做软件开发的人,尤其是做共享软件的,最终都要对自己的软件加以保护。《加密与解密》上说网上80%的软件,都是通过序列号来实现保护的,具体做法是根据一个私人信息(如用户名、邮箱、硬件序列号等),经过一定的加密算法,得到软件注册号(序列号)。这种方式的缺点是,解密者能通过分析加密算法,比较容易写出同样的加密算法,也就是注册机。当然,解密者需要较深厚的编程功底。
个人认为,通过分析别人的加密算法,再应用到自己的程序中,对程序员来讲,不适为一种自我提高的捷径。
以下是我分析破解的某知名通讯软件的用户验证方法:
1、过程分析
因为是网络软件,所以分了服务器端,和客户端。服务器端负责发送随机字串GUID和记录Session,客户端根据GUID进行加密得到EncryptKey,再将EncryptKey发往服务器端进行验证。
分析的切入点是客户端,我们是无法控制服务器端(黑客方法除外)。从客户端,我们能得到接收到的参数GUID和加密过程。
2、加密算法分析
这是我通过多次跟踪后,得到的EXE中的加密函数
![](/Images/OutliningIndicators/ContractedBlock.gif)
Code
1
0040227B |. 68 B0144300 PUSH Appxxx.004314B0 ; "RandomKey.aspx"返回GUID
2
00402280 |. 68 0C344300 PUSH Appxxx.0043340C
3
00402285 |. 52 PUSH EDX
4
00402286 |. E8 AD990100 CALL Appxxx.0041BC38
5
0040228B |. 8DAE D4000000 LEA EBP,DWORD PTR DS:[ESI+D4]
6
00402291 |. 8BCD MOV ECX,EBP
7
00402293 |. E8 A84B0000 CALL Appxxx.00406E40
8
00402298 |. 85C0 TEST EAX,EAX
9
0040229A |. 75 19 JNZ SHORT Appxxx.004022B5
10
0040229C |. 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
11
004022A0 |. C74424 54 FFF>MOV DWORD PTR SS:[ESP+54],-1
12
004022A8 |. E8 37970100 CALL Appxxx.0041B9E4
13
004022AD |. 83C8 FF OR EAX,FFFFFFFF
14
004022B0 |. E9 CA050000 JMP Appxxx.0040287F
15
004022B5 |> 8D4C24 24 LEA ECX,DWORD PTR SS:[ESP+24]
16
004022B9 |. E8 F2700000 CALL Appxxx.004093B0
17
004022BE |. 8B4424 14 MOV EAX,DWORD PTR SS:[ESP+14]
18
004022C2 |. 8D4C24 14 LEA ECX,DWORD PTR SS:[ESP+14]
19
004022C6 |. C64424 54 01 MOV BYTE PTR SS:[ESP+54],1
20
004022CB |. 8B40 F8 MOV EAX,DWORD PTR DS:[EAX-8]
21
004022CE |. 50 PUSH EAX
22
004022CF |. E8 8B9A0100 CALL Appxxx.0041BD5F
23
004022D4 |. 50 PUSH EAX ; /Arg1
24
004022D5 |. 8D4C24 28 LEA ECX,DWORD PTR SS:[ESP+28] ; |
25
004022D9 |. E8 D27C0000 CALL Appxxx.00409FB0 ; \ MD5第一次加密
26
004022DE |. 50 PUSH EAX
27
004022DF |. 8D4C24 24 LEA ECX,DWORD PTR SS:[ESP+24]
28
004022E3 |. E8 6A970100 CALL Appxxx.0041BA52
29
004022E8 |. 6A 05 PUSH 5
30
004022EA |. 8D4C24 44 LEA ECX,DWORD PTR SS:[ESP+44]
31
004022EE |. 6A 13 PUSH 13 ; 取19位置5个字符
32
004022F0 |. 51 PUSH ECX
33
004022F1 |. 8D4C24 2C LEA ECX,DWORD PTR SS:[ESP+2C]
34
004022F5 |. C64424 60 02 MOV BYTE PTR SS:[ESP+60],2
35
004022FA |. E8 D27A0100 CALL Appxxx.00419DD1
36
004022FF |. 8BD8 MOV EBX,EAX
37
00402301 |. 6A 05 PUSH 5
38
00402303 |. 8D5424 40 LEA EDX,DWORD PTR SS:[ESP+40]
39
00402307 |. 6A 04 PUSH 4 ; 取4位置的5个了符
40
00402309 |. 52 PUSH EDX
41
0040230A |. 8D4C24 2C LEA ECX,DWORD PTR SS:[ESP+2C]
42
0040230E |. C64424 60 03 MOV BYTE PTR SS:[ESP+60],3
43
00402313 |. E8 B97A0100 CALL Appxxx.00419DD1
44
00402318 |. 8DBE FC020000 LEA EDI,DWORD PTR DS:[ESI+2FC]
45
0040231E |. C64424 54 04 MOV BYTE PTR SS:[ESP+54],4
46
00402323 |. 57 PUSH EDI
47
00402324 |. 50 PUSH EAX
48
00402325 |. 8D4424 40 LEA EAX,DWORD PTR SS:[ESP+40]
49
00402329 |. 50 PUSH EAX
50
0040232A |. E8 A3980100 CALL Appxxx.0041BBD2
51
0040232F |. 53 PUSH EBX
52
00402330 |. 8D4C24 38 LEA ECX,DWORD PTR SS:[ESP+38]
53
00402334 |. 50 PUSH EAX
54
00402335 |. 51 PUSH ECX
55
00402336 |. C64424 60 05 MOV BYTE PTR SS:[ESP+60],5
56
0040233B |. E8 92980100 CALL Appxxx.0041BBD2
57
00402340 |. 8D5424 14 LEA EDX,DWORD PTR SS:[ESP+14]
58
00402344 |. C64424 54 06 MOV BYTE PTR SS:[ESP+54],6
59
00402349 |. 52 PUSH EDX
60
0040234A |. 50 PUSH EAX
61
0040234B |. 8D4424 24 LEA EAX,DWORD PTR SS:[ESP+24]
62
0040234F |. 50 PUSH EAX
63
00402350 |. E8 7D980100 CALL Appxxx.0041BBD2 ; 连接字串
64
00402355 |. 8D4C24 34 LEA ECX,DWORD PTR SS:[ESP+34]
65
00402359 |. C64424 54 0B MOV BYTE PTR SS:[ESP+54],0B
66
0040235E |. E8 81960100 CALL Appxxx.0041B9E4
67
00402363 |. 8D4C24 38 LEA ECX,DWORD PTR SS:[ESP+38]
68
00402367 |. C64424 54 0A MOV BYTE PTR SS:[ESP+54],0A
69
0040236C |. E8 73960100 CALL Appxxx.0041B9E4
70
00402371 |. 8D4C24 3C LEA ECX,DWORD PTR SS:[ESP+3C]
71
00402375 |. C64424 54 09 MOV BYTE PTR SS:[ESP+54],9
72
0040237A |. E8 65960100 CALL Appxxx.0041B9E4 ; 往串前加字串了
73
0040237F |. 8D4C24 40 LEA ECX,DWORD PTR SS:[ESP+40]
74
00402383 |. C64424 54 08 MOV BYTE PTR SS:[ESP+54],8
75
00402388 |. E8 57960100 CALL Appxxx.0041B9E4
76
0040238D |. 8B4C24 1C MOV ECX,DWORD PTR SS:[ESP+1C]
77
00402391 |. 8B41 F8 MOV EAX,DWORD PTR DS:[ECX-8]
78
00402394 |. 8D4C24 1C LEA ECX,DWORD PTR SS:[ESP+1C]
79
00402398 |. 50 PUSH EAX
80
00402399 |. E8 C1990100 CALL Appxxx.0041BD5F
81
0040239E |. 50 PUSH EAX ; /Arg1
82
0040239F |. 8D4C24 28 LEA ECX,DWORD PTR SS:[ESP+28] ; |
83
004023A3 |. E8 087C0000 CALL Appxxx.00409FB0 ; \ MD5第二次 加密
84
004023A8 |. 50 PUSH EAX
85
//后期处理
从上面分析看出,这个加密过程用到了两次md5加密,第一次结果的处理后,交由第二次加密。
3、加密算法还原C#代码
弄清楚了过程,写还原代码就简单了,以下是用C#实现的代码
1![](/Images/OutliningIndicators/ExpandedBlockStart.gif)
/**//// <summary>
2
/// 加密函数
3
/// </summary>
4
/// <param name="strKey">RandomKey.aspx得到的随机字串</param>
5
/// <param name="strID">某ID字串</param>
6
/// <returns>加密文本</returns>
7
public string GetEncrypKey(string strKey, string strID)
8![](/Images/OutliningIndicators/ExpandedBlockStart.gif)
{
9
string result = "";
10
//第一次加密
11
MD5 md5 = new MD5CryptoServiceProvider();
12
byte[] buffer = System.Text.Encoding.Default.GetBytes(strKey);
13
byte[] EncrypArray = md5.ComputeHash(buffer);
14
for (int i = 0; i < EncrypArray.Length; i++)
15![](/Images/OutliningIndicators/ExpandedSubBlockStart.gif)
{
16
result += string.Format("{0:X2}", EncrypArray[i]);
17
}
18![](/Images/OutliningIndicators/InBlock.gif)
19
//为第二次加密准备数据
20
string tmpStr = result.ToLower();
21
string str2 = string.Format("{0}{1}{2}{3}", tmpStr.Substring(4, 5), strID, tmpStr.Substring(19, 5), strKey);
22![](/Images/OutliningIndicators/InBlock.gif)
23
//第二次加密
24
buffer = System.Text.Encoding.Default.GetBytes(str2);
25
EncrypArray = md5.ComputeHash(buffer);
26
result = "";
27
for (int i = 0; i < EncrypArray.Length; i++)
28![](/Images/OutliningIndicators/ExpandedSubBlockStart.gif)
{
29
result += string.Format("{0:X2}", EncrypArray[i]);
30
}
31
return result.ToLower();
32
}
33![](/Images/OutliningIndicators/None.gif)