Board logo

标题: [转帖]创奇会计档案管理系统 3.0注册算法 [打印本页]

作者: yongmin    时间: 2006-12-4 10:46     标题: [转帖]创奇会计档案管理系统 3.0注册算法

破文标题】创奇会计档案管理系统 3.0注册算法
【破文作者】XXNB
【作者邮箱】支持PYG
【作者主页】http://free.ys168.com/?binbinbin7456
【破解工具】OD
【破解平台】xpsp2
【软件名称】创奇会计档案管理系统 2.0
【软件大小】2852KB
【原版下载】http://www.newhua.com/soft/49987.htm
【保护方式】名+码
【软件简介】 该系统根据国家会计档案整理标准设计通用性强、数据库灵活的备份与恢复使你的工作得到保证、数据EXCEL、WORD的导出使系
统具有更强扩展性。
【破解声明】向大侠们学习!!!只为学习!请尊重作者的劳动成功!
------------------------------------------------------------------------
【破解过程】
这两天学了下脱壳。
结果给我找到了个国产的用Aspr标准加壳的软件。verA0.15查到的是:Version: ASProtect 2.11 SKE build 03.13 Release [1]
我照大侠们的补区段大法顺利脱壳成功,然后发现算法还是比较简单,所以。放出来了。
1、下断函数:bp MessageBoxA。然后查看堆栈信息。我们能够返回到下面的关键代码处!!
006266C4  /.  55            push    ebp
006266C5  |.  8BEC          mov     ebp, esp
006266C7  |.  33C9          xor     ecx, ecx
006266C9  |.  51            push    ecx
006266CA  |.  51            push    ecx
006266CB  |.  51            push    ecx
006266CC  |.  51            push    ecx
006266CD  |.  51            push    ecx
006266CE  |.  51            push    ecx
006266CF  |.  53            push    ebx
006266D0  |.  56            push    esi
006266D1  |.  8BD8          mov     ebx, eax
006266D3  |.  33C0          xor     eax, eax
006266D5  |.  55            push    ebp
006266D6  |.  68 53686200   push    00626853
006266DB  |.  64:FF30       push    dword ptr fs:[eax]
006266DE  |.  64:8920       mov     dword ptr fs:[eax], esp
006266E1  |.  8D55 F4       lea     edx, dword ptr [ebp-C]
006266E4  |.  8B83 E0020000 mov     eax, dword ptr [ebx+2E0]
006266EA  |.  E8 B14FE5FF   call    0047B6A0
006266EF  |.  8B45 F4       mov     eax, dword ptr [ebp-C]           ;  用户名
006266F2  |.  8D55 FC       lea     edx, dword ptr [ebp-4]
006266F5  |.  E8 D636DEFF   call    00409DD0
006266FA  |.  8D55 F0       lea     edx, dword ptr [ebp-10]
006266FD  |.  8B83 E4020000 mov     eax, dword ptr [ebx+2E4]
00626703  |.  E8 984FE5FF   call    0047B6A0
00626708  |.  8B45 F0       mov     eax, dword ptr [ebp-10]          ;  假码
0062670B  |.  8D55 F8       lea     edx, dword ptr [ebp-8]
0062670E  |.  E8 BD36DEFF   call    00409DD0
00626713  |.  837D FC 00    cmp     dword ptr [ebp-4], 0             ;  是否为空
00626717  |.  74 06         je      short 0062671F
00626719  |.  837D F8 00    cmp     dword ptr [ebp-8], 0             ;  是否为空
0062671D  |.  75 16         jnz     short 00626735
0062671F  |>  A1 8CD76400   mov     eax, dword ptr [64D78C]
00626724  |.  8B00          mov     eax, dword ptr [eax]
00626726  |.  BA 68686200   mov     edx, 00626868
0062672B  |.  E8 5041FBFF   call    005DA880
00626730  |.  E9 03010000   jmp     00626838
00626735  |>  8B45 FC       mov     eax, dword ptr [ebp-4]           ;  用户名
00626738  |.  E8 CBD9DDFF   call    00404108                         ;  计算位数
0062673D  |.  83F8 0A       cmp     eax, 0A                          ;  要大于等于0A
00626740  |.  7D 16         jge     short 00626758
00626742  |.  A1 8CD76400   mov     eax, dword ptr [64D78C]
00626747  |.  8B00          mov     eax, dword ptr [eax]
00626749  |.  BA 88686200   mov     edx, 00626888
0062674E  |.  E8 2D41FBFF   call    005DA880
00626753  |.  E9 E0000000   jmp     00626838
00626758  |>  8D55 EC       lea     edx, dword ptr [ebp-14]
0062675B  |.  8B45 FC       mov     eax, dword ptr [ebp-4]           ;  用户名
0062675E  |.  E8 51F7FFFF   call    00625EB4                         ;  算法call,跟进《《《《《《《《《《《《《《
00626763  |.  8B45 EC       mov     eax, dword ptr [ebp-14]          ;  真码
00626766  |.  8B55 F8       mov     edx, dword ptr [ebp-8]           ;  假码
00626769  |.  E8 AADADDFF   call    00404218                         ;  比较函数
0062676E  |.  74 16         je      short 00626786                   ;  关键跳
00626770  |.  A1 8CD76400   mov     eax, dword ptr [64D78C]
00626775  |.  8B00          mov     eax, dword ptr [eax]
00626777  |.  BA AC686200   mov     edx, 006268AC
0062677C  |.  E8 FF40FBFF   call    005DA880
00626781  |.  E9 B2000000   jmp     00626838

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
2、跟进上面的算法call   00625EB4 得到:
00625EB4  /$  55            push    ebp
00625EB5  |.  8BEC          mov     ebp, esp
00625EB7  |.  81C4 ECFDFFFF add     esp, -214
00625EBD  |.  53            push    ebx
00625EBE  |.  56            push    esi
00625EBF  |.  57            push    edi
00625EC0  |.  33C9          xor     ecx, ecx
00625EC2  |.  898D ECFDFFFF mov     dword ptr [ebp-214], ecx
00625EC8  |.  894D F0       mov     dword ptr [ebp-10], ecx
00625ECB  |.  894D F4       mov     dword ptr [ebp-C], ecx
00625ECE  |.  8955 F8       mov     dword ptr [ebp-8], edx
00625ED1  |.  8945 FC       mov     dword ptr [ebp-4], eax
00625ED4  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
00625ED7  |.  E8 E0E3DDFF   call    004042BC
00625EDC  |.  33C0          xor     eax, eax
00625EDE  |.  55            push    ebp
00625EDF  |.  68 B95F6200   push    00625FB9
00625EE4  |.  64:FF30       push    dword ptr fs:[eax]
00625EE7  |.  64:8920       mov     dword ptr fs:[eax], esp
00625EEA  |.  8D45 F4       lea     eax, dword ptr [ebp-C]
00625EED  |.  E8 96DFDDFF   call    00403E88
00625EF2  |.  8B45 FC       mov     eax, dword ptr [ebp-4]
00625EF5  |.  E8 0EE2DDFF   call    00404108
00625EFA  |.  8BF8          mov     edi, eax
00625EFC  |.  85FF          test    edi, edi
00625EFE  |.  7E 48         jle     short 00625F48
00625F00  |.  BB 01000000   mov     ebx, 1                           ;  计数器
00625F05  |>  8B45 FC       /mov     eax, dword ptr [ebp-4]          ;  用户名到eax
00625F08  |.  0FB67418 FF   |movzx   esi, byte ptr [eax+ebx-1]       ;  逐个去用户名
00625F0D  |.  B8 D05F6200   |mov     eax, 00625FD0                   ;  固定字符串 (ASCII "dd23439olklj+jik32fg443243
\o2u8o@wgbv825ytryrl;5kgi\-klj`ashjs^df`afteyr65756tye7dg876s")
00625F12  |.  0FB64418 FF   |movzx   eax, byte ptr [eax+ebx-1]       ;  逐个取固定字符串
00625F17  |.  33F0          |xor     esi, eax                        ;  两个值异或
00625F19  |.  8D8D F0FEFFFF |lea     ecx, dword ptr [ebp-110]
00625F1F  |.  BA 03000000   |mov     edx, 3
00625F24  |.  8BC6          |mov     eax, esi                        ;  异或结果到eax
00625F26  |.  E8 01FFFFFF   |call    00625E2C
00625F2B  |.  8D95 F0FEFFFF |lea     edx, dword ptr [ebp-110]        ;  扩展成三位数,比如“6”->“006”;“15”->"015"
00625F31  |.  8D45 F0       |lea     eax, dword ptr [ebp-10]
00625F34  |.  E8 73E1DDFF   |call    004040AC
00625F39  |.  8B55 F0       |mov     edx, dword ptr [ebp-10]
00625F3C  |.  8D45 F4       |lea     eax, dword ptr [ebp-C]
00625F3F  |.  E8 CCE1DDFF   |call    00404110
00625F44  |.  43            |inc     ebx
00625F45  |.  4F            |dec     edi
00625F46  |.^ 75 BD         \jnz     short 00625F05
00625F48  |>  8D95 ECFDFFFF lea     edx, dword ptr [ebp-214]
00625F4E  |.  8B45 F4       mov     eax, dword ptr [ebp-C]           ;  这里就是循环的结果了。
00625F51  |.  E8 7A3EDEFF   call    00409DD0
00625F56  |.  8B95 ECFDFFFF mov     edx, dword ptr [ebp-214]
00625F5C  |.  8D85 F0FDFFFF lea     eax, dword ptr [ebp-210]
00625F62  |.  B9 FF000000   mov     ecx, 0FF
00625F67  |.  E8 78E1DDFF   call    004040E4
00625F6C  |.  8D85 F0FDFFFF lea     eax, dword ptr [ebp-210]
00625F72  |.  8D95 F0FEFFFF lea     edx, dword ptr [ebp-110]
00625F78  |.  E8 07FEFFFF   call    00625D84
00625F7D  |.  8D95 F0FEFFFF lea     edx, dword ptr [ebp-110]         ;  倒转字符串。这个就是真正的注册码了。
00625F83  |.  8B45 F8       mov     eax, dword ptr [ebp-8]
00625F86  |.  E8 21E1DDFF   call    004040AC
00625F8B  |.  33C0          xor     eax, eax
00625F8D  |.  5A            pop     edx
00625F8E  |.  59            pop     ecx
00625F8F  |.  59            pop     ecx
00625F90  |.  64:8910       mov     dword ptr fs:[eax], edx
00625F93  |.  68 C05F6200   push    00625FC0
00625F98  |>  8D85 ECFDFFFF lea     eax, dword ptr [ebp-214]
00625F9E  |.  E8 E5DEDDFF   call    00403E88


【破解总结】
------------------------------------------------------------------------
这个软件的2.0和3.0的算法差别就只是变换了下固定字符串。作者真是太忙了,看来。

1、判断用户名位数一定要大于等于10位数。
2、逐个取用户名字符串的Ascii码值到esi,
相应的逐个取固定字符串“dd23439olklj+jik32fg443243\o2u8o@wgbv825ytryrl;5kgi\-klj`ashjs^df`afteyr65756tye7dg876s”到eax
然后esi 异或 eax。得到的值转成10进制。如果不足三位的用0填充。如:“6”->“006”。“15”->“015”
3、把得到的异或值填充后的字符串连接后,再倒过来,就是最后真正的注册码了。
用户名:binbinbinbin
注册码:400500900200600190390390180290310600

用户名:unpackunpack
注册码:100510010820100670880780280660010710




欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2