【正文】 EDX 。 把 EAX 與 EDX異或。要搞清注冊算法，必須知道上面那個 ESI 寄存器值是如何產(chǎn)生的，這弄清楚后才能真正清楚這個 crackme 算法。 pModule = NULL 現(xiàn)在我們就要來設(shè)內(nèi)存斷點(diǎn)了。 這就是我們第一次斷下來的地方 7C932F3B 40 INC EAX 7C932F3C 4F DEC EDI 7C932F3D 4E DEC ESI 7C932F3E ^ 75 CB JNZ SHORT 7C932F40 8B4D 10 MOV ECX,DWORD PTR SS:[EBP+10] 上面就是我們中斷后反匯編窗口中的代碼。 |pVolumeSerialNumber = NULL 00401423 |. 6A 0B PUSH 0B 。 把計算后值送到內(nèi)存地址 40339C，這就是我們后來在 ESI 中看到的值 00401454 |. 61 POPAD 00401455 \. C3 RETN 通過上面的分析，我們知道基本算法是這樣的：先用 GetDriveTypeA 函數(shù)獲取磁盤類型參數(shù)，再用 GetVolumeInformationA 函數(shù)獲取這個 crackme 程序所在分區(qū)的卷標(biāo)。只 要你對編程有所了解，這個注冊機(jī)就很好寫了。 大家應(yīng)該看出來點(diǎn)什么了吧？函數(shù)調(diào)用是先把最后一個參數(shù)壓棧，參數(shù)壓棧順序是從后往前。先發(fā)到這感興趣的先消化一下。 |RootPathName = NULL 0040142C |. E8 A3000000 CALL JMP.amp。好了，這里弄清楚了，我們再接著談這個程序的算法。 每次計算結(jié)果再加上上次計算結(jié)果保存在 EDI 中 00401448 |. 49 DEC ECX 。 /pFileSystemNameSize = NULL 0040141B |. 6A 00 PUSH 0 。選好以后松開鼠標(biāo)左鍵，在我們選中的灰色部分上右擊： 經(jīng)過上面的操作，我們的內(nèi)存斷點(diǎn)就設(shè)好了（這里還有個要注意的地方：內(nèi)存斷點(diǎn)只在當(dāng)前調(diào)試的進(jìn)程中有效，就是說你如果 重新載入程序的話內(nèi)存斷點(diǎn)就自動刪除了。我們按上圖的操作在數(shù)據(jù)窗口中看一下： 從上圖我們可以看出內(nèi)存地址 40339C 處的值已經(jīng)有了，說明早就算過了。這下就很清楚了，隨便在上面那個修改 ESI 圖中顯示的有符號或無符號編輯框中復(fù)制一個，粘貼到我們調(diào)試的程序中的編輯框中試一下： 呵呵，成功了。 取下一個字符 004013FA |. 46 INC ESI 。現(xiàn)在我們按 F7 鍵跟進(jìn)： 004013D2 /$ 56 PUSH ESI 。 。 關(guān)鍵，要按 F7 鍵跟進(jìn)去 0040132D |. 3BC6 CMP EAX,ESI 。通過上面的操作后會彈出一個對話框，如圖： 對于這樣的編輯框中輸注冊碼的程序我們要設(shè)斷點(diǎn)首選的 API 函數(shù)就是 GetDlgItemText 及 GetWindowText。而這個子程序 CALL 我們在上面已經(jīng)分析過了。 把用戶名長度和 “Registered User”字串長度相減 00403B4B |. 77 02 JA SHORT 。你可以在 堆棧 SS:[0012F9AC]=00D44DB4, (ASCII CCDebuger) 這條內(nèi)容上左擊選擇一下，再點(diǎn)右鍵，在彈出菜單中選擇 “數(shù)據(jù)窗口中跟隨數(shù)值 ”，你就會在下面的數(shù)據(jù)窗口中看到你剛才輸入的內(nèi)容。 ASCII Registered User 00440F34 |. E8 F32BFCFF CALL 。先說一下一般軟件破解的流程：拿到一個軟件先別接著馬上用 OllyDBG 調(diào)試，先運(yùn)行一下，有幫助文檔的最好先看一下幫助，熟悉一下軟 件的使用方法，再看看注冊的方式。（相當(dāng)于 SoftICE 中的 F8） F4：運(yùn)行到選定位置。 除了直接啟動 OllyDBG 來調(diào)試外，我們還可以把 OllyDBG 添加到資源管理器右鍵菜單，這樣我們就可以直接在 .exe 及 .dll 文件上點(diǎn)右鍵選擇 “ 用 Ollydbg 打開 ” 菜單來進(jìn)行調(diào)試。 數(shù)據(jù)窗口：顯示內(nèi)存或文件的內(nèi)容。右鍵菜單可用于切換顯示方式。要把 OllyDBG 添加到資源管理器右鍵菜單，只需點(diǎn)菜單 選項(xiàng) 添加到瀏覽器，將會出現(xiàn)一個對話框，先點(diǎn)擊 “ 添加 Ollydbg 到系統(tǒng)資源管理器菜單 ” ，再點(diǎn)擊 “ 完成 ” 按鈕即可。作用就是直接運(yùn)行到光標(biāo)所在位置處暫停。如果是序列號方式可以先輸個假的來試一下，看看有什么反應(yīng)，也給我們破解留下一些有用的線索。 關(guān)鍵，要用 F7 跟進(jìn)去 00440F39 |. 75 51 JNZ SHORT 。而 EAX=00000009 指的是你輸入內(nèi)容的長度。 用戶名長度大于 “Registered User”長度則跳 00403B4D |. 01C2 ADD EDX,EAX 。 我們執(zhí)行到現(xiàn)在可以很容易得出結(jié)論，這個 CALL 也就是把我們輸入的注冊碼與 00440F4C 地址處指令后的 “GFX 754IER954” 作比較，相等則 OK。每個函數(shù)都有兩個版本，一個是 ASCII 版，在函數(shù)后添加一個 A 表示，如 GetDlgItemTextA，另一個是 UNICODE 版，在函數(shù)后添加一個 W 表示。 比較 0040132F |. 75 42 JNZ SHORT 。 0040147A $ FF25 30204000 JMP DWORD PTR DS:[amp。 ESI 入棧 004013D3 |. 33C0 XOR EAX,EAX 。 指針加 1，指向再下一個字符 004013FB | 0AC0 OR AL,AL 004013FD |.^ 75 F1 JNZ SHORT 。且慢高興，這個 crackme 是要求寫出注冊機(jī)的?，F(xiàn)在怎么辦呢？我們考慮一下，看情況程序是把這個值算出來以后寫在這個內(nèi)存地址，那我們要是能讓 OllyDBG 在程序開始往這個內(nèi)存地址寫東西的時候中斷下來，不就有可能知道目標(biāo)程序是怎么 算出這個值的嗎？說干就干，我們在 OllyDBG 的菜單上點(diǎn) 調(diào)試 重新開始，或者按 CTR+F2 組合鍵（還可以點(diǎn)擊工具欄上的那個有兩個實(shí)心左箭頭的圖標(biāo)）來重新載入程序。且內(nèi)存斷點(diǎn)每一時刻只能有一個。 |pFileSystemNameBuffer = NULL 0040141D |. 6A 00 PUSH 0 。 把磁盤類型參數(shù)作為循環(huán)次數(shù)，依次遞減 00401449 |. 83F9 00 CMP ECX,0 。前面我們已經(jīng)說了取磁盤類型參數(shù)做循環(huán)次數(shù)，再取卷標(biāo)值 ASCII 碼的逆序作為數(shù)值，有了這兩個值就開始計算了。 。另成立一個菜鳥入門群（ 6167883），目的在于探討剛剛接觸做輔助的同志們遇到的基礎(chǔ)和常識問題，（比如基礎(chǔ)思路？軟件報錯系統(tǒng)報錯？編程語言基礎(chǔ)問題？工具哪里有？哪個過NP？插件怎么用？等等電腦雞毛蒜皮的事，因?yàn)橐话銌栴}老鳥都懶得回答你，而你還沒動手就卡住了！當(dāng)然更歡迎高手來做老師指導(dǎo)我們。s maximum filename length LPDWORD lpFileSystemFlags, // address of file system flags LPTSTR lpFileSystemNameBuffer, // address of name of file system DWORD nFileSystemNameSize // length of lpFileSystemNameBuffer )。 把 ESI 中的值與 797A7553H 異或 這里算出來的 b 最后還要和 797A7553H 異或一下才是真正的注冊碼。 沒完繼續(xù) 0040144E |. 893D 9C334000 MOV DWORD PTR DS:[40339C],EDI 。 |pMaxFilenameLength = NULL 00401421 |. 6A 00 PUSH 0 ?，F(xiàn)在按 F9 鍵讓程序運(yùn)行，呵， OllyDBG 中斷了！ 7C932F39 8808 MOV BYTE PTR DS:[EAX],CL 。這里我們選 “ 是 ” ，程序被重新載入，我們停在下面這一句上： 00401000 /$ 6A 00 PUSH 0 。還記得我在前面說到的那個 ESI 寄存器值的問題嗎？現(xiàn)在看看我們上面的分析，其實(shí)對做注冊機(jī)來說是沒有多少幫助的。 把 EDX中的值與經(jīng)過上面運(yùn)算后的 ECX 中值相加送到 EAX 00401402 |. 33C2 XOR EAX,EDX 。 把注冊碼框中的數(shù)值送到 ESI 004013DB |. 33C9 XOR ECX,ECX 。 00401480 $ FF25 1C204000 JMP DWORD PTR DS:[amp。re done.,0 0040135F | 6A 00 PUSH 0 。對于編譯為 UNCODE 版的程序可能在 Win98 下不能運(yùn)行，因?yàn)? Win98 并非是完全支持 UNICODE 的系統(tǒng)?，F(xiàn)在我們在菜單 查看 斷點(diǎn) 上點(diǎn)擊一下，打開斷點(diǎn)窗口（也可以通過組合鍵 ALT+B 或點(diǎn)擊工具欄上那個 “B” 圖標(biāo)打開斷點(diǎn)窗口）： 為什么要做這一步，而不是把這個斷點(diǎn)刪除呢？這里主要是為了保險一點(diǎn)，萬一分析錯誤，我們還要接著分析，要是把斷點(diǎn)刪除了就要做一些重復(fù)工作了。 用戶名長度值右移 2 位，這里相當(dāng)于長度除以 4 00403B53 |. 74 26 JE SHORT 。如下圖所示： 現(xiàn)在我們來按 F8 鍵一步步分析一下： 00440F2C |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP4] 。 ASCII GFX754IER954 00440F51 |. E8 D62BFCFF CALL 。如果這些都不是，原程序只是一個功能不全的試用版，那要注冊為正式版本就要自己來寫代碼完善了。按下這個鍵如果沒有設(shè)置相應(yīng)斷點(diǎn)的話，被調(diào)試的程序?qū)⒅苯娱_始運(yùn)行。 OllyDBG 支持插件功能，插件的安裝也很簡單，只要把下載的插件（一般是個 DLL 文件）復(fù)制到 OllyDBG 安裝目錄下的 PLUGIN 目錄中就可以了， OllyDBG 啟動時會自動識別。 要調(diào)整上面各個窗口的大小的話，只需左鍵按住邊框拖動，等調(diào)整好了，重新啟動一下 OllyDBG 就可以生效了。同樣點(diǎn)擊標(biāo)簽 寄存器 (FPU) 可以切換顯示寄存器的方式。建議在對 OllyDBG 已比較熟的情況下再來進(jìn)行配置。（相當(dāng)于 SoftICE 中的 F10） F7：單步步入。剛開始學(xué)破解先不涉及殼的問題，我們主要是熟悉用 OllyDBG 來破解的一般方法。 ASCII Beggar off! 00440F93 |. BA 8C104400 MOV EDX,