取密钥生成算法(图)
从拷贝保护产品中剥取(ripping)算法通常是创建密钥生成程序的一种简单而行之有效的方法。其思路非常简单:定位受保护程序内计算合法序列号的函数(可能不止一个函数),并将它(们)移植到你密钥生成程序中。这种方法的美妙之处在于你不需要真正理解这个算法,你只需要找到生成合法序列号这个(或些)函数并想办法在自己的程序中调用它(们)。
你第一个必须要完成的任务是定位这个crackme程序内的密钥生成算法。可以采取的办法有很多,但有一种方法很少会失败,那就是寻找读取你输入用户名和序列号的两个文本框的那段代码。假定KegenMe-3的主窗口是一个对话框(这一点通过查找程序初始化代码中的创建对话框的API函数就可以很容易地得到证实),很可能程序会使用GetDlgItemText函数或者向文本框发送WM_GETTEXT消息。假定这个程序使用的是GetDlgItemText,你可以返回到OllyDbg的“Name(名称)”窗口查找调用GetDlgItemTextA或调用GetDlgItemTextW的代码。不出所料,你会发现程序调用了GetDlgItemTextA函数。打开“Find References to Import(查找导入项的引用)”窗口,你会看到有两处代码调用了这个GetDlgItemTextA函数(不计那条直接跳转的JMP指令,它是这个函数的导入地址表中的项)。
列表11.1 KeygenMe-3中第一个输入字符串的转换算法
列表11.1
在试着从列表11.1给出的代码中剥取出转换算法之前,让我们先看一下在Key4.00401388处的这个函数,它显然也是算法的一部分。
列表11.2 KeygenMe-3中第二个输入字符串的转换算法
列表11.2
通过查看这段代码,你可以明显地看到好像有两段代码中包含了密钥生成算法。第一段是列表11.1中Key4.0040130B部分,第二段是列表11.2给出的整个函数。列表11.1中的那部分代码生成了ESI寄存器中的值,而列表11.2中的函数将返回值赋给了EAX寄存器。然后比较这两个值,如果两个值相等的话,程序就报告成功通过验证(也就是我们刚才修补过的地方)。
我们从Key4.0040130B处的代码片段开始,确定它要接收什么样的输入数据。这段代码开始之前ECX寄存器已经存放了输入的第一个字符串(从上面那个文本框输入的字符串)的长度,开始之后代码中又出现了该字符串的地址(40303F)和一个未知的硬编码地址(40351F)。首先要注意的是,这段代码并没有挨个地处理字符串中的每个字符。相反,它只是读取字符串的前四个字符,并把它们当作一个双字来处理。要把这些代码移植到自己的密钥生成程序中,必须先弄清楚40351F中存放的到底是什么。首先,你可以看到这个地址在引用之前总是先与EAX寄存器中的值相加。在第一次迭代中,EAX寄存器的值为1,所以访问的实际地址是403520。在接下来的迭代中,EAX的值一直为4,所以你现在应该去查看403524这个地址。在OllyDbg中读出403520处的内存,你可以看到这个地址包含了下面这些数据:
要注意的是,这一行代码把这个地址当作一个单字节来访问,而不是按完整的DWORD访问,所以实际上程序只访问了第一字节(0x25)和第四字节(0x65)的内容。
查看列表11.1中的第一个算法,你会发现这显然是一个将用户名转换成一个32位数的密钥生成算法(转换完成后存放在ESI寄存器中)。那么,列表11.2中的第二个算法又在干什么呢?通过快速浏览就可以看出这段代码中没有任何复杂的处理。它只是逐个检查我们输入的序列号中的每一个数字,每检查一个都把它的值减去0x30(0x30恰好就是ASCII码中“0“的编码)并将结果反复地乘以10,直到ECX寄存器中的值变成0为止。对源串中每一个字符进行乘10运算是在一个内部循环中完成的,且乘以10的次数取决于这个数字在源串中的位置。
在调试器中单步调试这段代码,我们会看到一些有经验的逆向工作者仅通过观察这个函数就可以获得的一些信息。这个函数实际上就是把通过参数传入的字符串转化成一个二进制的DWORD(双字),它相当于C运行库中的atoi函数,但它看上去更像是一个atoi函数的个人实现版本(atoi要稍微复杂一点,如果有相应的库文件,并且因为OllyDbg能够识别出库函数——如果程序中用了atoi函数的话,肯定会被OllyDbg识别出来,但OllyDbg没有在KeygenMe-3中找到相关的任何信息)。
因此,好像第一个算法(列表11.1中的算法)使用了一个专门的算法将用户名转换成32位的DWORD,而第二个算法只是简单地将下面的那个文本框中输入的内容转换成数字形式。下面的那个文本框中所包含的应该就是第一个算法生成的数。根据这一线索,好像我们只需要把第一个算法“剥取”出来放到我们的密钥生成程序中,就可以让它为我们生成序列号了。让我们来试试看。
表11.3给出了我为密钥生成程序创建的取出来的子程序。它实际上是一个C函数(用Microsoft的C/C 编译器编译),其中是一段从OllyDbg的反汇编器中拷贝而来的一段直接插入的(inline。译注:用“_asm { }”括起来的部分)汇编代码。用小写字母表示的指令是我手工加上去的,还包括LoopStart这个名称。
列表11.3 从KeygenMe-3中取出的处理第一个字符串的转换算法
列表11.3
我把这个函数(函数名为ComputeSerial)插入到一个短小的控制台模式的应用程序中(console mode application),这个程序要求用户输入用户名,并以十进制数形式显示ComputeSerial函数的返回值。这个程序所要做的只是调用ComputeSerial函数并以十进制数的形式显示ComputeSerial的返回值。下面是我的密钥生成程序的入口程序:
似乎输入任意一个名字到KeygenMe-3主界面的上面的那个文本框(这个名字应与作为参数传递给ComputeSerial函数的名字相同),然后将ComputeSerial函数的返回值键入到KeygenMe-3主界面的第二个文本框,就可以让KeygenMe-3显示成功消息框了。让我们来试试看。你可以将“John Doe”作为参数传递给我们的密钥生成程序,并记下生成的序列号。图11.9显示了密钥生成程序的输出界面。
图11.9 运行中的KeygenMe-3密钥生成程序
最后得到的序列号为580695444。运行KeygenMe-3(未做补丁的那个版本),在第一个文本框中输入“John Doe”,在第二个文本框中输入“580695444”。又成功了!KeygenMe-3将这两个输入值作为合法的值接受了。恭喜你,你的第二节破解课程到此结束。