系统 : Windows xp
程序 : RCA_CRACKME
程序下载地址 :http://pan.baidu.com/s/1bnoOQ6
要求 : 注册机编写
使用工具 : IDA Pro & OD
可在“PEDIY CrackMe 2007”中查找关于此程序的讨论,标题为“RCA Crackme 简单分析”。
运行程序输入测试用户名密码,准备进行测试。发现check it!!!按钮被隐藏了,无法单击。怀疑这里用了隐藏按钮窗口的API函数,这里我们使用IDA载入程序,发现左侧函数名称中的确有“EnableWindow”函数。双击定位,双击交叉参考进入程序调用它的位置:
.text: push 3EEh ; nIDDlgItem
.text: push [ebp+hDlg] ; hDlg
.text:0040106C call GetDlgItem
.text: mov [ebp+hWnd], eax
.text: or eax, eax
.text: jnz short loc_401087
.text: push ; bEnable
.text:0040107A push [ebp+hWnd] ; hWnd
.text:0040107D call EnableWindow
.text: jmp loc_40112A
.text: ; ---------------------------------------------------------------------------
.text:
.text: loc_401087: ; CODE XREF: DialogFunc+36j
.text: push ; bEnable
.text: push [ebp+hWnd] ; hWnd
.text:0040108C call EnableWindow
.text: jmp loc_40112A
可以看到,程序调用GetDlgItem的返回值做判断,根据参数不难发现,这里的GetDlgItem是WinAPI函数。打开OD,将401076处的代码改成“jz short 00401087”即可解除隐藏按钮。
接着一开始,我们输入测试用户名密码,并根据提供的错误字串找到关键算法:
0040115E |. push edi ; /String => ""
0040115F |. E8 call <jmp.&kernel32.lstrlenA> ; \lstrlenA
|. 8BD8 mov ebx, eax ; 用户名长度保存在ebx中
|. 33C0 xor eax, eax
|> /push eax
|. |push ebx ; 长度入栈
0040116A |. |push edi ; 字串地址入栈
0040116B |. 0FBE0C38 |movsx ecx, byte ptr [eax+edi] ; 逐个取字符
0040116F |. |push ecx ; /<%x>
|. |push ; |Format = "%x"
|. |push ; |s = CrackMe.00403168
0040117A |. E8 D3000000 |call <jmp.&user32.wsprintfA> ; \wsprintfA
0040117F |. 83C4 0C |add esp, 0C ; 平衡堆栈
|. |push ; /StringToAdd = ""
|. |push ; |ConcatString = ""
0040118C |. E8 0F010000 |call <jmp.&kernel32.lstrcatA> ; \lstrcatA
|. 5F |pop edi
|. 5B |pop ebx
|. |pop eax
|. |inc eax ; 循环变量自增
|. 3BC3 |cmp eax, ebx
|.^ 7C CF \jl short
|. push ; /String2 = ""
0040119E |. push ; |String1 = ""
004011A3 |. E8 FE000000 call <jmp.&kernel32.lstrcmpA> ; \lstrcmpA
004011A8 |. 0BC0 or eax, eax
004011AA |. 4A jnz short 004011F6
004011AC |. 6A push ; /Style = MB_OK|MB_APPLMODAL
004011AE |. push ; |Title = "Reverse Engineering Association"
004011B3 |. push ; |Text = "Congratulation! You've done with it"
004011B8 |. FF75 push dword ptr [ebp+] ; |hOwner
004011BB |. E8 C2000000 call <jmp.&user32.MessageBoxA> ; \MessageBoxA
004011C0 |. EC030000 push 3EC ; /ControlID = 3EC (1004.)
004011C5 |. FF75 push dword ptr [ebp+] ; |hWnd
004011C8 |. E8 A3000000 call <jmp.&user32.GetDlgItem> ; \GetDlgItem
004011CD |. FC mov dword ptr [ebp-], eax
004011D0 |. 6A push ; /Enable = FALSE
004011D2 |. FF75 FC push dword ptr [ebp-] ; |hWnd
004011D5 |. E8 8A000000 call <jmp.&user32.EnableWindow> ; \EnableWindow
004011DA |. ED030000 push 3ED ; /ControlID = 3ED (1005.)
004011DF |. FF75 push dword ptr [ebp+] ; |hWnd
004011E2 |. E8 call <jmp.&user32.GetDlgItem> ; \GetDlgItem
004011E7 |. F8 mov dword ptr [ebp-], eax
004011EA |. 6A push ; /Enable = FALSE
004011EC |. FF75 F8 push dword ptr [ebp-] ; |hWnd
004011EF |. E8 call <jmp.&user32.EnableWindow> ; \EnableWindow
004011F4 |. EB jmp short 0040120A
004011F6 |> 6A push ; /Style = MB_OK|MB_APPLMODAL
004011F8 |. push ; |Title = "Reverse Engineering Association"
004011FD |. push ; |Text = "No,no! Try it again!"
|. FF75 push dword ptr [ebp+] ; |hOwner
|. E8 call <jmp.&user32.MessageBoxA> ; \MessageBoxA
以上就是关键处算法,用户名字串的十六进制码既是密钥。
打开http://www.cnblogs.com/ZRBYYXDM/p/5002789.html中搭建的MFC窗口程序,修改OnOk函数如下:
void CSerialNumber_KeygenDlg::OnOK()
{
// TODO: Add extra validation here
CString str;
GetDlgItem( IDC_EDIT_NAME )->GetWindowText( str ); //获取用户名 int len = str.GetLength(); //获取长度
CString SerialNumber,Temp; for ( int i = ; i != len ; i++ ){
Temp.Format( "%x",str[i] );
SerialNumber += Temp;
} GetDlgItem( IDC_EDIT_Number )->SetWindowText( SerialNumber ); //CDialog::OnOK(); //屏蔽基类OnOk函数
}
再在OnInitDialog中添加此代码修改标题:SetWindowText(_T("RCA_CRACKME_Keygen"));
运行效果:
