用后,栈中的数据被改变了,[ebp-C] 的
mybatis逆向生成代码模板包
06-04
mybatis逆向生成代码模板包 配合说明 新手小白也会用
mybatis_plus逆向生成插件
04-15
mybatis_plus idea逆向生成时用到的mybatis插件,版本为2.91的版本,需要下载对应 破解文件替换,idea反向生成才可以用
kxmall逆向生成工具
11-29
kxmall生鲜商场逆向生成工具项目,下载之后看下 readme 有教程。
mybatis-plus快速逆向生成代码
03-07
0.解压后查看说明文档。 1.pom.xml中增加对应引入包 2.复制FastAutoGeneratorTest.java到自己的项目中 然后更改引入包路径 3.更改数据库源 4.更改生成代码路径 5.执行main方法
简单演示程序序列号的破解
qq_45740212的博客
01-26 7753
使用ollydbg对程序序列号进行破解 仅作简单分享
【我爱破解】对某软件逆向分析与注册机编写
RayShark的博客
09-05 7905
对某软件逆向分析与注册机编写
第十七章-序列号生成算法分析-Part2
Onlyone_1314的博客
08-29 419
接下来我们分析Canasta 5.0这个CrackMe。 Delphi是使用Pascal语言 该CrackMe属于那种OK按钮开始不可用,当用户输入的用户名与序列号相匹配的时候才可以单击的例子。 我们首先安装程序,然后用OD打开canasta.exe,程序停在: 之后运行程序,打开About对话框,之后单击Enter License按钮: 提示说只有当用户输入的用户名和序列号组合正确时,OK按钮才会变为可用。这样我们就没办法通过在GetDlgItemTextA等获取用户输入的文本的函数下断点的方式,找
机器码、序列号、认证码、注册码的生成算法(一)
lweiyue的专栏
06-05 2万+
虽然标题列出了很多种“码”,但其实有些是一个意思,只是叫法不一样而已。我所介绍的算法也不是说绝对严谨、不能破解的,它们只是适用于某些场合而已。举个例子,我现在想设计一个长度是24个字符的注册码,但如果你用比较安全的RSA算法来做的话,可能你要用到1024个字节,转成Base64也有170个字符。又比如,认证码的用户都是体力劳动者,但你非要做得顶级黑客都无法攻破,感觉就没有意义了。以下所说的几种认证...
机器码、序列号、认证码、注册码的生成算法
lweiyue的专栏
06-05 1万+
机器码生成 如果我们希望注册码只能在一台电脑上使用,那就需要生成一个机器码。把机器码交给开发者,开发者经过一系列的运算之后,返回一个注册码。这个注册码已经包含了机器信息,只能用在一台电脑上。 机器码可以从很多硬件信息上得到,例如是MAC地址、磁盘ID、CUP序列号等。但这些信息有几个问题: (1)不一定唯一,很多同个型号的电脑,硬件信息都是一样的。 (2)不一定存在。例如没有网卡,MAC地...
Uninstall Tool 破解手记
热门推荐
AlbertLi
06-16 3万+
0x0 简述 Uninstall Tool是目前我所用过的最强的傻瓜化卸载工具了【专业手段除外】,软件本身很小巧,但是涉及卸载相关的功能却很全面,如下图介绍所示: 此工具有两种形态,一种是安装包版,一种是便携版也是我们常说的绿色版。本次破解以安装版为基础(PS:已验证便携版原理上与之一致)。 0x1 思路及方法 拿到软件,首先看下软件有无什么保护,结果发现仅仅有...
生成逆向最大分析算法代码
最新发布
05-31
以下是正逆向最大分析算法的 Python 代码实现: 正向最大匹配算法: ```python def forward_max_match(seg_list, word_dict): result = [] while seg_list: for i in range(len(seg_list), -1, -1): seg = "".join(seg_list[:i]) if seg in word_dict: result.append(seg) seg_list = seg_list[i:] break else: result.append(seg_list[0]) seg_list = seg_list[1:] return result ``` 逆向最大匹配算法: ```python def backward_max_match(seg_list, word_dict): result = [] while seg_list: for i in range(len(seg_list), 0, -1): seg = "".join(seg_list[i-1:]) if seg in word_dict: result.insert(0, seg) seg_list = seg_list[:i-1] break else: result.insert(0, seg_list[-1]) seg_list = seg_list[:-1] return result ``` 其中,`seg_list` 是待分词的文本,`word_dict` 是词典。这两个算法的实现思路非常类似,只是在匹配顺序上有所不同。 需要注意的是,这两个算法的性能并不理想,实际应用中可能需要进行优化,例如引入二分查找、动态规划等技术。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值