探索杂志第九期

EPIG	探索杂志	MHJQ

	知识共享资源共享资料共享

【制作成员】程式猎人

【发行时间】2000-8-26

【期刊号码】第九期

【网站地址】http://programhunter.go.163.com

【编辑寄语】

    
    {~._.~} 
     ( Y )  
    ()~*~() 
    (_)-(_)

�大家猜一猜，今天我要向大家介绍什么呢？今天可是向大家介绍的都是他人的作品，这样有利于你们可以从不同的方面学习解密知识。因为一个人喜欢于使用一个或几个比较常用的方法，所以今天的三篇作品都是网友的作品，具体说难度吗，都不超过中级水平，今天的杂志非常适合初学者。

【目 �� 录】

��&破解心得
	1……Green Tea 2.60注册码算法	wind
	2……Winamp 2.04	Peter
	3……teleport pro tm中文版版本1.29 Build 431	Peter
	4……Cracking WinUGCS v3.0
��%初学天地
��O问题答疑
��4网站介绍
��,杂志信箱

&【破解心得】

Green Tea 2.60注册码算法
文章作者：wind[CCG]
作者主页：http://biggow.8u8.com
作者E-mail:biggow@eastday.com
欢迎转载，但请保持原文完整性！
看完此文，希望大家可以写出注册机，应该不是很难！

:0046A029 E8EE9BF9FF              call 00403C1C
:0046A02E 8BD0                    mov edx, eax
:0046A030 85D2                    test edx, edx
:0046A032 7E14                    jle 0046A048
:0046A034 B801000000              mov eax, 00000001

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0046A046(C)
|
:0046A039 8B4DF0                  mov ecx, dword ptr [ebp-10]
:0046A03C 0FB64C01FF              movzx ecx, byte ptr [ecx+eax-01]
:0046A041 0FAFD9                  imul ebx, ecx
:0046A044 40                      inc eax
:0046A045 4A                      dec edx
:0046A046 75F1                    jne 0046A039
------------------------->上面这段程序，是将你输入的注册名，把注册名每个字符的Ascii码算出
然后，将每个字符的Ascii码相乘，得到一个积（在这里给这个乘积取一个变量名S)

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0046A032(C)
|
:0046A048 83C364                  add ebx, 00000064------->就是把乘积S加上64,
                                                          假设A=S+64（这里都是十六进制数）
:0046A04B 8BC3                    mov eax, ebx-------->把算出的A移入寄存器eax中！
:0046A04D 99                      cdq-------->判断eax中的值是否大于80000000,如果大于80000000那么
                                                 edx=ffffffff,反之，edx=00000000
:0046A04E 33C2                    xor eax, edx------>把eax和edx做异或操作，也就是把A变量的值和
                                                     ffffffff或00000000作异或操作
                                                     如果edx=00000000的话,异或后eax的值保持
                                                     不变!
:0046A050 2BC2                    sub eax, edx------->eax=eax-edx,也就是把异或出来的
                                                      值去减FFFFFFFF或00000000
                                                      果edx=00000000的话,eax的值保持不变 
:0046A052 8BF8                    mov edi, eax
:0046A054 8BC7                    mov eax, edi
:0046A056 8D951CFEFFFF            lea edx, dword ptr [ebp+FFFFFE1C]
:0046A05C E813D0F9FF              call 00407074
:0046A061 8B951CFEFFFF            mov edx, dword ptr [ebp+FFFFFE1C]
:0046A067 8B86F8010000            mov eax, dword ptr [esi+000001F8]

算法总结：这个软件的注册部分就是把你输入的注册名的每个字符都转成相应的Ascii码！
然后，把每个字符的Ascii码相乘，得到这个乘积S,再把它加上64，然后把这个值放到eax中，然后
用cdq这个指令来判断eax的值是否大于80000000,如果大于，那么edx=ffffffff，否则，
edx=00000000
然后，把eax也就是A和00000000或ffffffff做异或，把异或出来的值放到eax里去！
再用eax的值去减去了edx也就是00000000或ffffffff!

执行cdq这个指令的时候，eax小于80000000，那么edx=00000000,那么这个A转换成十进制
数后就是注册码！

为了说明清楚，就举个简单的例子: 
我要的注册名：wind
要转换的字符：   w  i  n   d
       Ascii：  77 69  6E  64
chengji=77*69*6E*64;用计算器计算，得到chengji=8313E88
zonghe=chengji+64;计算后得到zonghe=8313EEC
由于8313EEC小于80000000，所以，edx=00000000
由于和00000000异或(后面的sub eax,edx,一个数减0当然不变啦!)，所以,zonghe不变，仍然等于8313EEC
将8313EEC转换成十进制数就是注册码
8313EEC转成十进制为137445100

最后整理出
注册名:wind   注册码：137445100

如果zonghe这个变量大于80000000的话，edx=ffffffff,就是说异或后的值会改变！
还有最后要加上1(因为sub eax,edx码!)


xor(异或):也就是必须两个相反的数才会得1,只有0和1出现的时候，结果才会为1，如果是0和0或者1和1
这个结果只能是0!


很久没有写东西了，希望大家对我粗糙的文笔表示谅解，也希望大家能够明白我的意思!
如果你读了这篇文章之后，写出了注册机，别忘了，提一下我的名字:wind[CCG]
以及我的网站:biggow.8u8.com!宣传一下!

                                                          wind
                                                   China Cracking Group
                                                       2000.7.16.

Winamp 2.04
启动winamp.exe
1. 把开关于”wiamp”,选Shareware.
2. 按 Enter Registration Info
3. Name: Peter Reg#:78787878
4. Ctrl+N
5. bpx getdlgitemtexta
6. 按 x 返回 再输入一个数学(我用”9”)
7. 又被拦阻,到一个”User32!Getdlgitemtexta
8. F10,22次
9. 你会看见 0167:0041EF81 PUSH EAX
10. 我用 d eax 一看有 Peter我字眼，我就定比较地方一定在不远的地方。
11. 本人汇编不好，只是知道Push eax。大概是输入字符到eax中。要输入字符不
就是要用的名字，d了一下果然是。
12. 再往下看:
0167:0041EF82  CALL  0042218 (也许是比比较的地方)
0167:0041EF87  ADD   ESP,BYTE+04
0167:0041EF8A CMP EAX,ESI
0167:0041EF8C JNZ 0041EF97
13. 想一下刚才我破解winamp skin maker v1.2时，不用是用Sun Bird翻译了v1.05资料中
14. 不是有”CMP EAX,ESI” 不是用d而用？
15. 试一试：
16. ? EAX
17. DEC=67972642(会不会是注册码？)
18. HEX=40d2e22
19. ? EDI
20. DEC=787878789(不是我刚才用的假码？)
21. HEX=2ef61385
22. CMP EAX,ESI(不就是两个记存器比较？要比较就一定要有注册码吗？)
23. 好试一下，果然是。Yeah!
24. 我再试一下进入0167:0041EF82  CALL  0042218 (也许是比比较的地方)
25. 可能本人技术不行，只能白作工。
这才是本人自己破解的第一个软件，多谢我的师傅和Sun Bird大哥帮助！
我是用手打的，0167:0041EF82  CALL  0042218
                 ……….
                  0167:0041EF8C JNZ 0041EF97
用trw2000 or soft-ice,能不能copy出来和抓图？

teleport pro tm中文版 版本1.29 Build 431
Name: Peter
com:home
sn: 89898989
1. 下 bpx getwindowtexta
2.  F12  4下
3.  F10  24下
来到这里:
0167:00421951 EB4E             JMP      SHORT 004219A1
0167:00421953 FFB7D5000000     PUSH     DWORD [EDI+D5]
0167:00421959 E829090000       CALL     00422287 (这就是比较的地方)
0167:0042195E 3945EC           CMP      [EBP-14],EAX(这是就是注册码比较) 
0167:00421961 59               POP      ECX
0167:00421962 0F85E4000000     JNZ      NEAR 00421A4C
0167:00421968 8D4DF0           LEA      ECX,[EBP-10]
0167:0042196B E8CFE50100       CALL     0043FF3F
0167:00421970 68410C0000       PUSH     DWORD 0C41
0167:00421975 8D4DF0           LEA      ECX,[EBP-10]
0167:00421978 C745FC02000000   MOV      DWORD [EBP-04],02
0167:0042197F E84FEC0100       CALL     004405D3
0167:00421984 53               PUSH     EBX
0167:00421985 53               PUSH     EBX
0167:00421986 FF75F0           PUSH     DWORD [EBP-10]
0167:00421989 C745FC03000000   MOV      DWORD [EBP-04],03
0167:00421990 E81B5D0200       CALL     004476B0
0167:00421995 834DFCFF         OR       DWORD [EBP-04],BYTE -01
0167:00421999 8D4DF0           LEA      ECX,[EBP-10]
0167:0042199C E8E9E60100       CALL     0044008A
0167:004219A1 A144BD4700       MOV      EAX,[0047BD44]
0167:004219A6 8898AC020000     MOV      [EAX+02AC],BL
0167:004219AC A144BD4700       MOV      EAX,[0047BD44]
0167:004219B1 8898AD020000     MOV      [EAX+02AD],BL
0167:004219B7 A140BD4700       MOV      EAX,[0047BD40]
0167:004219BC 3BC3             CMP      EAX,EBX
0167:004219BE 7406             JZ       004219C6
0167:004219C0 88985A0F0000     MOV      [EAX+0F5A],BL
0167:004219C6 FF75EC           PUSH     DWORD [EBP-14]
0167:004219C9 8B0D44BD4700     MOV      ECX,[0047BD44]
0167:004219CF 6834584700       PUSH     DWORD 00475834
0167:004219D4 56               PUSH     ESI
0167:004219D5 E8485E0200       CALL     00447822
0167:004219DA FFB7D5000000     PUSH     DWORD [EDI+D5]
0167:004219E0 8B0D44BD4700     MOV      ECX,[0047BD44]
0167:004219E6 8D9FD5000000     LEA      EBX,[EDI+D5]
0167:004219EC 6838574700       PUSH     DWORD 00475738
0167:004219F1 56               PUSH     ESI
0167:004219F2 E8A05E0200       CALL     00447897
0167:004219F7 FFB7D9000000     PUSH     DWORD [EDI+D9]
0167:004219FD 8B0D44BD4700     MOV      ECX,[0047BD44]
0167:00421A03 6830574700       PUSH     DWORD 00475730
0167:00421A08 56               PUSH     ESI
0167:00421A09 E8895E0200       CALL     00447897
0167:00421A0E A144BD4700       MOV      EAX,[0047BD44]
0167:00421A13 53               PUSH     EBX
0167:00421A14 8D88CE020000     LEA      ECX,[EAX+02CE]
0167:00421A1A E864E70100       CALL     00440183
0167:00421A1F 8D87D9000000     LEA      EAX,[EDI+D9]
0167:00421A25 50               PUSH     EAX
0167:00421A26 A144BD4700       MOV      EAX,[0047BD44]
0167:00421A2B 8D88D2020000     LEA      ECX,[EAX+02D2]
0167:00421A31 E84DE70100       CALL     00440183
0167:00421A36 8BCF             MOV      ECX,EDI
0167:00421A38 E85BA90100       CALL     0043C398
0167:00421A3D 8B4DF4           MOV      ECX,[EBP-0C]
0167:00421A40 5F               POP      EDI
0167:00421A41 5E               POP      ESI
0167:00421A42 64890D00000000   MOV      [FS:00],ECX
0167:00421A49 5B               POP      EBX
0167:00421A4A C9               LEAVE   
0167:00421A4B C3               RET     
0167:00421A4C 8BBFD5000000     MOV      EDI,[EDI+D5]

0167:0042195E 3945EC           CMP      [EBP-14],EAX
当光条走到这里,就有
ss:[6FF480]=055BBFED
我不是很会计算，不过我试地十进与十六进制转换太麻烦。
用windows的计算，破解解时不方便。
trw2000,soft-ice自带计算器而且比较windows更准确。
就以刚才的"055bbfed" 只要输入 ? 55bbfed
                  一会儿就出显(十进制)  Dec=89898989(这就是我用的假Sn)
                              (十六进制)  Hex=055bbfed
不用说真的当在"EAX"，? EAX （同上面的）
CMP      [EBP-14],EAX 有人可能问不是? [ebp-14]才对吗？
ss:[6FF480]=055BBFED我好像在汇编看，这是一等式。（如果有请指出？）
就是[ebp-14]=ss:[6ff480]=055bbfed
不就是同十进与十六进制转换差不多？
这个软件，我很快就破解完过是我破解过程中最快的方法。
我开始不是想自己破解，因为很就有人破解了我也有这个教程。
教程中是用bpx hmemcpy,我无中想试一下bpx getwindowtexta。
结果能中断，不久就Crack it! 
最后本版不同，教程的核心全部了。只好自己也写一下过程。
教程的方法也行不过，比较麻烦。
我用许多方法，一开始是利用自己一点汇编知识分析破解出来。
就是让JNZ,JMP....等跳跃到的地方再分析，最后来
0167:0042195E 3945EC           CMP      [EBP-14],EAX
这是就是注册码比较（分析出来）
可以说是我比较最快的方法。
作者:Peter

			--- Cracking WinUGCS v3.0 ---

Info:
*****
Wow, here I'm again, with my second tut!!! Yahooooo! I will try to make
this tut as easy as I can get it. In this tut I'll show U how to use
SoftIce when cracking! It's a great tool!! I assume that U have
installed SoftIce and its ready to work! PS! When I write something
like this 'bpx getdlgitemtexta' I meen it without the 's!!
WinUGCS v3.0 should be in this zip file, but if it is NOT, get it here:
Www.Heat-On.Com

Tools Needed:
*************
Hacker's View 6.02 (Http://DiABLO.Freehosting.Net/Dl/Hview602.zip)
SoftIce v3.24      (Http://Www.Crosswinds.Net/Oslo/~DaDiABLO/Sice324.zip)

The Cracking Begins:
********************
First install WinUGCS, now lets examine it... when U start it, a dialog
box pops up, asking for a reg code, nothing more... K, lets start!!
Enter 656656 as the code and press Ctrl+D to enter SoftIce. Type in
'bpx getdlgitemtexta'. Now enter 'x' to return to WinUGCS.
Are U with me now? Good, press the OK button. SoftIce pops! Press F11.
Now U see this:
--------------- 
:00401C13 FF15C0634100            Call dword ptr [004163C0]
:00401C19 68F0144100              push 004114F0   <-- U ARE HERE NOW!!!
:00401C1E E80DC20000              call 0040DE30
:00401C23 83C404                  add esp, 00000004
:00401C26 803DF614410000          cmp byte ptr [004114F6], 00
:00401C2D 7405                    je 00401C34
:00401C2F BF01000000              mov edi, 00000001             
:00401C34 803DF114410053          cmp byte ptr [004114F1], 53
:00401C3B 740E                    je 00401C4B
:00401C3D 803DF114410035          cmp byte ptr [004114F1], 35
:00401C44 7405                    je 00401C4B
:00401C46 BF01000000              mov edi, 00000001
:00401C4B 803DF314410031          cmp byte ptr [004114F3], 31
:00401C52 7405                    je 00401C59
:00401C54 BF01000000              mov edi, 00000001
:00401C59 803DF014410043          cmp byte ptr [004114F0], 43
:00401C60 7405                    je 00401C67
:00401C62 BF01000000              mov edi, 00000001
:00401C67 803DF214410032          cmp byte ptr [004114F2], 32
:00401C6E 7405                    je 00401C75
:00401C70 BF01000000              mov edi, 00000001
:00401C75 803DF414410039          cmp byte ptr [004114F4], 39
:00401C7C 7405                    je 00401C83
:00401C7E BF01000000              mov edi, 00000001
:00401C83 6A00                    push 00000000
:00401C85 85FF                    test edi, edi
:00401C87 7419                    je 00401CA2
:00401C89 681CF34000              push 0040F31C
:00401C8E 6874F34000              push 0040F374
:00401C93 6A00                    push 00000000
:00401C95 FF15E8634100            Call dword ptr [004163E8]
:00401C9B 33C0                    xor eax, eax
:00401C9D 5F                      pop edi
:00401C9E 5E                      pop esi
:00401C9F C21000                  ret 0010
---------------
Alot of code there, take it easy.... don't panic... I'll take it
slowly! Now if U enter 'd 004114F0' U see the code we entered in the
data window. Why 004114F0? Because there we are now it says
'PUSH 004114F0'! Press F10 until U come to this line: (00401C2D)

:00401C26 803DF614410000          cmp byte ptr [004114F6], 00
:00401C2D 7405                    je 00401C34

This is the first jump. If the code U entered is longer than 6 letters,
then it DOESN'T JUMP, therefore it must be 6 or less. How did I found
out that? K, remember that your code was at 004114F0? And at the line

:00401C26 803DF614410000          cmp byte ptr [004114F6], 00

it checks if 004114F6 is 0. Get it? Your code starts at 004114F0.
so here I'll show U:
--------------------

004114F0 = 6
004114F1 = 5
004114F2 = 6
004114F3 = 6
004114F4 = 5
004114F5 = 6

--------------------
Now 004114F6 is 0. Now it will jump.If u had typed one letter more,
ex: 7,it would look like this:
------------------------------

004114F0 = 6
004114F1 = 5
004114F2 = 6
004114F3 = 6
004114F4 = 5
004114F5 = 6
004114F6 = 7

-------------------------------------------------------------
Then 004114F6 is 7!!! Now it will NOT jump. Now U get it don't U!
So just have 6 letters! K, lets continue! Press F10 until this
line: (00401C3B)
----------------

:00401C34 803DF114410053          cmp byte ptr [004114F1], 53
:00401C3B 740E                    je 00401C4B

It checks if 004114F1 is the hex value 53 and what that is, u can find
out by entering '? 53' in SoftIce. Its S. And as u can see some lines
ago, 004114F1 = 5. It checks if 5 is S!!! Now we're getting somewhere.
So, now press 'x' and type in: 6S6656 as code. Press Ctrl+D, press F10
until this line: (00401C52)
---------------------------

:00401C4B 803DF314410031          cmp byte ptr [004114F3], 31
:00401C52 7405                    je 00401C59

Almost the same here, checks if 004114F3 is hex value 31. 004114F3 is
now 6 and hex value 31 is 1! So, now press 'x' and type in: 6S6156 as
code. Press Ctrl+D, press F10 until this line: (00401C60)
---------------------------------------------------------
 
:00401C59 803DF014410043          cmp byte ptr [004114F0], 43
:00401C60 7405                    je 00401C67

Almost the same here, checks if 004114F0 is hex value 43. 004114F0 is
now 6 and hex value 43 is C! So, now press 'x' and type in: CS6156 as
code. Press Ctrl+D, press F10 until this line: (00401C6E)
---------------------------------------------------------

:00401C67 803DF214410032          cmp byte ptr [004114F2], 32
:00401C6E 7405                    je 00401C75

Almost the same here, checks if 004114F2 is hex value 32. 004114F2 is
now 6 and hex value 32 is 2! So, now press 'x' and type in: CS2156 as
code. Now we're almost done! Press Ctrl+D, press F10 until this
line: (00401C6E)
----------------

:00401C75 803DF414410039          cmp byte ptr [004114F4], 39
:00401C7C 7405                    je 00401C83

Almost the same here, checks if 004114F4 is hex value 39. 004114F4 is
now 5 and hex value 39 is 9! So, now press 'x' and type in: CS2196 as
code. It worked!!! Congratulations!!! U cracked WinUGCS v3.0!!!

But hey, it didn't check the last letter, 6? This letter can be
whatever U want! It can also be forgotten, just enter CS219 as code,
not enter the last 6.

Ending Info:
************
This was a fine easy protection! I hope U didn't get lost back there!
Just try, and try, till U get it right!
You can meet me on EFNet in #Cracking4Newbies as Da_DiABLO and if you
learned something from this tutorial, please tell me! And expect some
more tutorials soon...
Also visit my site: Http://DiABLO.Freehosting.Net/Index.htm
Cya!

Greeting:
*********
Go to everybody in ORiON & Cracking4Newbies!! And also every other
cracker that reads this tut!!!

%【初学天地】

                       解密教程七
     上节课由于我在修改自己家的房子，所以没有时间给大家来上课，希望大家都凉解。今
天我要向大家介绍什么呢？我想就先不介绍具体的追踪过程了。因为这个以后再说，我想
对于初学者来说，现在关键的是如何破解软件，这个就是经验的积累了。但是我想通过我的
经验来向大家介绍一下解密的方法。这样希望你们能够更快的进入角色中，这个也可是我一
年来的心血啊。
    因为如果你要想破解软件，那么你依据什么来就将人家制作的软件破解出来了。当然这
里给大家说一下（真对初学者的），你就要想办法看到程序的走向，这样你就可以知道程序
是如何计算和运行的，这样你就可以破解软件了。那么我们如何追踪呢？
   今天我就向大家介绍几种比较常用的追踪方法，相信会对大家有一定的帮助。


1 有注册码输入能够被直接拦下来
  这里是指有注册码输入的地方，而可以使用相应的拦截能够拦下的。比如：输入name和RN
后，可以使用 bpx hmemcpy  bpx getdlgitemtext等方法来拦下来，如果这样的拦下来的话
，关键是找到出错的地方，这样就可以查找可以避开出错的地方，通常也就可以破解它了。


2 有注册码输入不能够被直接拦下来
  如果不能够被拦下来，那么看一看程序有无提示窗口，如果有是最好的，你可以使用bpx 
lockmytask 通常这就可以拦下来了如果没有提示窗口的，那么在点击注册前下这个命令 bp
x sendmessage 通常可以被拦下来的，或者使用开窗函数如：bpx updatewindow这样程序在
找到窗口的时候就可以被拦下来了。


3 无注册码输入time bomb模式
  这种情况通常软件使用的是key文件保护的模式或者根本就是试用版，它们的破解通常是
破解掉time bomb就可以了。对于高手来说，可以破解出key文件中的内容这样就能够得到完
全注册版了，但是对于初学者来说，这有点难度。那么如何破解time bomb呢？可以下这样
的命令 bpx getsystemtime 或bpx settime bpx killtime等与时间相关的时间函数。
  这种情况比较多，还可以使用过期注册法，安装后调后日期，将软件过期，这样就可以使
用TRW或SI来调入程序从开始追踪它。查找到出错地方，再找跳跃这里的地方就可以了。


4 无注册码输入key模式
对于破解这种情况，你可以借助工具也可以使用中继来破解，如果借助工具的话，你可以使
用fimemon这个文件监视器，它可以看到程序都对什么文件进行读写了，如果不使用工具你可
以下bpx _lread bpx readfile bpx writefile等命令，这样你就可以追踪到它们了。


5 无注册码输入并加壳了。
  这个破解就比较难了，因为你无法通过修改程序来破解软件，那么破解它用什么办法呢？
这里介绍两个方法：
  （1） 在安装软件时调用filemon和regsap软件，监视程序将什么东西写到你的硬盘上，
这样就可以在过期时，将它们通通删除掉，软件就认为它是刚刚安装的，又可以再运行了。
   （2）使用手动或自动脱壳，如果是手动脱壳就要求你对壳比较了解了。这个就要大家来
学习了。如何脱壳，这个也有一定的方法，以后再介绍吧。
       可以使用prodump来脱壳，在脱壳之前使用侦壳软件先查一下软件使用什么来加壳的
这个很重要，通常能够决定你是否可以脱壳成功的。


好了，今天就介绍到这里了。

O【问题答疑】

一位网友提出：如何破解股票帐户管理软件

下载地址：http://go.163.com/~whsoft/SkActReg.exe

4【网站介绍】

白菜乐园：http://202.102.230.155/secrecy/index.htm

在破解界如果不知道白菜乐园和看雪学院的话，你可是太不知道这个解密界的好支处去了。今天向大家介绍的是大名鼎鼎的白菜乐园，他的内容是在太多了，我想我都不知道如何象大家介绍了，光从他的留言板就可以知道他的网站受欢迎的程序了。总之，如果你想更好的学习解密的话，大家一定要去这个白菜乐园，这样你可以从中学习许多解密的知识，具体你能够学到什么知识就要看你了。

,【杂志信箱】

投稿信箱：discoveredit@china.com

答疑信箱：discoveranswer@china.com

斑竹信箱：programhunter@china.com