========================================================================
ED!SON's Windows 95 拆解教程 V1.00 (中文翻譯: JIM TYAN)
========================================================================
附:ED!SON教程的示范程序下載
目錄
========
1. Windows 拆解簡介
2. SoftICE for windows 2.00 快速入門
3. 如何找注冊碼
3.1 Task Lock 3.00 - 一個簡單的、僅有注冊號保護的拆解例子
3.2 Command Line 95 - 容易的“用戶名/注冊號"注冊方式的拆解
4. 為Command Line 95制作注冊器
5. 當程序調用一個函數時,PUSH和CALL這些指令是如何工作的
6. 關于VB程序
附錄
========
A. 如何讓SOFTICE載入符號
B. 函數的語法
C. 到哪里獲取軟件
D. 如何與我聯系
1. WINDOWS拆解簡介
===================================
拆解一個WINDOWS程序要比拆解一個在DOS下運行的程序要容易得多。因為在WINDOWS
中,只要WINDOWS的函數被使用了,想對任何真正要尋找蛛絲馬跡的人隱藏什么東西
是比較困難的。
你需要的第一個(常常也是唯一的一個)工具就是SoftICE/Win 2.oo 它是NuMega
出品的一個非常強大的調試工具。有些人發現它很難用,但我會教你如何使用它進行
有效的調試,也希望你們能夠明白我將要告訴你們的:-)。 你應該看看在附錄A 中有
關SoftICE/Win 2.oo的一些資料。我在安裝SoftICE中從來沒有碰到任何問題, 如果
你碰到了,我只好讓你查它的參考手冊了。
你所需要的所有軟件的URL列在附錄C中
- ED!SON edison@ccnux.utm.my
2. SOFTICE/WIN 2.OO 快速入門
=========================================
首先你應該對SOFTICE的屏幕有個大概的了解
|--------------------|
| 寄存器窗 | 用 'R' 編輯
|--------------------|
| 數據窗 | 用 'D' 列出某個地址的數據 用 'E' 編輯
|--------------------|
| 代碼窗 | 用 'U' 反匯編 'A' 加入匯編代碼
|--------------------|
| 命令窗 | 在這里輸入命令和讀出結果
|--------------------|
其它重要的功能鍵(在缺省的鍵定義下)
'H'/F1 - 在線幫助
F5/Ctr+D - 運行
F8 - 單步執行,切入子程序和中斷
F10 - 單步執行,跳過子程序和中斷
F11 - 跳出子程序,回到CALL的下一條指令
3. 如何尋找注冊碼
=============================
最容易的練習莫過于找個共享軟件來試試把它注冊。
3.1 Task Lock 3.00 - 一個簡單的、僅有注冊號保護的拆解例子
=================================================================
這是一個簡單的保護,只有一個而且不會變化的注冊碼。
3.1.1 檢查程序
===========================
它是16 bit程序,還是32 bit的? 在哪里輸入注冊信息? 在它的幫助里有沒有
發現關于注冊的一些線索?在你繼續往下讀之前,去把它們找一找!
....你現在應該在找吧!.....你是在找嗎?.....你找到了嗎?.......
好,你現在知道了,它是一個32位的WINDOWS 95應用程序,你可以在一個選擇了
“Register|Register..."菜單就會彈出來的對話框中,輸入一個注冊碼來注冊
程序。通過閱讀它的幫助,你也知道可以有兩種注冊方式:Individual和Site
License。所以這里對合法的注冊碼就可能有兩次核對。
3.1.2 捕捉注冊代碼
===========================
注冊碼通常在普通的WINDOWS文字框中輸入。為了檢查輸入的注冊碼, 程序必須
采用下面這些函數中的一個來把文字框中的內容讀出來。
16-bit 32-bit
------ ------
GetWindowText GetWindowTextA GetWindowTextW
GetDlgItemText GetDlgItemTextA GetDlgItemTextW
32-BIT函數的最后一個字母告訴我們函數是使用單字節還是雙字節字符串。雙字
節的注冊碼是很少見的。
也許你已經體會到我的意思了...“如果我能在GetWindowText時中斷...", 你
的確能這樣做!但是你首先必須確認這些符號已經由SOFTICE載入了(詳見附錄A)
在SoftICE中設定一個“陷阱"(實際上我們叫斷點),你得先按Ctrl+D進入調
試狀態,然后用命令BPX,后面跟著是函數的名字或者內存地址。因為Task Lock
是32位程序,所以我們在GetWindowTextA處設一個斷點。 如果這個不行, 我們
可以再試其它的。
象這樣在SoftICE中輸入:
:bpx getwindowtexta
如果你得到“No LDT"這樣的錯誤信息,就要注意不要運行其它程序。我已經注
意到Norton Commander/Dos 會干擾這個功能。 你可以列出所有斷點來檢查一下
是否設好斷點:
:bl
你會看到這樣的信息:
00) BPX USER32!GetWindowTextA C=01
你可以再按一次Ctrl+D,從SoftICE中退出,。
好了,不管怎么樣,你已經設定好了斷點以捕捉任何對GetWinowTextA的調用。
現在我們來在該輸入注冊碼的地方輸入一些數字,然后按下OK....你只得到了
一個信息框告訴你輸入的注冊碼是無效的。看來不是GetWindowTextA....我們
來試試GetDlgItemTextA。首先刪除舊的斷點:
:bc 0
(0 表示在斷點列表中的第0個斷點)
然后設定新的斷點:
:bpx getdlgitemtexta
再來試一次.....
3.1.3 在調試器中
=====================
哇!行了!你已經在SoftICE中了,就在函數GetDlgItemTextA開始的地方。按
F11鍵,回到調用函數的地方。現在你到了SGLSET.EXE的內部,如果你還沒把握
的話,看看代碼窗和數據窗中間的一行,你應該看到這樣的東西:
----------SGLSET!.text+1B13----------
你可以這樣禁止一個斷點:
:bd 0
以后想再開啟它的話,可以這樣:
:be 0
代碼窗的第一行是:
CALL [USER32!GetDlgItemTextA]
按幾次Ctrl+Up 直到你看到下面這幾行。如果對匯編一點也不懂的話,看我加的 注解吧:
RET ; 函數結束
PUSH EBP ; 函數開始
MOV EBP ESP
SUB ESP 0000009C
PUSH ESI
> LEA EAX [EBP-34] ; EAX = EBP-34
PUSH EDI
MOVE ESI ECX
PUSH 32 ; 輸入字符串的最大長度
> PUSH EAX ; 輸入字符串的緩沖地址
PUSH 000003F4 ; 控制標識
PUSH DWORD PTR [ESI+1C] ; 對話框的句柄
CALL [USER32!GetDlgItemTextA] ; 取得輸入
PUSH指令保存那些數值以供后面使用。我已經在重要的地方加上了一個 '>'字符
作上記號. 看這幾行我們就知道字符緩沖區的地址保存在EAX中,而EAX等于 EBP-34。
所以我們來看看EBP-34那里有什么:
:d ebp-3
你應該能在數據窗中看到你輸入的東西。下面我們得來找開始核對輸入注冊碼的
地方。按F10一步一步地單步運行直到你發現與EBP-34有點關系的地方.... 你不
用單步運行多久,就會看到這些代碼:
> LEA EAX [EBP+FFFFFF64] ; EAX = EBP-9C
LEA ECX [EBP-34] ; ECX = EBP-34
PUSH EAX ; 保存 EAX
PUSH ECX ; 保存 ECX
> CALL 00403DD0 ; Call 一子程序
ADD ESP 08 ; 刪除保存的信息
TEST EAX EAX ; 檢查返回值
JNZ 00402BC0 ; 如果不是零的話跳轉
對我來說,馬上就可以看出這象是一個字符比較程序。它們工作起來就是這樣:
* 輸入兩個字符串
如果相同就返回零
否則返回非零
那為什么程序要用一個字符串來和你輸入的相比較呢?看它是不是合法的!(可
能你已經想到了)。那么是什么東西躲在 [EBP+FFFFFF64] ? SoftICE處理負數
還不是很好,所以得算算:
100000000 - FFFFFF64 = 9C
在 SoftICE 用這樣的命令:
:? 0-FFFFFF64
100000000 對SoftICE來說太大了,但它還是給出了相同的結果。
現在是...來看看什么東西躲在EBP-9C那里的時候了...這樣輸入命令:
:d ebp-9c
數據窗口會顯示出一大排數字 ─ 注冊碼!但是記住我前面說過的...兩種注冊
方式對應兩個注冊碼....所以你把這些注冊碼抄下來以后,繼續用F10單步運行
....我們會遇到這些代碼:
> LEA EAX [EBP-68] ; EAX = EBP-68
LEA ECX [EBP-34] ; ECX = EBP-34
PUSH EAX ; 保存 EAX
PUSH ECX ; 保存 ECX
> CALL 00403DD0 ; 再次調用子程序
ADD ESP 08 ; 刪除保存的信息
TEST EAX EAX ; 檢查返回結果
JNZ 00402BFF ; 如果非零跳轉
你在EBP-68處找到了什么?不錯吧...另一個注冊碼。
:d ebp-68
我們的練習結束了,希望一切順利。
3.2 Command Line 95 -容易的用戶名/注冊碼方式的注冊、注冊器
=================================================================
這是一個非常好的例子,注冊碼的計算也很簡單。
3.1.1 檢查程序
===========================
檢查程序以后你知道它是32位的應用程序,要求輸入名字和注冊碼。 讓我們開始!
3.1.2 捕捉代碼
===========================
我們象拆解TaskLock那樣 ─ 設置斷點。我們可以在兩個可能性最大的兩個函數
都設上斷點:GetWindowTextA 和 GetDlgItemTextA. 按下Ctrl+D 進入SoftICE, 然后:
:bpx getwindowtexta
:bpx getdlgitemtexta
接下來進入注冊對話框,輸入一個名字和一些數字(多數情況下是一個整數),
我是這么寫的,然后按OK....
Name: ED!SON '96
Code: 12345
程序在 GetDlgItemTextA 處停住了,就象TaskLock一樣。我們按F11回到調用它
的地方。用 Ctrl+Up卷動窗口直到看到這些:
MOV ESI [ESP+0C]
PUSH 1E ; 最大長度
PUSH 0040A680 ; 緩沖地址
PUSH 000003ED ; 控制柄
PUSH ESI ; 對話柄
CALL [User32!GetDlgItemTextA]
數字40A680引起了我們的注意,看看那里有什么:
:d 40a680
如果沒有我們輸入的名字,數據窗口里有些什么呢?好了,我們來研究下面的一 段代碼:
PUSH 00
PUSH 00
PUSH 000003F6 ; 控制柄
MOV EDI 0040A680 ; 保存緩沖區地址
PUSH ESI ; 對話柄
CALL [User32!GetDlgItemInt]
GetDlgItemInt 和 GetDlgItemText差不多,但它從文字框中返回一個整數。
它出在EAX中返回來的,所以單步運行通過這些代碼,再來看看寄存器窗....
對我而言是:
EAX=00003039
十六進制數3039是多少? 輸入:
:? 3039
我們得到:
00003039 0000012345 "09"
^ 16進制 ^ 十進制 ^ ASCII
正如你看到(和已經猜到)的那樣,它是你輸入的注冊碼。OK,下面怎么辦?讓
我們來看下面的代碼:
MOV [0040A548] EAX ; 返回注冊碼
MOV EDX EAX ; 同時保存在DX中
3.1.3 計算注冊碼
==========================
這樣注冊碼就算出來了
MOV ECX FFFFFFFF ; 這幾行計算字符長度
SUB EAX EAX ; .
REPNZ SCASB ; .
NOT ECX ; .
DEC ECX ; ECX <-- 長度
MOVSX EAX BYTE PTR [0040A680] ; 讀入40A680處的一字節
IMUL ECX EAX ; ECX = ECX * EAX
SHL ECX 0A ; 左移 0A 次
ADD ECX 0002F8CC ; 結果加上2F8CC
MOV [0040A664] ECX
驗證合法性....
CMP ECX EDX ; 比較
JZ 00402DA6 ; 如果相同就....
當你運行到比較這一步時,就可以得到你真正的注冊碼:
:? ecx
對我而言它是:
000DC0CC 0000901324
也就是說我的正確的注冊碼是901324.
按F5或者Ctrl+D讓它運行,然后用正確的注冊碼(十進制)再來一次。這一次 成功了!
4. 為COMMAND LINE 95制作注冊器
=========================================
我們把上面計算注冊碼的代碼翻譯成C語言程序。 最明了的計算公式就是:
code=((uppercase_first_char * length_of_string) << 0x0A) + 0x2f8cc;
注(1): 別忘了一件事 就是把所有字符轉成大寫
(2): "<< 0x0A" 實際上就是 "乘以 2^10"
完整的程序就是:
#include <string.h>
#include <stdio.h>
int main()
{
unsigned long code;
unsigned char buffer[0x1e];
printf("CommandLine95 Keymaker by ED!SON '96/n");
printf("Enter name: ");
gets(buffer);
strupr(buffer);
code = ( ((unsigned long)buffer[0] *
(unsigned long)strlen(buffer))
<< 0x0A) + 0x2f8cc;
printf("Your code is: %lu" code);
return 0;
}
爽吧?
4. 當程序調用一個函數時,PUSH和CALL這些指令是如何工作的
============================================================================
我們重新來看看TaskLock中的這段代碼:
PUSH 32 ; 字符串最大長度
PUSH EAX ; 字符緩沖區地址
PUSH 000003F4 ; 控制標識
PUSH DWORD PTR [ESI+1C] ; 對話框柄
CALL [USER32!GetDlgItemTextA] ; 獲得字符串
如果認為是C語言編譯出來的話,這個CALL應該是這樣:
GetDlgItemTextA(hwndDlg 0x3F4 buffer 0x32);
^ [ESI+1C] ^ EAX
PUSH把數據保存在叫做堆棧的地方。每個PUSH把新的數據放在堆棧的頂部,被調
用的子程序就挨個地檢查躺在堆棧中的數據,按照定義來使用它們。
附錄
A. 讓SoftICE載入符號
==============================
你可以用exp getwindowtext命令來檢查SoftICE是否已經為GetWindowText裝入
了符號,象這樣:
:exp getwindowtext
如果你沒有得到所有GetWindowText函數的列表,你就得編輯/SIW95/WINICE.DAT,
在"Examples of export symbols that can be included for chicago"這段文字
以后的那些 'exp='的行首去掉';',為了節省內存,選擇最重要的幾個就可以了:
kernel32.dll
user32.dll
gdi32.dll
編輯完后,重新起動計算機使其生效。
B. 函數語法
============================
如果你看看下面的函數聲明,對我們上面講到的函數調用就容易明白了:
int GetWindowText(int windowhandle char *buffer int maxlen); int
GetDlgItemText(int dialoghandle int controlid char *buffer
int maxlen);
int GetDlgItemInt(int dialoghandle int controlid int *flag int type);
這些函數的詳細描述,可參考Windows/Win32編程手冊
C. 如何與我聯系
================
On IRC (EFNet): In #Ucf96 #Cracking
By e-mail: edison@ccnux.utm.my OR an461165@anon.penet.fi On my
homepage:http://www.geocities.com/SoHo/2680/cracking.html
======================================================================
譯后記:
花了一個下午的時間(上班時間啊!),譯完這篇拆解教程。不知大家看不看
得懂?ED!SON的文章是很淺顯易懂的,我擔心會讓我毛手毛腳地鬧出歧義來,
如果真有什么錯誤的話,帳應該算在我頭上(請大家來信指出)。ED!SON的這
篇文章對初學者來說非常值得一讀,我就是看完這篇文章以后,馬上連續CRACK
了幾個程序(就這么快、這么簡單!)下次我就把CRACK WINZIP6.2的過程講講
吧(WINZIP6.2的注冊器已經泛濫成災了,就當練習練習吧)。歡迎來信交流,
你CRACK了什么程序,別忘了告訴我你用的方法;如果覺得我翻譯得還算看得下
去話,就給些鼓勵吧。
CFIDO ID : Jim Tyan
EMAIL : jimtyan@tasteful.com
田學軍 8878888 CALL 29549 jimtyan@tasteful.co
新聞熱點
疑難解答
圖片精選
