mIRC v5.81版註冊碼演算法分析和序號產生器編寫

mIRC v5.81版註冊碼演算法分析和序號產生器編寫

軟體名稱：mIRC v5.81
下載網址：http://soft.hn.cninfo.net/
除錯工具：SoftICE 4.05
除錯平臺：Win2K、W32dsm89

    作者：chn-boy
    日期：2000-12-11

    先用W32dsm89進行靜態分析，查詢字串“”，然後上下察看，發現在地址0049D875處有點問題，記下這個地址。下回在mIRC領空時
下中斷：bpx 0049D875，從新再進行註冊，程式攔斷在0049D875處：

:0049D861 E8D89B0800              Call 0052743E
:0049D866 68D33B5400              push 00543BD3
:0049D86B 68EC375400              push 005437EC
:0049D870 E850FBFFFF              call 0049D3C5  <-- 註冊碼的計算Call，跟蹤進去詳細看看。程式執行到此，d *esp和d esp->4
                                                      你可以看到你輸入的Name和Code。
:0049D875 85C0                    test eax, eax  <-- 第一次攔斷在此，如果EAX=1，則註冊成功
:0049D877 0F84B0000000            je 0049D92D
:0049D87D BED41F5300              mov esi, 00531FD4
:0049D882 BFEC375400              mov edi, 005437EC
:0049D887 33C0                    xor eax, eax


將0049D870處的Call 0049D3C5程式碼取出片斷如下：
:0049D41D 68044B5500              push 00554B04 <-- 你輸入的Code
:0049D422 68004A5500              push 00554A00 <-- 你輸入的Name
:0049D427 E8A6FEFFFF              call 0049D2D2 <-- 將你輸入的Code和Name分別進行運算，然後進行比較，如果相等，則EAX=1。
:0049D42C 85C0                    test eax, eax
:0049D42E 7407                    je 0049D437
:0049D430 B801000000              mov eax, 00000001  <-- 將 EAX 置 1，也是註冊成功的標誌
:0049D435 EB74                    jmp 0049D4AB     

將0049D427處的Call 0049D2D2程式碼取出片斷如下：
:0049D2F3 6A2D                    push 0000002D  <-- 字元'-'
:0049D2F5 56                      push esi      <-- Code字串的offset
:0049D2F6 E841B00700              call 0051833C  <-- 得出Code字串中'-'的位置，值返回到EAX中
:0049D2FB 83C408                  add esp, 00000008
:0049D2FE 8BD8                    mov ebx, eax
:0049D300 85DB                    test ebx, ebx
:0049D302 7507                    jne 0049D30B
:0049D304 33C0                    xor eax, eax
:0049D306 E9B1000000              jmp 0049D3BC
:0049D30B C60300                  mov byte ptr [ebx], 00  <-- 將Code字串中的'-'字元置為0x00
:0049D30E 56                      push esi                <-- Code字串的offset
:0049D30F E848440800              call 0052175C          <-- 算出第一部分的值，比如：'781', 最後得到0x030D=781
                                                          <-- 將值返回到EAX中
:0049D314 59                      pop ecx
:0049D315 8945FC                  mov dword ptr [ebp-04], eax
:0049D318 C6032D                  mov byte ptr [ebx], 2D  <-- 將以前轉換的'-'恢復
:0049D31B 43                      inc ebx               
:0049D31C 803B00                  cmp byte ptr [ebx], 00  |
:0049D31F 7507                    jne 0049D328            |看看第二部分是否存在，若否，則跳到註冊不成功的地方
:0049D321 33C0                    xor eax, eax            |
:0049D323 E994000000              jmp 0049D3BC            |

:0049D328 53                      push ebx
:0049D329 E82E440800              call 0052175C          <-- 得到第二部分的值
:0049D32E 59                      pop ecx
:0049D32F 8945F8                  mov dword ptr [ebp-08], eax
:0049D332 FF7508                  push [ebp+08]
:0049D335 E8A2B00700              call 005183DC
:0049D33A 59                      pop ecx
:0049D33B 8945F4                  mov dword ptr [ebp-0C], eax
:0049D33E 33C0                    xor eax, eax
:0049D340 33DB                    xor ebx, ebx
:0049D342 BA03000000              mov edx, 00000003
:0049D347 8B4D08                  mov ecx, dword ptr [ebp+08]    <-- 將Name字串的長度值給ECX
:0049D34A 83C103                  add ecx, 00000003              <-- Name從第3+1=4個字元開始處理
:0049D34D 3B55F4                  cmp edx, dword ptr [ebp-0C]
:0049D350 7D1C                    jge 0049D36E                  <-- 如果Name長度少於等於3，則註冊不成功

:0049D352 0FB631                  movzx esi, byte ptr [ecx]            |
:0049D355 0FAF3485341F5300        imul esi, dword ptr [4*eax+00531F34]  |
:0049D35D 03DE                    add ebx, esi                          |
:0049D35F 40                      inc eax                              |從Name的第4個字元開始，分別用值*對應
:0049D360 83F826                  cmp eax, 00000026 (Name長度要少於0x29)|的一個固定字串（演算法分析中給出），
:0049D363 7E02                    jle 0049D367                          |並求和，將和總值給EBX，用d 0053F34你
:0049D365 33C0                    xor eax, eax                          |可以看到這個固定的字串。
:0049D367 42                      inc edx                              |
:0049D368 41                      inc ecx                              |
:0049D369 3B55F4                  cmp edx, dword ptr [ebp-0C]          |
:0049D36C 7CE4                    jl 0049D352                          |
:0049D36E 3B5DFC                  cmp ebx, dword ptr [ebp-04]          <-- 比較EBX和前面算出的那個第一部分是否相等
:0049D371 7404                    je 0049D377
:0049D373 33C0                    xor eax, eax                          <-- 不等，則註冊不成功
:0049D375 EB45                    jmp 0049D3BC
:0049D377 33C0                    xor eax, eax
:0049D379 33DB                    xor ebx, ebx
:0049D37B BA03000000              mov edx, 00000003
:0049D380 8B4D08                  mov ecx, dword ptr [ebp+08]
:0049D383 83C103                  add ecx, 00000003
:0049D386 3B55F4                  cmp edx, dword ptr [ebp-0C]
:0049D389 7D23                    jge 0049D3AE
:0049D38B 0FB631                  movzx esi, byte ptr [ecx]            |
:0049D38E 0FB679FF                movzx edi, byte ptr [ecx-01]          |
:0049D392 0FAFF7                  imul esi, edi                        |
:0049D395 0FAF3485341F5300        imul esi, dword ptr [4*eax+00531F34]  |
:0049D39D 03DE                    add ebx, esi                          |從Name的第4個字元開始，分別用值*前一個字元
:0049D39F 40                      inc eax                              |得值*固定字串對應值，求和後將值存放到EBX
:0049D3A0 83F826                  cmp eax, 00000026                    |
:0049D3A3 7E02                    jle 0049D3A7                          |
:0049D3A5 33C0                    xor eax, eax                          |
:0049D3A7 42                      inc edx                              |
:0049D3A8 41                      inc ecx                              |
:0049D3A9 3B55F4                  cmp edx, dword ptr [ebp-0C]          |
:0049D3AC 7CDD                    jl 0049D38B                          |
:0049D3AE 3B5DF8                  cmp ebx, dword ptr [ebp-08]          <-- 比較EBX和前面算出的那個第二部分是否相等
:0049D3B1 7404                    je 0049D3B7
:0049D3B3 33C0                    xor eax, eax                          <-- 不等，則註冊不成功
:0049D3B5 EB05                    jmp 0049D3BC
:0049D3B7 B801000000              mov eax, 00000001                    <-- 置EAX=1，註冊成功的標誌
:0049D3BC 5F                      pop edi
:0049D3BD 5E                      pop esi
:0049D3BE 5B                      pop ebx
:0049D3BF 8BE5                    mov esp, ebp
:0049D3C1 5D                      pop ebp
:0049D3C2 C20800                  ret 0008


【演算法分析】
    這個註冊碼演算法很簡單，形式就是：假定Name（簡稱N）和Code（簡稱C），令N'=Fn1(N), N''=Fn2(N), C'=Fc1(C), C''=Fc2(C)，
如果能讓C'=N' && C''=N''那麼註冊成功。
    根據前面分析，固定字串為0B 06 11 0C 0C 0E 05 0C 10 0A 0B 06 0E 0E 04 0B 06 0E 0E 04 0B 09 0C 0B 0A 08 0A 0A ...
        N'=Fn1(N)的定義為：從Name第4個字元開始，分別用值*這個固定的字串，求出總和。
        N''=Fn2(N)的定義為：從Name第4個字元開始，分別用值*前一個字元值*這個固定的字串，求出總和。

    下面關鍵問題是得到C', C''，由上面的分析可以知道C'=N'=Fn1(N)，C''=N''=Fn2(N)，那麼：
        C=Fc1逆(C') + '-' + Fc2逆(C'') = Fc1逆(Fn1(N)) + '-' + Fc2逆(Fn2(N))
這個C是很好根據N來得到的。

    詳細的序號產生器請看下文。