系统 : Windows xp

程序 : cytom!c's

程序下载地址 :http://pan.baidu.com/s/1nulAYBv

要求 : 伪造KeyFile

使用工具 :IDA & OD & Hex Workshop

可在看雪论坛中查找关于此程序的破文:http://bbs.pediy.com/showthread.php?t=30229

IDA载入程序,找出提示破解成功的字串“Valid Key file found!”并定位关键代码:

   .  BA 4C674200   mov     edx, 0042674C                    ;  ASCII "ctm_cm02.key"

   .  8D85 A8FEFEFF lea     eax, dword ptr [ebp+FFFEFEA8]

0042657D   .  E8 3FD8FDFF   call    00403DC1

   .  BA    mov     edx,

   .  8D85 A8FEFEFF lea     eax, dword ptr [ebp+FFFEFEA8]

0042658D   .  E8 1EDCFDFF   call    004041B0

   .  E8 4DC1FDFF   call    004026E4

   .  85C0          test    eax, eax

   .  0F85  jnz

0042659F   .  8D85 A8FEFEFF lea     eax, dword ptr [ebp+FFFEFEA8]

004265A5   .  E8 5AD9FDFF   call    00403F04                         ;  CreateFile,并获取长度

004265AA   .  E8 F9C0FDFF   call    004026A8

004265AF   .   FC       mov     dword ptr [ebp-], eax

004265B2   .  837D FC     cmp     dword ptr [ebp-],              ;  长度为0?

004265B6   .            jnz     short 004265CD

004265B8   .  BA    mov     edx,                     ;  ASCII "Key file is empty!"

004265BD   .  8B83 B0010000 mov     eax, dword ptr [ebx+1B0]

004265C3   .  E8 CCB6FEFF   call    00411C94

004265C8   .  E9    jmp     004266F5

004265CD   >  817D FC >cmp     dword ptr [ebp-],          ;  UNICODE "#envTSLOGsss1964=1032992"

004265D4   .  7E          jle     short 004265DD

004265D6   .  C745 FC >mov     dword ptr [ebp-],          ;  UNICODE "#envTSLOGsss1964=1032992"

004265DD   >  6A          push

004265DF   .  8D95 FCFFFEFF lea     edx, dword ptr [ebp+FFFEFFFC]

004265E5   .  8B4D FC       mov     ecx, dword ptr [ebp-]

004265E8   .  8D85 A8FEFEFF lea     eax, dword ptr [ebp+FFFEFEA8]

004265EE   .  E8 71D8FDFF   call    00403E64                         ;  读取文件内容

004265F3   .  E8 B0C0FDFF   call    004026A8

004265F8   .              push    ebx

004265F9   .              push    edi

004265FA   .              push    esi

004265FB   .  8D75 FC       lea     esi, dword ptr [ebp-]

004265FE   .  8B0E          mov     ecx, dword ptr [esi]

   .  8DB5 FCFFFEFF lea     esi, dword ptr [ebp+FFFEFFFC]

   .  8DBD FBFFFEFF lea     edi, dword ptr [ebp+FFFEFFFB]

0042660C   .  31C0          xor     eax, eax

0042660E   .  83CA FF       or      edx, FFFFFFFF

   .  31DB          xor     ebx, ebx

   .              inc     eax                              ;  eax = 1

   .  F7D2          not     edx

   >  8A1C16        mov     bl, byte ptr [esi+edx]           ;  迭代字串

   .  84DB          test    bl, bl                           ;  字符值为0x0?

0042661B   .            je      short                    ;  结尾字节设置为0x0才能跳转正确流程

0042661D   .  E8    call                             ;  将文件内容写入一段内存

   .              push    edx

   .  F7E3          mul     ebx                              ;  eax * 字符值

   .  5A            pop     edx

   .   326D5463   xor     eax, 63546D32                    ;  eax 再进行异或

0042662B   .  FEC2          inc     dl                               ;  循环变量自增

0042662D   .  39CA          cmp     edx, ecx                         ;  迭代完毕?

0042662F   .            je      short

   .  80FA FF       cmp     dl, 0FF                          ;  迭代了255次?

   .   3D         je      short

   .^ EB DE         jmp     short

  /$              push    edi

  |.  8DBD F4FFFEFF lea     edi, dword ptr [ebp+FFFEFFF4]

0042663F  |.  8B3F          mov     edi, dword ptr [edi]

  |.  881C17        mov     byte ptr [edi+edx], bl

  |.  5F            pop     edi

  \.  C3            retn

   >  E8 EDFFFFFF   call

0042664B   .              inc     edx                              ;  0x0结尾后还要加上4个字节才能跳转正确流程

0042664C   .  83C2        add     edx,

0042664F   .  39D1          cmp     ecx, edx

   .            jnz     short

   .  83EA        sub     edx,                            ;  还原循环变量

   .  85C0          test    eax, eax

   .            jbe     short 0042665C

0042665A   .  D1E8          shr     eax,

0042665C   >  3B0416        cmp     eax, dword ptr [esi+edx]         ;  与最后的4个字节进行对比

0042665F   .            jnz     short 0042666A

   .  B8    mov     eax,

   .            mov     dword ptr [edi], eax

   .  EB          jmp     short 0042667A

0042666A   >  B8    mov     eax,

0042666F   .            mov     dword ptr [edi], eax

   .  EB          jmp     short 0042667A

   >  B8    mov     eax,

   .            mov     dword ptr [edi], eax

0042667A   >  5E            pop     esi

0042667B   .  5F            pop     edi

0042667C   .  5B            pop     ebx

0042667D   .  8A85 FBFFFEFF mov     al, byte ptr [ebp+FFFEFFFB]

   .  2C          sub     al,                             ;  Switch (cases 0..2)

   .            jb      short 0042668F

   .   4A         je      short 004266D3

   .  FEC8          dec     al

0042668B   .            je      short 004266E5

0042668D   .  EB          jmp     short 004266F5

0042668F   >  BA    mov     edx,                     ;  ASCII "Valid Key file found!"; Case 0 of switch 00426683

   .  8B83 B0010000 mov     eax, dword ptr [ebx+1B0]

0042669A   .  E8 F5B5FEFF   call    00411C94

0042669F   .  BA A0674200   mov     edx, 004267A0                    ;  ASCII "Registered to: "

004266A4   .  8D85 A4FEFEFF lea     eax, dword ptr [ebp+FFFEFEA4]

004266AA   .  E8 05CCFDFF   call    004032B4

004266AF   .  8D85 A4FEFEFF lea     eax, dword ptr [ebp+FFFEFEA4]

004266B5   .  8B95 F4FFFEFF mov     edx, dword ptr [ebp+FFFEFFF4]

004266BB   .  E8 DCCCFDFF   call    0040339C

004266C0   .  8B95 A4FEFEFF mov     edx, dword ptr [ebp+FFFEFEA4]

004266C6   .  8B83 C0010000 mov     eax, dword ptr [ebx+1C0]

004266CC   .  E8 C3B5FEFF   call    00411C94

004266D1   .  EB          jmp     short 004266F5

004266D3   >  BA B8674200   mov     edx, 004267B8                    ;  ASCII "Key file contains wrong serial!"; Case 1 of switch 00426683

004266D8   .  8B83 B0010000 mov     eax, dword ptr [ebx+1B0]

004266DE   .  E8 B1B5FEFF   call    00411C94

004266E3   .  EB          jmp     short 004266F5

004266E5   >  BA E0674200   mov     edx, 004267E0                    ;  ASCII "Key file is not valid!"; Case 2 of switch 00426683

004266EA   .  8B83 B0010000 mov     eax, dword ptr [ebx+1B0]

004266F0   .  E8 9FB5FEFF   call    00411C94

004266F5   >  8D85 A8FEFEFF lea     eax, dword ptr [ebp+FFFEFEA8]    ;  Default case of switch 00426683

总结算法:

1.KeyFile文件名应为“ctm_cm02.key”.

2.KeyFile以用户名开头,用0x0作为用户名的结束符号。若是文件内容为空或者用户名没有用0x0作为结尾,则失败。

3.迭代用户名字串并根据字串的内容生成一个值,将该值与0x0之后的四个字节的数据进行比对,如果相同,则KeyFIle是有效的。

如果用户名为“pediy”,那么相对应的KeyFile内容应该是:

运行效果:

拆解cytom!c's 的keyFile保护的更多相关文章

  1. 拆解一个简单的KeyFile保护

    系统 : Windows xp 程序 : abexcrackme3 程序下载地址 :http://pan.baidu.com/s/1mh3TiqO 要求 : 伪造Keyfile 使用工具 :IDA 可 ...

  2. [转]使用Cython来保护Python代码库

    转自:http://blog.csdn.net/chenyulancn/article/details/77168621 最近,我在做一个需要使用Cython来保护整个代码库的Python项目. 起初 ...

  3. 拆解探索MagSafe电源接口结构和指示灯变颜色原理

    你有没有想过一个Mac的MagSafe接头里面有什么? 控制光线是什么? 在Mac如何知道它是什么样的充电器? 本文探讨的MagSafe连接器内,并回答这些问题. 2006年由苹果公司推出的MagSa ...

  4. 《周四橄榄球之夜》流媒体视频拆解:Twitch VS Amazon Prime

    文 / Phil Cluff 译 / 王月美 原文链接:https://mux.com/blog/thursday-night-football-streaming-technology-showdo ...

  5. 基于SpringCloud的Microservices架构实战案例-架构拆解

    自第一篇< 基于SpringCloud的Microservices架构实战案例-序篇>发表出来后,差不多有半年时间了,一直也没有接着拆分完,有如读本书一样,也是需要契机的,还是要把未完成的 ...

  6. 保护模式篇——PAE分页

    写在前面   此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...

  7. x64 番外篇——保护模式相关

    写在前面   此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...

  8. 为革命保护视力 --- 给 Visual Studio 换颜色

    “为革命,保护视力,预防近视,眼保健操开始......” 这个应该是最老版本的眼保健操了,你听过? 一堆废话 且不说上面这个眼保健操到底有木有用,让眼睛放松下还是很有必要的,尤其是现在天天对着不是手机 ...

  9. Go语言实战 - revel框架教程之CSRF(跨站请求伪造)保护

    CSRF是什么?请看这篇博文“浅谈CSRF攻击方式”,说的非常清楚. 现在做网站敢不防CSRF的我猜只有两种情况,一是没什么人访问,二是局域网应用.山坡网之前属于第一种情况,哈哈,所以至今没什么问题. ...

随机推荐

  1. nyoj------20吝啬的国度

    吝啬的国度 时间限制:1000 ms  |  内存限制:65535 KB 难度:3    描述 在一个吝啬的国度里有N个城市,这N个城市间只有N-1条路把这个N个城市连接起来.现在,Tom在第S号城市 ...

  2. android 圆角边框及图片

    <?xml version="1.0" encoding="UTF-8"?> <shape xmlns:android="http: ...

  3. Android基础之项目结构分析

    创建了第一个Android项目,用工具开发Android项目,我们有必要熟悉项目的目录结构,清楚各个项目下面放置的是什么东西.展开整个项目,其根目录结构(选用不同版本的SDK文件目录结构会有一些不同, ...

  4. redhat enterprixe 5.0 下DHCP服务器rpm安装配置及其测试

    一.了解DHCP DHCP服务提供动态指定IP地址和配置参数的机制.有动态和静态两种方式. 二.rpm安装 因为配过Samba,所以感觉挺简单. 首先找到主程序和几个附属程序的rpm的安装包.应该都是 ...

  5. Xmanager如何连接图形化界面

    1.编辑gnome配置文件vim /etc/gdm/custom.conf # GDM configuration storage [daemon]RemoteGreeter= /usr/libexe ...

  6. SA 的参数

    SA 的参数也只能是常数数组. http://www.cnblogs.com/del/archive/2009/10/27/1590692.html ja := SA([]); jo := SO(); ...

  7. IT公司100题-9-判断整数序列是不是二元查找树的后序遍历结果

    问题描述: 输入一个整数数组,判断该数组是不是某二元查找树的后序遍历的结果. 如果是返回true,否则返回false. 例如输入4, 8, 6, 12, 16, 14, 10,由于这一整数序列是如下树 ...

  8. [转]Putty中文乱码解决方法

    from: http://www.putty.ws/putty-luanma putty使用的过程中,你是否遇到过putty出现中文乱码的情况呢?putty终端出现乱码,是情况,多数是由于系统或软件缺 ...

  9. c#读写文本文档-1-用file类

    using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.I ...

  10. hive内部表、外部表

    hive内部表.外部表区别自不用说,可实际用的时候还是要小心. Hive的数据分为表数据和元数据,表数据是Hive中表格(table)具有的数据:而元数据是用来存储表的名字,表的列和分区及其属性,表的 ...