Mass Downloader v2.2.223 SR1解密分析(1) (10千字)

/////////////////////////////////////////////////////////////////////
//
// 目標軟體：Mass Downloader
//
// 軟體版本：v2.2.223 SR1
//
// 官方網站：http://www.metaproducts.com/
//
// 軟體授權：共享軟體
//
// 作業系統：Win95/98/ME、WinNT/2000
//
// 軟體簡介：
//
// 十分不錯的下載工具軟體，功能強大。支援多執行緒下載、斷點續傳，也具有
//
// 一定的下載檔案管理能力。
//
// 軟體保護：一般序列號保護、ASPACK加殼
//
/////////////////////////////////////////////////////////////////////
//
// 使用工具：TRW2000 v1.22 娃娃修改版
// (主要用於除錯分析)
//
// HIEW v6.70 Registered - CORE
// (16進位制編輯、製作SMC版本)
//
// Our Brain...:-)
//
/////////////////////////////////////////////////////////////////////
//
// 關於本文：本文主要目的在於教學，讓初學者掌握一些基本的脫殼方法及
//
// 軟體分析手段...請勿將此教程用於商業目的。
//
// Always Your Best Friend: FiNALSErAPH
//
// 水平有限，難免疏漏...
//
// Any Question?
// Mail To: FiNALSErAPH@yahoo.com.cn
//
// 2001-12-21
//
/////////////////////////////////////////////////////////////////////
//
// 第一部分：註冊碼校驗分析 (以Single User License為例)
//
// 為了便於說明，使用FiNALSErAPH作使用者名稱，7878787878787878
//
// 為輸入的註冊碼
//
/////////////////////////////////////////////////////////////////////
//
// 為了更方便地找到註冊碼比對點，這裡使用HMEMCPY作為斷點，我假設讀者
//
// 已經熟悉這一過程...如果你仍感到困惑...:-)繼續努力吧
//
/////////////////////////////////////////////////////////////////////
* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004EDDEA(C)
|
:004EDE0A 8D55FC lea edx, dword ptr [ebp-04]
:004EDE0D 8B83EC020000 mov eax, dword ptr [ebx+000002EC]
:004EDE13 E8ACAAF4FF call 004388C4
//我們以HMEMCPY作斷點，F12多次，會
//來到此處...
:004EDE18 8D55F8 lea edx, dword ptr [ebp-08]
:004EDE1B 8B83F4020000 mov eax, dword ptr [ebx+000002F4]
:004EDE21 E89EAAF4FF call 004388C4

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004EDE08(U)
|

* Possible StringData Ref from Code Obj ->"U = "
|
:004EDE26 68CCDF4E00 push 004EDFCC
:004EDE2B FF75FC push [ebp-04]

* Possible StringData Ref from Code Obj ->", K = "
|
:004EDE2E 68DCDF4E00 push 004EDFDC
:004EDE33 FF75F8 push [ebp-08]
:004EDE36 8D45F4 lea eax, dword ptr [ebp-0C]
:004EDE39 BA04000000 mov edx, 00000004
:004EDE3E E8C962F1FF call 0040410C
:004EDE43 8B55F4 mov edx, dword ptr [ebp-0C]
:004EDE46 8B07 mov eax, dword ptr [edi]
:004EDE48 E837DC0000 call 004FBA84
:004EDE4D 8D55FC lea edx, dword ptr [ebp-04]
:004EDE50 8B07 mov eax, dword ptr [edi]
:004EDE52 8B4DF8 mov ecx, dword ptr [ebp-08]
:004EDE55 E8FAE70100 call 0050C654
:004EDE5A 84C0 test al, al
:004EDE5C 0F848C000000 je 004EDEEE
//很明顯，上面的呼叫就是校驗的核心
//F8進入004EDE55處的呼叫
/////////////////////////////////////////////////////////////////////
* Referenced by a CALL at Addresses:
|:004EDE55 , :004F9885
|
:0050C654 55 push ebp
:0050C655 8BEC mov ebp, esp
:0050C657 6A00 push 00000000
:0050C659 6A00 push 00000000
:0050C65B 6A00 push 00000000
:0050C65D 6A00 push 00000000
:0050C65F 6A00 push 00000000
:0050C661 53 push ebx
:0050C662 894DFC mov dword ptr [ebp-04], ecx
:0050C665 8BDA mov ebx, edx
:0050C667 8B45FC mov eax, dword ptr [ebp-04]
:0050C66A E8917BEFFF call 00404200
:0050C66F 33C0 xor eax, eax
:0050C671 55 push ebp
:0050C672 6857CB5000 push 0050CB57
:0050C677 64FF30 push dword ptr fs:[eax]
:0050C67A 648920 mov dword ptr fs:[eax], esp
:0050C67D C645FB00 mov [ebp-05], 00
:0050C681 8B55FC mov edx, dword ptr [ebp-04]

* Possible StringData Ref from Code Obj ->"dqma"
|
:0050C684 B870CB5000 mov eax, 0050CB70
:0050C689 E8AA7CEFFF call 00404338
:0050C68E 85C0 test eax, eax
:0050C690 7E12 jle 0050C6A4
:0050C692 8D55FC lea edx, dword ptr [ebp-04]
:0050C695 8BC3 mov eax, ebx
:0050C697 E804F6FFFF call 0050BCA0
:0050C69C 8845FB mov byte ptr [ebp-05], al
:0050C69F E990040000 jmp 0050CB34

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0050C690(C)
|
:0050C6A4 8B03 mov eax, dword ptr [ebx]

* Possible StringData Ref from Code Obj ->"angus rod"
|
:0050C6A6 BA80CB5000 mov edx, 0050CB80
:0050C6AB E8AC7AEFFF call 0040415C
:0050C6B0 0F847E040000 je 0050CB34
:0050C6B6 8B03 mov eax, dword ptr [ebx]

* Possible StringData Ref from Code Obj ->"Henry Hooker"
|
:0050C6B8 BA94CB5000 mov edx, 0050CB94
:0050C6BD E89A7AEFFF call 0040415C
:0050C6C2 0F846C040000 je 0050CB34
:0050C6C8 8B03 mov eax, dword ptr [ebx]

* Possible StringData Ref from Code Obj ->"David Arthurs"
|
:0050C6CA BAACCB5000 mov edx, 0050CBAC
:0050C6CF E8887AEFFF call 0040415C
:0050C6D4 0F845A040000 je 0050CB34
:0050C6DA 8B03 mov eax, dword ptr [ebx]
.
.
.
//這是很長的一串程式，且重複性很強。說白了，作者寫的BlackList
//(哈哈，我倒是希望作者將我的Nick加入...:-))
//我們直接略過，來到下面地址
* Possible StringData Ref from Code Obj ->"Mass Downloader 1"
|
:0050CA33 6894CF5000 push 0050CF94
:0050CA38 FF33 push dword ptr [ebx]

* Possible StringData Ref from Code Obj ->"Single"
|
:0050CA3A 68B0CF5000 push 0050CFB0
:0050CA3F 8D45F4 lea eax, dword ptr [ebp-0C]
:0050CA42 BA03000000 mov edx, 00000003
:0050CA47 E8C076EFFF call 0040410C
:0050CA4C BB01000000 mov ebx, 00000001
:0050CA51 EB2B jmp 0050CA7E

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0050CA88(C)
|
:0050CA53 8B45FC mov eax, dword ptr [ebp-04]
:0050CA56 8A4418FF mov al, byte ptr [eax+ebx-01]
:0050CA5A 04D0 add al, D0
:0050CA5C 2C0A sub al, 0A
:0050CA5E 721D jb 0050CA7D
:0050CA60 04F9 add al, F9
:0050CA62 2C1A sub al, 1A
:0050CA64 7217 jb 0050CA7D
:0050CA66 04FA add al, FA
:0050CA68 2C1A sub al, 1A
:0050CA6A 7211 jb 0050CA7D
:0050CA6C 8D45FC lea eax, dword ptr [ebp-04]
:0050CA6F B901000000 mov ecx, 00000001
:0050CA74 8BD3 mov edx, ebx
:0050CA76 E81978EFFF call 00404294
:0050CA7B EB01 jmp 0050CA7E

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:0050CA5E(C), :0050CA64(C), :0050CA6A(C)
|
:0050CA7D 43 inc ebx

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:0050CA51(U), :0050CA7B(U)
|
:0050CA7E 8B45FC mov eax, dword ptr [ebp-04]
//在這裡，D EAX就可以見到我們輸入的
//錯誤註冊碼，下BPM EAX的斷點，F5繼
//續(按2次，就會發現如下的經典比對)。
/////////////////////////////////////////////////////////////////////
//經典比對程式片段
:00404185 8B0E mov ecx, dword ptr [esi]
:00404187 8B1F mov ebx, dword ptr [edi]
:00404189 39D9 cmp ecx, ebx
:0040418B 7558 jne 004041E5
//在這裡分別D ESI、D EDI就可以看到
//參與比對的字串，一個是我們輸入
//的錯誤註冊碼，另一個...:-)趕緊用
//筆記錄下來。
//在此處，我的使用者名稱對應的值為：
//8856852571979FL
//88568-52571979-FL(v2.2.212)
//這個版本似乎沒有對格式作嚴格要求
/////////////////////////////////////////////////////////////////////
:0050CA81 E8C675EFFF call 0040404C
:0050CA86 3BD8 cmp ebx, eax
:0050CA88 7EC9 jle 0050CA53
.
.
.
//找到正確的註冊碼了? 恐怕高興得太早了...:-)不信試試看...
//此處還有如下的關鍵比對點
* Possible StringData Ref from Data Obj ->")?"
|
:0050CB1F B818455400 mov eax, 00544518
//此處D EAX，可以看到...我想是作者計
//算出的正版使用者資訊吧
//(這只是猜測，沒有作具體分析)

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0050CB32(C)
|
:0050CB24 3B10 cmp edx, dword ptr [eax]
//注意此處的EDX值，這是由我的使用者名稱
//算出的待校驗值。我這裡是03222F4B
:0050CB26 7506 jne 0050CB2E
:0050CB28 C645FB01 mov [ebp-05], 01
//呵呵，是否註冊成功的標誌。我可不是
//正版使用者，所以按照正常流程，我不可
//能到達這裡，不過如果我將此時EDX的
//值預先置於00544518指向的地址空間，
//我就可以成功註冊
:0050CB2C EB06 jmp 0050CB34

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0050CB26(C)
|
:0050CB2E 83C004 add eax, 00000004
:0050CB31 4B dec ebx
:0050CB32 75F0 jne 0050CB24
.
.
.
//哦，錯誤註冊的出口

Mass Downloader v2.2.223 SR1解密分析(1) (10千字)

相關文章