Cracker初级教程之blowfish算法破解.docVIP

一、Blowfish算法简介Blowfish 加密算法是最早是由Bruce Schneier 于1993年11月发表的，目标是让人们可以用它来逐渐取代当时已经用了十几年并且已经被证明为“不太安全”的DES算法。Blowfish采用了 Feistel迭代结构（16圈）， 64比特的输入分组，可变长度的密钥（最长为448bits），最吸引人的是它有非常快的加解密速度以及完全免费的使用许可。Blowfish的快速是因为它在做加密和解密时主要利用了处理器的XOR和ADD，在实际测试中它比DES,IDEA,RC5等都要快很多。这样，它虽 然不是某些政府所标榜的加密标准，但却获得了自由软件业人士的喜爱，比如Linux下的SSH应用里面就包含了Blowfish算法（包括最新的2.6内 核）。Blowfish的具体算法可参见/ 上的说明和各种语言实现的源代码（C,JAVA,VB…），这里比较推荐Paul Kocher于1997年用C实现的代码，虽然不是完整实现，但是非常简洁和流畅，适合分析和理解。二、 blowfish加密算法基本知识blowfish也是一个分组对称加密算法，Blowfish加密可以分为两部分：1.密钥预处理：BlowFish算法的源密钥pbox和sbox是固定的。我们要加密一个信息，需要自己选择一个key， 用这个key对pbox和sbox进行变换，得到下一步信息加密所要用的key_pbox和key_sbox ，由于是在内存中产生大量的子密钥，在加密时直接引用即可，所以在加密时速度非常快。2.信息加密：对于64位的明文，分为两部分，进行16轮的的置换等操作，然后输入64位的密文。另外解密过程和加密过程类似。三、如何识别blowfish加密算法由于blowfish有内置的初始化固定密钥，所以可以找它内置的字符串如：pbox的串：886A3F24D308A385等。或者用peid的插件查看。据此可以判断有可能是用到blowfish密码算法，更精确的判断还得必须懂得一点blowfish的加解密过程。Blowfish的算法的P盒和S盒非常有特点，它们是π的16进制小数位，比如P盒是：0x243f6a88L, 0x85a308d3L, 0x13198a2eL, 0, 0xa4093822L, 0x299f31d0L,0x082efa98L, 0xec4e6c89L, 0x452821e6L, 0x38d01377L, 0xbe5466cfL, 0x34e90c6cL,0xc0ac29b7L, 0xc97c50ddL, 0x3f84d5b5L, 0xb5470917L, 0x9216d5d9L, 0x8979fb1bLS盒共有4个256字（32bit）长的数组，可参考源代码。四、Crackme实例分析本实例是lordor[Nuke Group]编写的Blowfish算法的Crackme程序（已收录到光盘，文件是crackme3.rar）。这个Crackme另外使用了DES和 MD5，不是主要的，只是为了让大家熟悉这两种算法。这次我们重点来看一下其中注册流程及blowfish相关的应用。由于程序没有加壳，可以用ollyDbg调试器载入程序分析。第一关，由于程序的check按键是灰色的，看来程序对输入的注册码进行实时的运算并激活，那么就用EnableWindow函数名下断，可以定位下面的代码：004027B2 PUSH crackme.0040A60C ; /String2 = 4002004027B7 LEA EAX,DWORD PTR SS:[ESP+F4] ; |004027BE PUSH EAX ; |String1004027BF MOV BYTE PTR SS:[ESP+FC],BL ; |004027C6 CALL DWORD PTR DS:[KERNEL32.lstrcmpA] ; \lstrcmpA004027CC TEST EAX,EAX004027CE PUSH 3EB ; /ControlID = 3EB (1003.)004027D3 PUSH EBP ; |hWnd004027D4 JNZ SHORT crackme.004027FD ; |004027D6 MOV ECX,DWORD PTR SS:[ESP+F8] ; |004027DD MOV DWORD PTR DS:[40CDA8],ECX ; |004027E3 MOV DWORD PTR DS:[40CDAC],EBX ; |004027E9 CALL DWORD PTR DS:[USER32.GetDlgItem] ; \GetDlgItem004027EF PU