使用OllyDbg从零开始Cracking-16第十六章-序列号生成算法分析-Part1.pdfVIP

第十六章-序列号生成算法分析-Part1 本章,我们分析的CrackMe与之前的不同之 处在于序列号是基于名称变化的,也就是 说我们将讨论序列号生成算法。 尽管分析的技巧和之前的很相似,我们还 是得来看几个例子巩固一下。 我们先来分析一下CrueHead’a的CrackMe 的序列号生成算法。 用OD加载它。 我们停在了入口点处。 我们来看看该程序使用什么API函数来获 取用户输入的序列号。 我们可以看到GetDlgItemTextA这个API函 数,我们给这个API函数设置断点,输入用 户名和正确的序列号看看是否会中断下来 。 运行起来。 我们单击OK按钮,断在了刚刚设置的断点 处,我们来看看堆栈中的参数情况。 Buffer指向的缓冲区存放用户输入的文本 ,起始地址为40218E,我们在Buffer参数上 面单击鼠标右键选择-Follow in Dump来 在数据窗口中定位到该缓冲区。 由于此函数还没有执行,所有缓冲区里面 是空的,我们选择主菜单中的Debug-Execu te till return,我们就到了ret指令处, 我们按F7键返回到主模块中。 我们可以看到缓冲区中保存了我们输入的 名字,程序会进行相应的处理生成正确的 序列号。如果我们想编写注册机的话,我 们得分析由名称生成序列号的算法,但是 现在我们暂时不关心生成算法,我们只是 想看看生成的序列号是多少。 第二次断在了GetDlgItemTextA处,新的缓 冲区保存用户输入的序列号,起始地址为4 0217E,我们在数据窗口中定位到 该缓冲区。 同样由于函数还没有执行,缓冲区里面是 空的,我们通过选择主菜单中的Debug-Exe cute till return执行到返回,然后按F7 键返回到主模块中。 好了,现在缓冲区里面存放了我们输入的 错误序列号,从程序的角度出发,程序就会 取用户输入的错误的序列号与根据名称生 成的正确序列号进行比较,所以我们可以 对错误序列号设置内存访问断点,看看程 序的哪些地方使用了。 我们拖选中错误的序列号,单击鼠标右键 选择-Breakpoint-Memory,on access,然 后运行起来。 可以看到该程序尝试读取错误序列号的第 一个字节并且将保存到BL寄存器中,我们 按F7键。 可以看到BL寄存器保存的值为39,是错误 序列号的第一个字节,我们需要跟踪程序 的处理过程,如果可能的话,记录下该程序 的相关数学运算。 这里判断BL的值是否为零,为零说明到了 字符串结尾,如果到了字符串结尾将结束 循环,我们按F7键单步。 因为BL不为零,所以跳转不会发生,将执行 SUB BL,30指令。 BL的值减去30等于9,即错误序列号第一个 字符的值。 下一条指令EDI乘以EAX。 这两个寄存器被初始化为以下值:EAX寄存 器循环体开始处被初始化为了0A,EDI寄存 器在循环体之前被XOR EDI,EDI指令初始 化为零了。 按F7键,我们可以看到两个操作数相乘,并 且IMUL指令会考虑符号位,并且结果被保 存到第一个操作数中。 相乘的结果为零,保存在EDI中。 接着EDI加上EBX。 EDI的结果为9,下一条指令INC ESI,ESI递 增1,然后跳转到循环开始处,读取错误序 列号的下一个字节。 AL依然被初始化为了0A,错误序列号的下 一个字节值为38,不为零,所以将减去30, 然后执行IMUL指令。 可以看到上次循环的结果EDI乘以EAX的值 (依然是初始化为了0A),结果依然保存在E DI中。 现在EDI的值为5A,下一条指令,EDI将加上 EBX。 以上结果依然保存到EDI中,一步步跟踪这 个循环是烦的,如果略过这个过程呢?我们 接下来将介绍。 我们只需要在循环的下一条指令处设置一 个断点,然后按F9键,就会中断下来,我们 看看EDI的值为多少。 我们双击EDI寄存器。 EDI的值为十六进制形式,第二行显示的是 有符号的十进制值,也就是我们输入的错 误序列号的值,即以上循环结束EDI保存了 错误序列号的十六进制值。 概括来说就是: 序列号将被 转化为十进制者十六进制的 5E6774A。 下一条指令,EDI异或1234。 结果为5E6657E,然后保存到EBX寄存器中, 接着就到了RET指令。 我们可以看到RET返回以后,EAX与EBX进行 比较,根据比较的结果来决定是否跳转到 正确序列号部分。 我们可以看到EBX与EAX进行比较,EAX的值 为547B。 由于