【破文标题】十万个为什么 – 知识问答2006 破解分析
【破文作者】ssfighter@newsmth
【作者邮箱】ssfighter@gmail.com
【作者主页】
【破解工具】OllyICE PEiD0.94 VBExplorer
【破解平台】WinXP
【软件名称】十万个为什么 – 知识问答2006语言版
【软件大小】4.7M
【原版下载】
【保护方式】AsPack加壳,未注册有30次使用限制
【软件简介】一个知识问答的软件,有语言提示。
【破解声明】只是感兴趣,没有任何目的,如有错误之处还请大侠指出
————————————————————————
在天空软件站上找到的这个软件,题库还是很大的,没事的时候休闲一下还是很不错的选择,当然,我们的目的是破解这个软件。首先用PEiD侦壳,显示为 ASPack 2.12 -> Alexey Solodovnikov。用AsPackDie脱壳不表。脱壳之后程序无法启动,估计是有文件大小的检验,侦壳发现是用VB编写的。顺便说一句,这个程序防破解的限制还是比较多的,因此要有点耐心。
用Ollydbg载入,直接下API断点bp rtcFileLen,Ctrl+F9返回后来到这里:
004F0619 . FF15 98114000 call near ds:[<&MSVBVM60.#578>] ; MSVBVM60.rtcFileLen
004F061F . 3D 70190800 cmp eax, 81970 ; 比较文件大小
004F0624 . 7E 12 jle short unpacked.004F0638
004F0626 . C745 FC 05000>mov dword ptr ss:[ebp-4], 5
004F062D . FF15 34104000 call near ds:[<&MSVBVM60.__vbaEnd>] ; MSVBVM60.__vbaEnd
若要这里跳过文件大小校验,只要把jle改成jmp强制跳转即可,这样程序就可以启动了。
但是如果你是用Ollydbg等调试器载入的,程序会出错并自动关机,说明程序检验了调试器,虽然我是用odbg的修改版OllyICE载入的,可以正常启动不会出问题,但是还是先把检验去掉好些。用Ultra String Reference插件搜索所有UNICODE字符串,找Ollydbg,发现了两处参考,先到第一处看看,来到这里:
0055B668 . 68 58804400 push unpacked.00448058 ; ollydbg
0055B66D . 8D4D CC lea ecx, ss:[ebp-34]
0055B670 . 51 push ecx
0055B671 . FF15 B8114000 call near ds:[<&MSVBVM60.__vbaStrToAn>; MSVBVM60.__vbaStrToAnsi
0055B677 . 50 push eax
0055B678 . 6A 00 push 0
0055B67A . 6A 00 push 0
0055B67C . E8 0BC9EEFF call unpacked.00447F8C
0055B681 . 8945 A4 mov ss:[ebp-5C], eax
0055B684 . FF15 5C104000 call near ds:[<&MSVBVM60.__vbaSetSyst>; MSVBVM60.__vbaSetSystemError
0055B68A . 8B55 A4 mov edx, ss:[ebp-5C]
0055B68D . 8955 D8 mov ss:[ebp-28], edx
0055B690 . 8D4D CC lea ecx, ss:[ebp-34]
0055B693 . FF15 10124000 call near ds:[<&MSVBVM60.__vbaFreeStr>; MSVBVM60.__vbaFreeStr
0055B699 . C745 FC 10000>mov dword ptr ss:[ebp-4], 10
0055B6A0 . 837D D8 00 cmp dword ptr ss:[ebp-28], 0
0055B6A4 . 0F84 93000000 je unpacked.0055B73D
注意这个跳转,如果不跳的话会来到这里:
0055CBD7 . C745 FC 11000>mov dword ptr ss:[ebp-4], 11
0055CBDE . C745 B4 F0834>mov dword ptr ss:[ebp-4C], unpacked.>; rundll32 user.exe,exitwindows
0055CBE5 . C745 AC 08000>mov dword ptr ss:[ebp-54], 8
0055CBEC . 8D55 AC lea edx, ss:[ebp-54]
0055CBEF . 8D4D BC lea ecx, ss:[ebp-44]
0055CBF2 . FF15 BC114000 call near ds:[<&MSVBVM60.__vbaVarDup>>; MSVBVM60.__vbaVarDup
0055CBF8 . 6A 00 push 0
0055CBFA . 8D55 BC lea edx, ss:[ebp-44]
0055CBFD . 52 push edx
0055CBFE . FF15 14114000 call near ds:[<&MSVBVM60.#600>] ; MSVBVM60.rtcShell
0055CC04 . DD5D A4 fstp qword ptr ss:[ebp-5C]
0055CC07 . 8D4D BC lea ecx, ss:[ebp-44]
0055CC0A . FF15 20104000 call near ds:[<&MSVBVM60.__vbaFreeVar>; MSVBVM60.__vbaFreeVar
0055CC10 . C745 FC 12000>mov dword ptr ss:[ebp-4], 12
0055CC17 . C745 B4 30844>mov dword ptr ss:[ebp-4C], unpacked.>; shutdown -s
0055CC1E . C745 AC 08000>mov dword ptr ss:[ebp-54], 8
0055CC25 . 8D55 AC lea edx, ss:[ebp-54]
0055CC28 . 8D4D BC lea ecx, ss:[ebp-44]
0055CC2B . FF15 BC114000 call near ds:[<&MSVBVM60.__vbaVarDup>>; MSVBVM60.__vbaVarDup
0055CC31 . 6A 00 push 0
0055CC33 . 8D45 BC lea eax, ss:[ebp-44]
0055CC36 . 50 push eax
0055CC37 . FF15 14114000 call near ds:[<&MSVBVM60.#600>] ; MSVBVM60.rtcShell
呵呵,看到上面的东西了吧,当程序检测到有调试器在运行的时候就会运行shutdown -s命令关机,因此把55B6A4处的je改成jmp强制跳转即可。当然,这还没完,程序还检测了一次调试器,记得刚才的ollydbg有两处参考吧,来到第二处,在这里:
0055E2A4 . 68 08854400 push unpacked.00448508 ; ollydbg
0055E2A9 . FF15 D8104000 call near ds:[<&MSVBVM60.__vbaStrCmp>>; MSVBVM60.__vbaStrCmp
0055E2AF . F7D8 neg eax
0055E2B1 . 1BC0 sbb eax, eax
0055E2B3 . 40 inc eax
0055E2B4 . F7D8 neg eax
0055E2B6 . 66:0BF0 or si, ax
往前后翻翻看一看,这里简直汇集了众多破解工具,程序当检测到任何一种破解工具就会自动关机。来到下面的判断的地方:
0055E65A . 83C4 64 add esp, 64
0055E65D . 0FBF8D ECFDFF>movsx ecx, word ptr ss:[ebp-214]
0055E664 . 85C9 test ecx, ecx
0055E666 . 0F84 E6000000 je unpacked.0055E752
把这里的跳转也改成jmp即可,到此为止,放破解的限制基本解除,但是程序还是不允许Smart Check调试,我不知道他还有什么地方还有限制了,而且这个程序一启动的时候是启动一个fpj.frm的窗口,这个窗口先检查有没有调试器正在跟踪,如果没有的话就运行,否则自动关机。
到这里的时候我已经运行了20多次了,因此必须赶紧知道程序对30次使用限制的东西在哪儿,用 RegSnap可以看到程序在每次运行在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\QQPP里面修改了 jiv1b这个键值,这里记录的就是已经使用的次数。注意,如果前面没有把放破解的限制去掉的话,是不能在程序运行的时候使用RegSnap的,否则就会关机,当然最简单的办法是在程序运行前执行一次扫描,程序运行后再执行一次扫描,呵呵,这属于小trick了,本不属于本文的范围的。
言归正传,来到选择帮助-注册菜单,程序又退出了,看来作者也真够狡猾的,这里居然又验了一次文件大小,仍然下API断点bp rtcFileLen,停在这里:
00566A6B FF15 98114000 call near ds:[<&MSVBVM60.#578>] ; MSVBVM60.rtcFileLen
00566A71 3D 52FA0800 cmp eax, 8FA52
00566A76 7E 0D jle short unpacked.00566A85
仍然是把这里对jle改成jmp强制跳转即可,至此所有限制都已取消了,就剩下分析注册码的计算过程了。
用VBExplorer查看一下确定按钮的地址00566B30,在这里下断点,odbg载入,运行,填入用户名ssfighter,注册码12345,确定后断在这里:
00566B30 > \55 push ebp
00566B31 . 8BEC mov ebp, esp
00566B33 . 83EC 18 sub esp, 18
00566B36 . 68 D6474000 push <jmp.&MSVBVM60.__vbaExceptHandle>; SE 处理程序安装
00566B3B . 64:A1 0000000>mov eax, fs:[0]
00566B41 . 50 push eax
由于VB的程序比较长,全写下来太占地方了,我们一点点跟踪,略过前面一堆代码,来到这里:
00566FEF . 50 push eax ; 用户名
00566FF0 . FF15 24104000 call near ds:[<&MSVBVM60.__vbaLenBstr>] ; 取用户名长度
00566FF6 . 8BF0 mov esi, eax
00566FF8 . F7DE neg esi
00566FFA . 1BF6 sbb esi, esi
00566FFC . 46 inc esi
00566FFD . F7DE neg esi
00566FFF . 8B4D B0 mov ecx, ss:[ebp-50]
00567002 . 51 push ecx ; 注册码
00567003 . FF15 24104000 call near ds:[<&MSVBVM60.__vbaLenBstr>] ; 取注册码长度
00567009 . F7D8 neg eax
0056700B . 1BC0 sbb eax, eax
0056700D . 40 inc eax
0056700E . F7D8 neg eax
00567010 . 66:0BF0 or si, ax
00567013 . 66:89B5 68FEF>mov ss:[ebp-198], si
0056701A . 8D55 B0 lea edx, ss:[ebp-50]
0056701D . 52 push edx
0056701E . 8D45 B4 lea eax, ss:[ebp-4C]
00567021 . 50 push eax
00567022 . 6A 02 push 2
00567024 . FF15 8C114000 call near ds:[<&MSVBVM60.__vbaFreeStrList>; MSVBVM60.__vbaFreeStrList
0056702A . 83C4 0C add esp, 0C
0056702D . 8D4D 90 lea ecx, ss:[ebp-70]
00567030 . 51 push ecx
00567031 . 8D55 94 lea edx, ss:[ebp-6C]
00567034 . 52 push edx
00567035 . 6A 02 push 2
00567037 . FF15 40104000 call near ds:[<&MSVBVM60.__vbaFreeObjList>; MSVBVM60.__vbaFreeObjList
0056703D . 83C4 0C add esp, 0C
00567040 . 0FBF85 68FEFF>movsx eax, word ptr ss:[ebp-198]
00567047 . 85C0 test eax, eax
00567049 . 0F84 CB000000 je unpacked.0056711A
这里只要用户名和注册码都不是空的即可,再往下跟,来到这里:
0056719B > \6A 01 push 1
0056719D . 8B4D B4 mov ecx, ss:[ebp-4C]
005671A0 . 51 push ecx
005671A1 . FF15 D8114000 call near ds:[<&MSVBVM60.#616>] ; MSVBVM60.rtcLeftCharBstr
这里是取用户名最左边一位,再往后看
00567245 > \6A 01 push 1
00567247 . 8B45 B4 mov eax, ss:[ebp-4C]
0056724A . 50 push eax
0056724B . FF15 E4114000 call near ds:[<&MSVBVM60.#618>] ; MSVBVM60.rtcRightCharBstr
这里是取用户名最后一位
00567251 . 8BD0 mov edx, eax
00567253 . 8D4D DC lea ecx, ss:[ebp-24]
00567256 . FF15 E8114000 call near ds:[<&MSVBVM60.__vbaStrMove>] ; MSVBVM60.__vbaStrMove
0056725C . 8D4D B4 lea ecx, ss:[ebp-4C]
0056725F . FF15 10124000 call near ds:[<&MSVBVM60.__vbaFreeStr>] ; MSVBVM60.__vbaFreeStr
00567265 . 8D4D 94 lea ecx, ss:[ebp-6C]
00567268 . FF15 14124000 call near ds:[<&MSVBVM60.__vbaFreeObj>] ; MSVBVM60.__vbaFreeObj
0056726E . C745 FC 0E000>mov dword ptr ss:[ebp-4], 0E
00567275 . 8B4D BC mov ecx, ss:[ebp-44]
00567278 . 51 push ecx
00567279 . FF15 44104000 call near ds:[<&MSVBVM60.#516>] ; MSVBVM60.rtcAnsiValueBstr
0056727F . 66:6BC0 0B imul ax, ax, 0B ; 用户名第一位ascii码乘以0B, 记作a
00567283 . 0F80 17110000 jo unpacked.005683A0
00567289 . 66:8945 B8 mov ss:[ebp-48], ax
0056728D . C745 FC 0F000>mov dword ptr ss:[ebp-4], 0F
00567294 . 8B55 DC mov edx, ss:[ebp-24]
00567297 . 52 push edx
00567298 . FF15 44104000 call near ds:[<&MSVBVM60.#516>] ; MSVBVM60.rtcAnsiValueBstr
0056729E . 66:2D 4E00 sub ax, 4E ; 用户名最后一位ascii码减去4E,记作b
005672A2 . 0F80 F8100000 jo unpacked.005683A0
005672A8 . 66:8945 D0 mov ss:[ebp-30], ax
005672AC . C745 FC 10000>mov dword ptr ss:[ebp-4], 10
005672B3 . 66:8B45 B8 mov ax, ss:[ebp-48]
005672B7 . 66:0345 D0 add ax, ss:[ebp-30] ; a+b,记作c
005672BB . 0F80 DF100000 jo unpacked.005683A0
005672C1 . 66:8945 D8 mov ss:[ebp-28], ax
005672C5 . C745 FC 11000>mov dword ptr ss:[ebp-4], 11
005672CC . 6A 04 push 4
005672CE . 66:8B4D D8 mov cx, ss:[ebp-28]
005672D2 . 51 push ecx
005672D3 . FF15 08104000 call near ds:[<&MSVBVM60.__vbaStrI2>] ; c转化成字符串(10进制)
005672D9 . 8BD0 mov edx, eax
005672DB . 8D4D B4 lea ecx, ss:[ebp-4C]
005672DE . FF15 E8114000 call near ds:[<&MSVBVM60.__vbaStrMove>] ; MSVBVM60.__vbaStrMove
005672E4 . 50 push eax
005672E5 . FF15 E4114000 call near ds:[<&MSVBVM60.#618>] ; 取c的最右边4位
005672EB . 8BD0 mov edx, eax
005672ED . 8D4D D4 lea ecx, ss:[ebp-2C]
005672F0 . FF15 E8114000 call near ds:[<&MSVBVM60.__vbaStrMove>] ; MSVBVM60.__vbaStrMove
005672F6 . 8D4D B4 lea ecx, ss:[ebp-4C]
005672F9 . FF15 10124000 call near ds:[<&MSVBVM60.__vbaFreeStr>] ; MSVBVM60.__vbaFreeStr
005672FF . C745 FC 12000>mov dword ptr ss:[ebp-4], 12
00567306 . 8B55 D4 mov edx, ss:[ebp-2C]
00567309 . 52 push edx
0056730A . 68 90644400 push unpacked.00446490
0056730F . FF15 D8104000 call near ds:[<&MSVBVM60.__vbaStrCmp>] ; c和”0″比较
00567315 . 8BF0 mov esi, eax
00567317 . F7DE neg esi
00567319 . 1BF6 sbb esi, esi
0056731B . F7DE neg esi
0056731D . 8B45 D4 mov eax, ss:[ebp-2C]
00567320 . 50 push eax
00567321 . 68 F0614400 push unpacked.004461F0
00567326 . FF15 D8104000 call near ds:[<&MSVBVM60.__vbaStrCmp>] ; c和”"比较
0056732C . F7D8 neg eax
0056732E . 1BC0 sbb eax, eax
00567330 . F7D8 neg eax
00567332 . 23F0 and esi, eax
00567334 . 85F6 test esi, esi
00567336 . 75 15 jnz short unpacked.0056734D ; 前面的两个比较取与,都不等则跳
00567338 . C745 FC 13000>mov dword ptr ss:[ebp-4], 13
0056733F . BA 8C8F4400 mov edx, unpacked.00448F8C ; UNICODE “8723″
00567344 . 8D4D D4 lea ecx, ss:[ebp-2C]
00567347 . FF15 80114000 call near ds:[<&MSVBVM60.__vbaStrCopy>] ; MSVBVM60.__vbaStrCopy
0056734D > \C745 FC 15000>mov dword ptr ss:[ebp-4], 15
注意这里,如果计算出来的c是”0″或者是空串则令c为”8723″。
再往下跳过一堆看不太懂的代码,来到这里:
005674D9 . 51 push ecx
005674DA . 6A 02 push 2
005674DC . 8B55 B4 mov edx, ss:[ebp-4C]
005674DF . 52 push edx
005674E0 . FF15 B4104000 call near ds:[<&MSVBVM60.#631>] ; 取用户名第二位
005674E6 . 8BD0 mov edx, eax
005674E8 . 8D4D B0 lea ecx, ss:[ebp-50]
005674EB . FF15 E8114000 call near ds:[<&MSVBVM60.__vbaStrMove>] ; MSVBVM60.__vbaStrMove
005674F1 . 50 push eax
005674F2 . 68 08694400 push unpacked.00446908
005674F7 . FF15 D8104000 call near ds:[<&MSVBVM60.__vbaStrCmp>] ; 和”4″比较
005674FD . 8BF0 mov esi, eax
005674FF . F7DE neg esi
00567501 . 1BF6 sbb esi, esi
00567503 . 46 inc esi
00567504 . F7DE neg esi
00567506 . 8B45 AC mov eax, ss:[ebp-54]
00567509 . 50 push eax
0056750A . FF15 24104000 call near ds:[<&MSVBVM60.__vbaLenBstr>] ; 取用户名位数
00567510 . 33C9 xor ecx, ecx
00567512 . 83F8 07 cmp eax, 7 ; 用户名位数和7比较
00567515 . 0F94C1 sete cl ; 如果不等则cl=0,相等则cl=1
00567518 . F7D9 neg ecx
0056751A . 66:23F1 and si, cx
0056751D . 8B55 A8 mov edx, ss:[ebp-58]
00567520 . 52 push edx
00567521 . 6A 02 push 2
00567523 . 8B45 D4 mov eax, ss:[ebp-2C]
00567526 . 50 push eax
00567527 . FF15 D8114000 call near ds:[<&MSVBVM60.#616>] ; 取c的前两位
0056752D . 8BD0 mov edx, eax
0056752F . 8D4D A4 lea ecx, ss:[ebp-5C]
00567532 . FF15 E8114000 call near ds:[<&MSVBVM60.__vbaStrMove>] ; MSVBVM60.__vbaStrMove
00567538 . 50 push eax
00567539 . 68 9C8F4400 push unpacked.00448F9C ; UNICODE “0735″
0056753E . FF15 54104000 call near ds:[<&MSVBVM60.__vbaStrCat>] ; c的前两位和0735连成一串
00567544 . 8BD0 mov edx, eax
00567546 . 8D4D A0 lea ecx, ss:[ebp-60]
00567549 . FF15 E8114000 call near ds:[<&MSVBVM60.__vbaStrMove>] ; MSVBVM60.__vbaStrMove
0056754F . 50 push eax
00567550 . 6A 02 push 2
00567552 . 8B4D D4 mov ecx, ss:[ebp-2C]
00567555 . 51 push ecx
00567556 . FF15 E4114000 call near ds:[<&MSVBVM60.#618>] ; 取c的后两位
0056755C . 8BD0 mov edx, eax
0056755E . 8D4D 9C lea ecx, ss:[ebp-64]
00567561 . FF15 E8114000 call near ds:[<&MSVBVM60.__vbaStrMove>] ; MSVBVM60.__vbaStrMove
00567567 . 50 push eax
00567568 . FF15 54104000 call near ds:[<&MSVBVM60.__vbaStrCat>] ; 把刚才得到的串和c的后两位再串起来
0056756E . 8BD0 mov edx, eax
00567570 . 8D4D 98 lea ecx, ss:[ebp-68]
00567573 . FF15 E8114000 call near ds:[<&MSVBVM60.__vbaStrMove>] ; MSVBVM60.__vbaStrMove
00567579 . 50 push eax
0056757A . FF15 D8104000 call near ds:[<&MSVBVM60.__vbaStrCmp>] ; 真假码比较
00567580 . F7D8 neg eax
00567582 . 1BC0 sbb eax, eax
00567584 . 40 inc eax
00567585 . F7D8 neg eax
00567587 . 66:23F0 and si, ax
注意,这里真实的注册码已经计算出来,就是把0735插入到c的前两位与后两位之间,但是仅仅注册码对了还不行。再看下面:
005675DF . 0FBF8D 60FEFF>movsx ecx, word ptr ss:[ebp-1A0]
005675E6 . 85C9 test ecx, ecx
005675E8 . 0F84 77090000 je unpacked.00567F65
往前翻翻,这里其实是进行了三次判断,只有这三次判断都满足才能算注册通过,这三次分别是用户名第二位是否是4,用户名位数是否为7位,注册码是否正确,只有这三个都正确才能注册通过。当然如果想爆破都话把这里nop掉也就可以了,这个程序启动时不会验证用户名和注册码的关系,注册通过只是在注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\QQPP这里加上一个jiv3a的键,键值为5,启动时只判断这个是否正确来决定是否是注册版。
顺便写上启动时候的判断,在这里:
004F2252 . BA 84714400 mov edx, unpacked.00447184 ; jiv3a
004F2257 . 8D4D C8 lea ecx, ss:[ebp-38]
004F225A . FF15 80114000 call near ds:[<&MSVBVM60.__vbaStrCopy>] ; MSVBVM60.__vbaStrCopy
004F2260 . BA 50714400 mov edx, unpacked.00447150 ; software\microsoft\qqpp
004F2265 . 8D4D CC lea ecx, ss:[ebp-34]
004F2268 . FF15 80114000 call near ds:[<&MSVBVM60.__vbaStrCopy>] ; MSVBVM60.__vbaStrCopy
004F226E . C785 E4FEFFFF>mov dword ptr ss:[ebp-11C], 80000002
004F2278 . 8D85 1CFFFFFF lea eax, ss:[ebp-E4]
004F227E . 50 push eax
004F227F . 8D4D C8 lea ecx, ss:[ebp-38]
004F2282 . 51 push ecx
004F2283 . 8D55 CC lea edx, ss:[ebp-34]
004F2286 . 52 push edx
004F2287 . 8D85 E4FEFFFF lea eax, ss:[ebp-11C]
004F228D . 50 push eax
004F228E . E8 CDC60600 call unpacked.0055E960
004F2293 . 8D4D C8 lea ecx, ss:[ebp-38]
004F2296 . 51 push ecx
004F2297 . 8D55 CC lea edx, ss:[ebp-34]
004F229A . 52 push edx
004F229B . 6A 02 push 2
004F229D . FF15 8C114000 call near ds:[<&MSVBVM60.__vbaFreeStrList>; MSVBVM60.__vbaFreeStrList
004F22A3 . 83C4 0C add esp, 0C
004F22A6 . C745 FC 2B000>mov dword ptr ss:[ebp-4], 2B
004F22AD . 8B45 D4 mov eax, ss:[ebp-2C]
004F22B0 . 50 push eax
004F22B1 . 68 94714400 push unpacked.00447194 ; 5
004F22B6 . FF15 D8104000 call near ds:[<&MSVBVM60.__vbaStrCmp>] ; MSVBVM60.__vbaStrCmp
004F22BC . 85C0 test eax, eax
004F22BE . 0F85 51010000 jnz unpacked.004F2415
当然,把这里nop掉也可以实现爆破。
————————————————————————
总结一下,程序注册的规律是:用户名必须是7位,用户名第二位必须是4。
注册码的计算方法(以下均为10进制):取用户名第一位,ascii码乘以11,再取用户名最后一位,ascii码减去78,两者求和,如果这个和大于4位则取最后4位,如果结果是0或者不存在则令其是8723,并在这个数的前两位和后两位之间插入0735,这八位数字就是注册码。
顺便说一下,这个程序作者好像花了很多功夫在防破解上面,但是最后验证程序是否注册却只是单纯地检验了一个键值是否正确,不免显得有点头重脚轻,这样做可以很容易被爆破,希望作者能够将这里改进一下。
————————————————————————
【版权声明】转载请保持文章的完整性,并注明原作者的信息,谢谢:)
欢迎来到ssfighter的个人博客——且行且远。推荐使用Firefox浏览器,请不要使用老掉牙的IE6,部分网页可能显示不正常。