吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|zbsqdt.com

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 9733|回复: 166
上一主题 下一主题

[原创] [新春礼物]_0_1_0_Editor 注册算法分析及全部版本注册机、网络在线验证分析和验证模拟

    [复制链接]
跳转到指定楼层
楼主
solly 发表于 2020-1-29 17:03 回帖奖励
本帖最后由 solly 于 2020-1-30 22:27 编辑

外面疫情严重,窝家里没事,对论坛中下手较多的 _010_Editor 进行完整和彻底的注册算法分析。通过分析和测试,其所有版本的算法是一样的(经测试,Windows 下66655.am_【官方首页】-威尼斯人从 v2.1.4 到 v10.0.0 的 x86 及 x64 版本是通用的,其它平台,如 MacOS 和 Linux,没有测试)。


66655.am_【官方首页】-威尼斯人下面以 v10.0.0 x86 版本为例进行分析。


惯例,首先看看文件信息:

是由 VS + QT5 编译而来的,没有加壳,是分析算法的良心软件。节信息如下:

没有什么不良信息,一切正常。


首先进入软件看看,启动该软件,界面如下:

这个配色,有点骚,进行注册看看(菜单 “Tools”->"Register"进入),输入注册假码数据:


点击 “Check License”,看到如下提示信息:


很良心地提示你下手的地点和方法了。


用 OD 载入软件,显示如下:

基于 QT 框架编译的标准模式,也没什么特别的地方。在 OD 中直接搜索字符串,定位 invalid name or password.“,如下图所示:

双击该字符串,来到引用其的代码处,如下图所示:

再在该代码指令上右键菜单,可以看到,有另一条指令跳转到这里,我们”转到“菜单,跳转到该指令,如下图所示:

可以看到,这里有3个比较,检查注册结果。上面(0x0123BA36,可能地址不一样,但应该也是 0xnnnnBA36形式,最高2字节可能不同)有一个 jmp 指令,在其下一条指令处右键”转到“,如下图所示:

可以看到,这里也是从另一指令跳转而来的,同样方法,跳转上一条指令,如下图所示:

这里又是一条比较指令(cmp edi, 0xDB),先説一下,这个0xDB是成功注册的标志。
再一次在这一条指令上右键”转到“,如下图所示:

可以看到有两个地方的指令跳转到这里了。我们先不跳转,再往上看,又有一条JMP 指令(JMP 0x0123BBD9),我们在这条指令的下面一条指令上右键”转到“,如下图所示:

可以看到,也有一条指令跳转到这里,这里跳转过去,有一条JNZ指令,如下图所示:


同样方法继续回溯,就会来到下面位置:

这里就是注册算法调用处了,如上图所示,这几行代码就是调用注册算法的:
[Asm] 纯文本查看 复制代码
016FB7D3   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]                        ;  第三次引用[0371805C]
016FB7D9   .  68 3C470000         push    0x473C                                            ;  18236
016FB7DE   .  6A 0B               push    0xB                                               ;  11
016FB7E0   .  E8 07F350FF         call    00C0AAEC                                          ;  注册码检查
016FB7E5   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]                        ;  第四次引用[0371805C]
016FB7EB   .  8BD8                mov     ebx, eax                                          ;  注册标志 ebx == eax
016FB7ED   .  68 3C470000         push    0x473C                                            ;  18236
016FB7F2   .  6A 0B               push    0xB                                               ;  11
016FB7F4   .  E8 5FE650FF         call    00C09E58                                          ;  注册码检查 及 试用期扩充的检查
016FB7F9   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]                        ;  第五次引用[0371805C]
016FB7FF   .  8BF8                mov     edi, eax                                          ;  版本标识 edi == eax
016FB801   .  81FB E7000000       cmp     ebx, 0xE7                                         ;  成功标志3
016FB807   .  0F84 F3000000       je      016FB900
016FB80D   .  8379 2C 00          cmp     dword ptr [ecx+0x2C], 0x0                         ;  成功标志4,与3二选一, ds:[0384547C]
016FB811   .  0F84 E9000000       je      016FB900

注意:前面説了,由于系统重定位的原因,每次运行的指令地址和数据地址的高2字节是变化的,从上面代码与截图的对比就可以看出来,因此我们只看低2字节的偏移量即可。
另外,下面的位置也调用了注册算法函数,我们前面也看过这个位置了,如下图所示:

具体调用代码如下:
[Asm] 纯文本查看 复制代码
016FB8E6   > \8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]        ;  全部检查通过来到这里
016FB8EC   .  68 3C470000         push    0x473C                            ;  18236
016FB8F1   .  6A 0B               push    0xB                               ;  11
016FB8F3   .  E8 60E550FF         call    00C09E58
016FB8F8   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]
016FB8FE   .  8BF8                mov     edi, eax
016FB900   >  81FF DB000000       cmp     edi, 0xDB                         ;  成功标志2,edi==0xDB
016FB906   .  0F85 2C010000       jnz     016FBA38                          ;  不相等则去试用期过期检查

下面我们开始跟踪其注册算法,先在这个位置下一个断点,如下图所示:


0xnnnnB7A7 位置下一个断点。

按 F9 运行该软件,在注册界面,输入注册码假码信息,如下图所示:


在上图中也可以看到目前的注册状态:Evaluation Version - 30 Days Left。点 ”Check License“ 按钮,OD 马上断了下来,如下图所示:

这一段代码如下所示:
[Asm] 纯文本查看 复制代码
016FB7A7   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]        ;  第一次引用[0371805C]
016FB7AD   .  50                  push    eax                               ;  [eax] ===> 用户名
016FB7AE   .  C645 FC 08          mov     byte ptr [ebp-0x4], 0x8           ;  VC的资源计数
016FB7B2   .  E8 F8E450FF         call    00C09CAF                          ;  检查名字是否由单、双引号包含,有则去除单、双引号
016FB7B7   .  8D4D D8             lea     ecx, dword ptr [ebp-0x28]         ;  [ecx] ===> 用户名
016FB7BA   .  C645 FC 01          mov     byte ptr [ebp-0x4], 0x1
016FB7BE   .  FF15 B094BD03       call    dword ptr [<&Qt5Core.QString::~QS>;  用户名字符串的引用计数减 1,为0时就释放内存
016FB7C4   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]        ;  第二次引用[0371805C]
016FB7CA   .  8D45 E8             lea     eax, dword ptr [ebp-0x18]
016FB7CD   .  50                  push    eax
016FB7CE   .  E8 B07550FF         call    00C02D83                          ;  将注册码中的大写'O'和小写'o'换成数字'0',将小写字母'l'换成数字'1'
016FB7D3   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]        ;  第三次引用[0371805C]
016FB7D9   .  68 3C470000         push    0x473C                            ;  18236
016FB7DE   .  6A 0B               push    0xB                               ;  11
016FB7E0   .  E8 07F350FF         call    00C0AAEC                          ;  注册码检查
016FB7E5   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]        ;  第四次引用[0371805C]
016FB7EB   .  8BD8                mov     ebx, eax                          ;  注册标志 ebx == eax
016FB7ED   .  68 3C470000         push    0x473C                            ;  18236
016FB7F2   .  6A 0B               push    0xB                               ;  11
016FB7F4   .  E8 5FE650FF         call    00C09E58                          ;  注册码检查 及 试用期扩充的检查
016FB7F9   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]        ;  第五次引用[0371805C]
016FB7FF   .  8BF8                mov     edi, eax                          ;  版本标识 edi == eax
016FB801   .  81FB E7000000       cmp     ebx, 0xE7                         ;  成功标志3
016FB807   .  0F84 F3000000       je      016FB900
016FB80D   .  8379 2C 00          cmp     dword ptr [ecx+0x2C], 0x0         ;  成功标志4,与3二选一, ds:[0384547C]
016FB811   .  0F84 E9000000       je      016FB900
016FB817   .  6A 00               push    0x0
016FB819   .  8BCE                mov     ecx, esi
016FB81B   .  E8 BB6D50FF         call    00C025DB
016FB820   .  85C0                test    eax, eax
016FB822   .  0F89 8C000000       jns     016FB8B4                          ;  eax非负,需要再次判断(时长)
[/size][size=4]

按 F8 运行到如下位置:

这个调用就是调用注册算法函数。66655.am_【官方首页】-威尼斯人不过,所有的 call 调用,都是调用一个 JMP 指令,通过JMP指令再跳转到相应的函数。如下图所示,就是注册算法函数,但是其开始地址并不是 call 后面的地址。
按 F7 进入注册算法函数。


该函数结尾如下图所示,有三种退出方式:



我们回到函数前面,如下图所示:

可以看到,最下面有一个调用(call 00749D0E),这是一个对注册格式进行检查的函数,先 F8 执行到该调用,再按 F7 进入调用,如下图所示:


首先检查长度,并进行内码转换,由 Unicode 码转换成 utf-8 编码。转换结果如下图OD数据区所示:

下面説一下 QT 字符串(QString)在内存中保存的格式,定义如下:
[C++] 纯文本查看 复制代码
struct QString {
ULONG Reference_Count;
ULONG Length;
ULONG Capacity;
ULONG Unknow;      ////  附加属性,总是 0x10,包括 isRightToLeft 等
char  Buffer[16];
};

从上图中 OD 的数据区可以看到,保存的注册码数据存贮格式:引用次数为 1,长度为 0x18,字符串容量为 0x19,其它属性为 0x00000010,内容为 "1111-2222-3333-4444-5555"66655.am_【官方首页】-威尼斯人。
下面是注册码以 Unicode 格式保存时的存贮格式:
[Asm] 纯文本查看 复制代码
06D45538  01 00 00 00 18 00 00 00 38 00 00 00 10 00 00 00  ......8......
06D45548  31 00 31 00 31 00 31 00 2D 00 32 00 32 00 32 00  1.1.1.1.-.2.2.2.
06D45558  32 00 2D 00 33 00 33 00 33 00 33 00 2D 00 34 00  2.-.3.3.3.3.-.4.
06D45568  34 00 34 00 34 00 2D 00 35 00 35 00 35 00 35 00  4.4.4.-.5.5.5.5.
06D45578  00 00 AD BA 0D F0 AD BA                          ...瓠?瓠?

函数再检查注册码的”-“号分隔符是否符合要求,并调用 call 0xnnnn984A 函数,将大写”O“,小写”o“字母转换成数字”0“,将小写”l“字母转换成数字”1“,然后将字母按 36 进制(0~9,A~Z)转换成数字。66655.am_【官方首页】-威尼斯人调用完成后,将这此转换后成数字组合成一个字节数组 。
从该函数返回后,就会将字符串注册码全部转换并组成一个字节数组了,如下图OD的数据区所示:


然后就从注册码字节数组(sn_int[])中取出 sn_int[3],这个字节标示的是注册类型,有3种类型,如下所示:

66655.am_【官方首页】-威尼斯人1、0x9C,这个是没有免费技术支持,没有免费升级的注册类型,注册码中有版本号检查,必须大于当前软件的版本,否则提示注册码过期。注册码只有4段。
66655.am_【官方首页】-威尼斯人2、0xAC,这个是有免费技术支持、有免费升级的完整注册类型,不过会检查注册码中的过期时间(天数,从发布时间算起),这些免费支持是有期限的,会过期。66655.am_【官方首页】-威尼斯人注册码有5段,是最完整的注册码。
3、0xFC,这个不算正式注册版本,是延长试用期版本,最长可延长为5年试用期(从发布日期算起),这个版本会有一些检查(注册表中的数据),保证延期合法。注册码只有4段。
具体见下图,是对 0x9C 类型的注册码进行检查:

上图中,调用函数 call 0xnnnn7351,就是解码版本数据,即解码 sn_int[0] ^ sn_int[6] 的值,这个值在 v10.0.0 版中,要大于或等于 0x0B

注册算法函数的完整代码如下,其中加了注释:
[Asm] 纯文本查看 复制代码
01DDCC20   > \55                   push    ebp
01DDCC21   .  8BEC                 mov     ebp, esp
01DDCC23   .  6A FF                push    -0x1
01DDCC25   .  68 898F3002          push    02308F89                                          ;  SEH
01DDCC2A   .  64:A1 00000000       mov     eax, dword ptr fs:[0]
01DDCC30   .  50                   push    eax
01DDCC31   .  83EC 18              sub     esp, 0x18
01DDCC34   .  53                   push    ebx
01DDCC35   .  56                   push    esi
01DDCC36   .  57                   push    edi
01DDCC37   .  A1 E039BD03          mov     eax, dword ptr [0x3BD39E0]
01DDCC3C   .  33C5                 xor     eax, ebp
01DDCC3E   .  50                   push    eax
01DDCC3F   .  8D45 F4              lea     eax, dword ptr [ebp-0xC]
01DDCC42   .  64:A3 00000000       mov     dword ptr fs:[0], eax                             ;  SEH
01DDCC48   .  8BF9                 mov     edi, ecx                                          ;  函数参数
01DDCC4A   .  8D5F 04              lea     ebx, dword ptr [edi+0x4]                          ;  ebx=edi+4
01DDCC4D   .  C745 F0 00000000     mov     dword ptr [ebp-0x10], 0x0
01DDCC54   .  8BCB                 mov     ecx, ebx                                          ;  [ecx] ===> 用户名
01DDCC56   .  C747 30 00000000     mov     dword ptr [edi+0x30], 0x0
01DDCC5D   .  C747 18 00000000     mov     dword ptr [edi+0x18], 0x0
01DDCC64   .  C747 34 00000000     mov     dword ptr [edi+0x34], 0x0
01DDCC6B   .  FF15 C494BD03        call    dword ptr [<&Qt5Core.QString::isEmpty>]           ;  Qt5Core.QString::isEmpty
01DDCC71   .  84C0                 test    al, al                                            ;  al==0,非空
01DDCC73   .  0F85 75020000        jnz     01DDCEEE
01DDCC79   .  8D4F 08              lea     ecx, dword ptr [edi+0x8]                          ;  [ecx] ===> 注册码
01DDCC7C   .  FF15 C494BD03        call    dword ptr [<&Qt5Core.QString::isEmpty>]           ;  Qt5Core.QString::isEmpty
01DDCC82   .  84C0                 test    al, al                                            ;  al==0,非空
01DDCC84   .  0F85 64020000        jnz     01DDCEEE
01DDCC8A   .  8D45 DC              lea     eax, dword ptr [ebp-0x24]                         ;  [eax] ===> obj
01DDCC8D   .  8BCF                 mov     ecx, edi                                          ;  emptyString
01DDCC8F   .  50                   push    eax
01DDCC90   .  E8 79D0E2FE          call    00C09D0E                                          ;  将注册码转换成字节数组(按36进制转换)
01DDCC95   .  BE 74ADBC03          mov     esi, 03BCAD74                                     ;  [esi] ===> "999",黑名单列表
01DDCC9A   .  8D9B 00000000        lea     ebx, dword ptr [ebx]                              ;  [ebx] ===> 用户名
01DDCCA0   >  FF36                 push    dword ptr [esi]                                   ;  "999"
01DDCCA2   .  8BCB                 mov     ecx, ebx
01DDCCA4   .  FF15 A09DBD03        call    dword ptr [<&Qt5Core.QString::operator==>]        ;  Qt5Core.QString::operator==
01DDCCAA   .  84C0                 test    al, al                                            ;  (initial cpu selection)
01DDCCAC   .  0F85 23020000        jnz     01DDCED5                                          ;  al == 1,则跳转到注册码错误
01DDCCB2   .  83C6 04              add     esi, 0x4
01DDCCB5   .  81FE 78ADBC03        cmp     esi, 03BCAD78                                     ;  目前只有一组(黑名单)
01DDCCBB   .^ 7C E3                jl      short 01DDCCA0
01DDCCBD   .  8A5D DF              mov     bl, byte ptr [ebp-0x21]                           ;  sn_int[3]
01DDCCC0   .  8A7D E1              mov     bh, byte ptr [ebp-0x1F]                           ;  sn_int[5]
01DDCCC3   .  80FB 9C              cmp     bl, 0x9C                                          ;  Switch (cases 9C..FC)
01DDCCC6   .  75 70                jnz     short 01DDCD38
01DDCCC8   .  8A45 DC              mov     al, byte ptr [ebp-0x24]                           ;  Case 9C of switch 01DDCCC3
01DDCCCB   .  3245 E2              xor     al, byte ptr [ebp-0x1E]
01DDCCCE   .  8845 E8              mov     byte ptr [ebp-0x18], al                           ;  UCHAR ch = sn_int[0] ^ sn_int[6]
01DDCCD1   .  8A45 DD              mov     al, byte ptr [ebp-0x23]
01DDCCD4   .  3245 E3              xor     al, byte ptr [ebp-0x1D]
01DDCCD7   .  FF75 E8              push    dword ptr [ebp-0x18]                              ;  下面函数的参数:ch
01DDCCDA   .  0FB6C8               movzx   ecx, al                                           ;  UWORD c = sn_int[1] ^ sn_int[7]
01DDCCDD   .  B8 00010000          mov     eax, 0x100
01DDCCE2   .  66:0FAFC8            imul    cx, ax                                            ;  c *= 0x100
01DDCCE6   .  8A45 DE              mov     al, byte ptr [ebp-0x22]
01DDCCE9   .  32C7                 xor     al, bh
01DDCCEB   .  0FB6C0               movzx   eax, al                                           ;  UWORD a = sn_int[2] ^ sn_int[5]
01DDCCEE   .  66:03C8              add     cx, ax
01DDCCF1   .  0FB7F1               movzx   esi, cx                                           ;  ULONG s = a + c = 0xA93B = 0xA900 + 0x3B
01DDCCF4   .  E8 58A6E2FE          call    00C07351                                          ;  getCheck1(), a = ((ch ^ 0x18) + 0x3D) ^ 0xA7,解码版本标识
01DDCCF9   .  0FB6C0               movzx   eax, al                                           ;  ULONG ver_id = a
01DDCCFC   .  56                   push    esi                                               ;  下面函数的参数:s, 0x5511
01DDCCFD   .  8947 1C              mov     dword ptr [edi+0x1C], eax                         ;  全局变量 ver_id == 0x2D, ds:[0x03F7218C] == 0x2D
01DDCD00   .  E8 A1B5E2FE          call    00C082A6                                          ;  call getCheck2(),解码用户数
01DDCD05   .  8B4F 1C              mov     ecx, dword ptr [edi+0x1C]                         ;  c = 0x2D, ver_id需要大于0x0B
01DDCD08   .  83C4 08              add     esp, 0x8
01DDCD0B   .  0FB7C0               movzx   eax, ax                                           ;  函数返回值 a
01DDCD0E   .  8947 20              mov     dword ptr [edi+0x20], eax                         ;  ULONG license_user_count = a, [0x03F72190] = 0x00000000
01DDCD11   .  85C9                 test    ecx, ecx                                          ;  ver_id == 0 ???
01DDCD13   .  0F84 BC010000        je      01DDCED5
01DDCD19   .  85C0                 test    eax, eax                                          ;  license_user_count == 0 ???
01DDCD1B   .  0F84 B4010000        je      01DDCED5
01DDCD21   .  3D E8030000          cmp     eax, 0x3E8                                        ;  license_user_count > 1000??
01DDCD26   .  0F87 A9010000        ja      01DDCED5
01DDCD2C   .  83F9 02              cmp     ecx, 0x2                                          ;  license_user_count < 2 ??
01DDCD2F   .  1BF6                 sbb     esi, esi                                          ;  esi = (ecx<2)?-1:0
01DDCD31   .  23F1                 and     esi, ecx                                          ;  esi &= ecx
01DDCD33   .  E9 B3000000          jmp     01DDCDEB
01DDCD38   >  80FB FC              cmp     bl, 0xFC
01DDCD3B   .  75 1F                jnz     short 01DDCD5C
01DDCD3D   .  C747 1C FF000000     mov     dword ptr [edi+0x1C], 0xFF                        ;  ver_id = -1, ds:[0384546C]; Case FC of switch 01DDCCC3
01DDCD44   .  BE FF000000          mov     esi, 0xFF                                         ;  free_upgrade_days = -1, days
01DDCD49   .  C747 20 01000000     mov     dword ptr [edi+0x20], 0x1                         ;  license_user_count = 1, ds:[03845470]
01DDCD50   .  C747 30 01000000     mov     dword ptr [edi+0x30], 0x1                         ;  flag3 = 1, ds:[03F721A0]
01DDCD57   .  E9 8F000000          jmp     01DDCDEB
01DDCD5C   >  80FB AC              cmp     bl, 0xAC
01DDCD5F   .  0F85 70010000        jnz     01DDCED5
01DDCD65   .  8A45 DD              mov     al, byte ptr [ebp-0x23]                           ;  sn_int[1]; Case AC of switch 01DDCCC3
01DDCD68   .  3245 E3              xor     al, byte ptr [ebp-0x1D]                           ;  sn_int[7]
01DDCD6B   .  0FB6C8               movzx   ecx, al                                           ;  c = sn_int[1] ^ sn_int[7]
01DDCD6E   .  B8 00010000          mov     eax, 0x100
01DDCD73   .  66:0FAFC8            imul    cx, ax
01DDCD77   .  8A45 DE              mov     al, byte ptr [ebp-0x22]                           ;  sn_int[2]
01DDCD7A   .  32C7                 xor     al, bh                                            ;  sn_int[5]
01DDCD7C   .  C747 1C 02000000     mov     dword ptr [edi+0x1C], 0x2                         ;  ver_id = 2
01DDCD83   .  0FB6C0               movzx   eax, al                                           ;  a = sn_int[2] ^ sn_int[5]
01DDCD86   .  66:03C8              add     cx, ax
01DDCD89   .  0FB7C1               movzx   eax, cx                                           ;  enc_lic_user_count = (c<<8) + a
01DDCD8C   .  50                   push    eax
01DDCD8D   .  E8 14B5E2FE          call    00C082A6                                          ;  call getCheck2(),解码用户数
01DDCD92   .  0FB7C0               movzx   eax, ax
01DDCD95   .  83C4 04              add     esp, 0x4
01DDCD98   .  8947 20              mov     dword ptr [edi+0x20], eax                         ;  license_user_count = eax
01DDCD9B   .  85C0                 test    eax, eax                                          ;  license_user_count > 0
01DDCD9D   .  0F84 32010000        je      01DDCED5
01DDCDA3   .  3D E8030000          cmp     eax, 0x3E8                                        ;  license_user_count <= 1000
01DDCDA8   .  0F87 27010000        ja      01DDCED5
01DDCDAE   .  0FB655 E5            movzx   edx, byte ptr [ebp-0x1B]                          ;  sn_int[9]
01DDCDB2   .  0FB64D E0            movzx   ecx, byte ptr [ebp-0x20]                          ;  sn_int[4]
01DDCDB6   .  0FB6C7               movzx   eax, bh
01DDCDB9   .  33D0                 xor     edx, eax                                          ;  ULONG a = sn_int[5] ^ sn_int[9]
01DDCDBB   .  0FB645 E4            movzx   eax, byte ptr [ebp-0x1C]                          ;  sn_int[8]
01DDCDBF   .  33C8                 xor     ecx, eax                                          ;  ULONG b = sn_int[4] ^ sn_int[8]
01DDCDC1   .  C1E2 08              shl     edx, 0x8
01DDCDC4   .  0FB645 E2            movzx   eax, byte ptr [ebp-0x1E]                          ;  sn_int[6]
01DDCDC8   .  03D1                 add     edx, ecx
01DDCDCA   .  0FB64D DC            movzx   ecx, byte ptr [ebp-0x24]                          ;  sn_int[0]
01DDCDCE   .  C1E2 08              shl     edx, 0x8
01DDCDD1   .  33C8                 xor     ecx, eax                                          ;  ULONG c = sn_int[0] ^ sn_int[6]
01DDCDD3   .  03D1                 add     edx, ecx                                          ;  ULONG d = (((a<<8) + b)<<8) + c;
01DDCDD5   .  68 278C5B00          push    0x5B8C27
01DDCDDA   .  52                   push    edx
01DDCDDB   .  E8 71DCE2FE          call    00C0AA51                                          ;  call getCheck3(edx),解码免费升级时间
01DDCDE0   .  83C4 08              add     esp, 0x8
01DDCDE3   .  8945 F0              mov     dword ptr [ebp-0x10], eax                         ;  free upgrade days
01DDCDE6   .  8947 34              mov     dword ptr [edi+0x34], eax                         ;  free upgrade days
01DDCDE9   .  8BF0                 mov     esi, eax                                          ;  free upgrade days
01DDCDEB   >  8D45 EC              lea     eax, dword ptr [ebp-0x14]                         ;  上面 case 处理完都到这里
01DDCDEE   .  50                   push    eax
01DDCDEF   .  8D4F 04              lea     ecx, dword ptr [edi+0x4]                          ;  [ecx] ===> 用户名
01DDCDF2   .  FF15 1C9CBD03        call    dword ptr [<&Qt5Core.QString::toUtf8>]            ;  call (Qt5Core.QString::toUtf8),Unicode2utf8
01DDCDF8   .  FF77 20              push    dword ptr [edi+0x20]                              ;  license_user_count
01DDCDFB   .  33C0                 xor     eax, eax
01DDCDFD   .  C745 FC 00000000     mov     dword ptr [ebp-0x4], 0x0
01DDCE04   .  80FB FC              cmp     bl, 0xFC                                          ;  bl == license_type
01DDCE07   .  8D4D EC              lea     ecx, dword ptr [ebp-0x14]                         ;  [ecx] ===> 用户名(UTF8编码)
01DDCE0A   .  56                   push    esi                                               ;  esi == upgrade days
01DDCE0B   .  0F95C0               setne   al                                                ;  bl != 0xFC
01DDCE0E   .  50                   push    eax                                               ;  al = (bl != 0xFC)?1:0,1-注册版,0-评估版
01DDCE0F   .  FF15 9C94BD03        call    dword ptr [<&Qt5Core.QByteArray::data>]           ;  Qt5Core.QByteArray::data
01DDCE15   .  50                   push    eax                                               ;  eax ===>  用户名,字符串 "solly"
01DDCE16   .  E8 D263E2FE          call    00C031ED                                          ;  getNameCheck(char * name, ULONG is_registered, ULONG free_upgrade_days, ULONG user_count)
01DDCE1B   .  8BD0                 mov     edx, eax                                          ;  nameCheck = 0xBAED7A3E
01DDCE1D   .  83C4 10              add     esp, 0x10                                         ;  下面将 nameCheck 分成 4 字节与 sn_int[] 中的字节比较
01DDCE20   .  3855 E0              cmp     byte ptr [ebp-0x20], dl                           ;  sn_int[4]
01DDCE23   .  0F85 81000000        jnz     01DDCEAA
01DDCE29   .  8BCA                 mov     ecx, edx
01DDCE2B   .  C1E9 08              shr     ecx, 0x8
01DDCE2E   .  3AF9                 cmp     bh, cl                                            ;  sn_int[5]
01DDCE30   .  75 78                jnz     short 01DDCEAA
01DDCE32   .  8BCA                 mov     ecx, edx
01DDCE34   .  C1E9 10              shr     ecx, 0x10
01DDCE37   .  384D E2              cmp     byte ptr [ebp-0x1E], cl                           ;  sn_int[6]
01DDCE3A   .  75 6E                jnz     short 01DDCEAA
01DDCE3C   .  C1E8 18              shr     eax, 0x18
01DDCE3F   .  3845 E3              cmp     byte ptr [ebp-0x1D], al                           ;  sn_int[7]
01DDCE42   .  75 66                jnz     short 01DDCEAA
01DDCE44   .  80FB 9C              cmp     bl, 0x9C                                          ;  Switch (cases 9C..FC)
01DDCE47   .  75 0F                jnz     short 01DDCE58
01DDCE49   .  8B45 08              mov     eax, dword ptr [ebp+0x8]                          ;  Case 9C of switch 01DDCE44
01DDCE4C   .  3B47 1C              cmp     eax, dword ptr [edi+0x1C]                         ;  0x0B(eax) <= version_id_in_sn,eax-函数参数1: 0x0B
01DDCE4F   .  76 52                jbe     short 01DDCEA3                                    ;  不高于跳转(小于或等于)
01DDCE51   .  BE 4E000000          mov     esi, 0x4E                                         ;  过期,老版本的注册码
01DDCE56   .  EB 57                jmp     short 01DDCEAF
01DDCE58   >  80FB FC              cmp     bl, 0xFC
01DDCE5B   .  75 2E                jnz     short 01DDCE8B
01DDCE5D   .  0FB64D DE            movzx   ecx, byte ptr [ebp-0x22]                          ;  sn_int[2]; Case FC of switch 01DDCE44
01DDCE61   .  0FB645 DD            movzx   eax, byte ptr [ebp-0x23]                          ;  sn_int[1]
01DDCE65   .  C1E1 08              shl     ecx, 0x8
01DDCE68   .  03C8                 add     ecx, eax
01DDCE6A   .  0FB645 DC            movzx   eax, byte ptr [ebp-0x24]                          ;  sn_int[0]
01DDCE6E   .  C1E1 08              shl     ecx, 0x8
01DDCE71   .  52                   push    edx
01DDCE72   .  03C8                 add     ecx, eax                                          ;  ecx = sn_int[2]sn_int[1]sn_int[0]
01DDCE74   .  51                   push    ecx
01DDCE75   .  E8 D7DBE2FE          call    00C0AA51                                          ;  call getCheck3(ecx),解码试用期延长的日期
01DDCE7A   .  83C4 08              add     esp, 0x8
01DDCE7D   .  85C0                 test    eax, eax
01DDCE7F   .  74 29                je      short 01DDCEAA
01DDCE81   .  8947 18              mov     dword ptr [edi+0x18], eax                         ;  evaluation extends days
01DDCE84   .  BE 93000000          mov     esi, 0x93
01DDCE89   .  EB 24                jmp     short 01DDCEAF
01DDCE8B   >  80FB AC              cmp     bl, 0xAC
01DDCE8E   .  75 1A                jnz     short 01DDCEAA
01DDCE90   .  8B45 F0              mov     eax, dword ptr [ebp-0x10]                         ;  free upgrade days; Case AC of switch 01DDCE44
01DDCE93   .  85C0                 test    eax, eax                                          ;  free upgrade days > 0
01DDCE95   .  74 13                je      short 01DDCEAA
01DDCE97   .  3945 0C              cmp     dword ptr [ebp+0xC], eax                          ;  free upgrade days >= release days(函数参数2:0x473C)
01DDCE9A   .  76 07                jbe     short 01DDCEA3
01DDCE9C   .  BE 4E000000          mov     esi, 0x4E                                         ;  过期
01DDCEA1   .  EB 0C                jmp     short 01DDCEAF
01DDCEA3   >  BE 2D000000          mov     esi, 0x2D                                         ;  注册码正确
01DDCEA8   .  EB 05                jmp     short 01DDCEAF
01DDCEAA   >  BE E7000000          mov     esi, 0xE7                                         ;  试用期已结束或注册码无效; Default case of switch 01DDCE44
01DDCEAF   >  8D4D EC              lea     ecx, dword ptr [ebp-0x14]                         ;  [ecx] ===> 用户名
01DDCEB2   .  C745 FC FFFFFFFF     mov     dword ptr [ebp-0x4], -0x1
01DDCEB9   .  FF15 8C94BD03        call    dword ptr [<&Qt5Core.QByteArray::~QByteArray>]    ;  Qt5Core.QByteArray::~QByteArray
01DDCEBF   .  8BC6                 mov     eax, esi                                          ;  esi == 0xE7, 0x2D, 0x4E, 0x93 等, 0x2D 表示注册码正确
01DDCEC1   .  8B4D F4              mov     ecx, dword ptr [ebp-0xC]
01DDCEC4   .  64:890D 00000000     mov     dword ptr fs:[0], ecx
01DDCECB   .  59                   pop     ecx
01DDCECC   .  5F                   pop     edi
01DDCECD   .  5E                   pop     esi
01DDCECE   .  5B                   pop     ebx
01DDCECF   .  8BE5                 mov     esp, ebp
01DDCED1   .  5D                   pop     ebp
01DDCED2   .  C2 0800              retn    0x8
01DDCED5   >  B8 E7000000          mov     eax, 0xE7                                         ;  注册码无效; Default case of switch 01DDCCC3
01DDCEDA   .  8B4D F4              mov     ecx, dword ptr [ebp-0xC]
01DDCEDD   .  64:890D 00000000     mov     dword ptr fs:[0], ecx
01DDCEE4   .  59                   pop     ecx
01DDCEE5   .  5F                   pop     edi
01DDCEE6   .  5E                   pop     esi
01DDCEE7   .  5B                   pop     ebx
01DDCEE8   .  8BE5                 mov     esp, ebp
01DDCEEA   .  5D                   pop     ebp
01DDCEEB   .  C2 0800              retn    0x8
01DDCEEE   >  B8 93000000          mov     eax, 0x93                                         ;  用户名或注册码为空到这里
01DDCEF3   .  8B4D F4              mov     ecx, dword ptr [ebp-0xC]
01DDCEF6   .  64:890D 00000000     mov     dword ptr fs:[0], ecx
01DDCEFD   .  59                   pop     ecx
01DDCEFE   .  5F                   pop     edi
01DDCEFF   .  5E                   pop     esi
01DDCF00   .  5B                   pop     ebx
01DDCF01   .  8BE5                 mov     esp, ebp
01DDCF03   .  5D                   pop     ebp
01DDCF04   .  C2 0800              retn    0x8

从上面函数返回后,我们马上再进入另一个函数(call 0xnnnn9E58),这个函数还会再次调用上面的注册算法函数,同时还会调另一个函数,对试用期延长的注册码进行检查,如下图所示:

从上图可以看,首先再次调用注册码检查函数(0xnnnnD55E  call 0xnnnnAAEC),然后再调用另一个函数(call 0xnnnn2CE8),这个函数对 0xFC 类型的注册码进行进一步的合法性检查。下面我们"F7"再次进入注册码算法函数,看看函数内其它几个调用,如下所示:
[Asm] 纯文本查看 复制代码
01DDCDF8   .  FF77 20             push    dword ptr [edi+0x20]                              ;  flag2
01DDCDFB   .  33C0                xor     eax, eax
01DDCDFD   .  C745 FC 00000000    mov     dword ptr [ebp-0x4], 0x0
01DDCE04   .  80FB FC             cmp     bl, 0xFC                                          ;  bl == license_type
01DDCE07   .  8D4D EC             lea     ecx, dword ptr [ebp-0x14]                         ;  [ecx] ===> 用户名(UTF8编码)
01DDCE0A   .  56                  push    esi                                               ;  esi == 0x00000000, upgrade days
01DDCE0B   .  0F95C0              setne   al                                                ;  bl != 0xFC
01DDCE0E   .  50                  push    eax                                               ;  al = (bl != 0xFC)?1:0,1-注册版,0-评估版
01DDCE0F   .  FF15 9C94BD03       call    dword ptr [<&Qt5Core.QByteArray::data>]           ;  Qt5Core.QByteArray::data
01DDCE15   .  50                  push    eax                                               ;  eax ===>  用户名,字符串 "solly"
01DDCE16   .  E8 D263E2FE         call    00C031ED                                          ;  getNameCheck(char * name, ULONG check1, ULONG check2, ULONG flag)
01DDCE1B   .  8BD0                mov     edx, eax                                          ;  check = 0xBAED7A3E


注册算法函数调用了一个函数(call 0xnnnn31ED),对用户名进行处理,该函数如下图所示:


通过查表方式,对用户名进行变换,生成一个32位的整数,如下图所示:

循环对名字每个字符进行处理,如下图所示:

用户名处理函数具体代码如下:
[Asm] 纯文本查看 复制代码
01DDC180  /> \55                  push    ebp
01DDC181  |.  8BEC                mov     ebp, esp
01DDC183  |.  83EC 10             sub     esp, 0x10
01DDC186  |.  8B55 08             mov     edx, dword ptr [ebp+0x8]                          ;  edx ===> 用户名
01DDC189  |.  33C9                xor     ecx, ecx                                          ;  0
01DDC18B  |.  56                  push    esi
01DDC18C  |.  8BF2                mov     esi, edx
01DDC18E  |.  894D FC             mov     dword ptr [ebp-0x4], ecx                          ;  long name_check = 0;
01DDC191  |.  57                  push    edi
01DDC192  |.  8D7E 01             lea     edi, dword ptr [esi+0x1]                          ;  edi ===> name[1]
01DDC195  |>  8A06                /mov     al, byte ptr [esi]                               ;  char ch = (* name);
01DDC197  |.  46                  |inc     esi                                              ;  name++
01DDC198  |.  84C0                |test    al, al
01DDC19A  |.^ 75 F9               \jnz     short 01DDC195
01DDC19C  |.  2BF7                sub     esi, edi                                          ;  esi === length(name)
01DDC19E  |.  33FF                xor     edi, edi                                          ;  int i= 0;
01DDC1A0  |.  85F6                test    esi, esi
01DDC1A2  |.  0F8E F0000000       jle     01DDC298
01DDC1A8  |.  53                  push    ebx
01DDC1A9  |.  8B5D 14             mov     ebx, dword ptr [ebp+0x14]                         ;  参数: 0x000003E8
01DDC1AC  |.  894D F0             mov     dword ptr [ebp-0x10], ecx                         ;  0
01DDC1AF  |.  894D F4             mov     dword ptr [ebp-0xC], ecx                          ;  0
01DDC1B2  |.  8B4D 10             mov     ecx, dword ptr [ebp+0x10]                         ;  参数: 0x00000000
01DDC1B5  |.  C1E3 04             shl     ebx, 0x4
01DDC1B8  |.  2B5D 14             sub     ebx, dword ptr [ebp+0x14]                         ;  ebx = param4 * 15 = 0x03E8 * 0x0F = 0x00003A98
01DDC1BB  |.  C1E1 04             shl     ecx, 0x4
01DDC1BE  |.  034D 10             add     ecx, dword ptr [ebp+0x10]                         ;  ecx = param3 + param3 * 16
01DDC1C1  |.  894D F8             mov     dword ptr [ebp-0x8], ecx                          ;  ecx = param3 * 17
01DDC1C4  |>  0FB60417            /movzx   eax, byte ptr [edi+edx]                          ;  ULONG ch = name[i]
01DDC1C8  |.  50                  |push    eax                                              ; /c
01DDC1C9  |.  FF15 B092BD03       |call    dword ptr [<&MSVCR120.toupper>]                  ; \toupper
01DDC1CF  |.  8BD0                |mov     edx, eax                                         ;  long idx = uppcase(name[i])
01DDC1D1  |.  83C4 04             |add     esp, 0x4
01DDC1D4  |.  8B0C95 A8A8BC03     |mov     ecx, dword ptr [edx*4+0x3BCA8A8]                 ;  查表, name_tbl_check = name_table[idx];
01DDC1DB  |.  034D FC             |add     ecx, dword ptr [ebp-0x4]                         ;  name_check += name_tbl_check;
01DDC1DE  |.  837D 0C 00          |cmp     dword ptr [ebp+0xC], 0x0                         ;  参数:1
01DDC1E2  |.  74 4A               |je      short 01DDC22E
01DDC1E4  |.  8D42 0D             |lea     eax, dword ptr [edx+0xD]
01DDC1E7  |.  25 FF000000         |and     eax, 0xFF                                        ;  long a = (idx + 0x0D) & 0xFF;
01DDC1EC  |.  330C85 A8A8BC03     |xor     ecx, dword ptr [eax*4+0x3BCA8A8]                 ;  查表, name_check ^= name_table[a];
01DDC1F3  |.  8D42 2F             |lea     eax, dword ptr [edx+0x2F]
01DDC1F6  |.  25 FF000000         |and     eax, 0xFF                                        ;  long b = (idx + 0x2F) & 0xFF;
01DDC1FB  |.  0FAF0C85 A8A8BC03   |imul    ecx, dword ptr [eax*4+0x3BCA8A8]                 ;  查表, name_check *= name_table[ b ];
01DDC203  |.  8B45 F8             |mov     eax, dword ptr [ebp-0x8]
01DDC206  |.  0FB6C0              |movzx   eax, al                                          ;  long c = (UCHAR)local_var1
01DDC209  |.  030C85 A8A8BC03     |add     ecx, dword ptr [eax*4+0x3BCA8A8]                 ;  查表, name_check += name_table[c];
01DDC210  |.  0FB6C3              |movzx   eax, bl                                          ;  long d = (UCHAR)(sn_flag * 15) , 0x98
01DDC213  |.  030C85 A8A8BC03     |add     ecx, dword ptr [eax*4+0x3BCA8A8]                 ;  查表, name_check += name_table[d];
01DDC21A  |.  8B45 F4             |mov     eax, dword ptr [ebp-0xC]                         ;  local_var, (0)
01DDC21D  |.  0FB6C0              |movzx   eax, al                                          ;  long e = (UCHAR)(local_var2) , 0x98
01DDC220  |.  030C85 A8A8BC03     |add     ecx, dword ptr [eax*4+0x3BCA8A8]                 ;  查表, name_check += name_table[e];
01DDC227  |.  8BC1                |mov     eax, ecx                                         ;  保存返回值
01DDC229  |.  8945 FC             |mov     dword ptr [ebp-0x4], eax                         ;  保存 name_check
01DDC22C  |.  EB 48               |jmp     short 01DDC276
01DDC22E  |>  8D42 3F             |lea     eax, dword ptr [edx+0x3F]
01DDC231  |.  25 FF000000         |and     eax, 0xFF
01DDC236  |.  330C85 A8A8BC03     |xor     ecx, dword ptr [eax*4+0x3BCA8A8]
01DDC23D  |.  8D42 17             |lea     eax, dword ptr [edx+0x17]
01DDC240  |.  25 FF000000         |and     eax, 0xFF
01DDC245  |.  0FAF0C85 A8A8BC03   |imul    ecx, dword ptr [eax*4+0x3BCA8A8]
01DDC24D  |.  8B45 F8             |mov     eax, dword ptr [ebp-0x8]
01DDC250  |.  0FB6C0              |movzx   eax, al
01DDC253  |.  030C85 A8A8BC03     |add     ecx, dword ptr [eax*4+0x3BCA8A8]
01DDC25A  |.  0FB6C3              |movzx   eax, bl
01DDC25D  |.  030C85 A8A8BC03     |add     ecx, dword ptr [eax*4+0x3BCA8A8]
01DDC264  |.  8B45 F0             |mov     eax, dword ptr [ebp-0x10]                        ;  local_var3
01DDC267  |.  0FB6C0              |movzx   eax, al
01DDC26A  |.  030C85 A8A8BC03     |add     ecx, dword ptr [eax*4+0x3BCA8A8]
01DDC271  |.  8BC1                |mov     eax, ecx                                         ;  保存返回值
01DDC273  |.  894D FC             |mov     dword ptr [ebp-0x4], ecx                         ;  保存 name_check
01DDC276  |>  8345 F4 13          |add     dword ptr [ebp-0xC], 0x13                        ;  公共部分, local_var2 += 0x13;
01DDC27A  |.  47                  |inc     edi                                              ;  i++
01DDC27B  |.  8345 F8 09          |add     dword ptr [ebp-0x8], 0x9                         ;  local_var1 += 9;
01DDC27F  |.  83C3 0D             |add     ebx, 0xD                                         ;  参数 ebx += 0x0D;
01DDC282  |.  8345 F0 07          |add     dword ptr [ebp-0x10], 0x7                        ;  local_var3 += 0x07;
01DDC286  |.  8B55 08             |mov     edx, dword ptr [ebp+0x8]                         ;  edx ===> 用户名,"solly"
01DDC289  |.  3BFE                |cmp     edi, esi                                         ;  esi == 0x05,用户名长度
01DDC28B  |.^ 0F8C 33FFFFFF       \jl      01DDC1C4
01DDC291  |.  5B                  pop     ebx
01DDC292  |.  5F                  pop     edi
01DDC293  |.  5E                  pop     esi
01DDC294  |.  8BE5                mov     esp, ebp
01DDC296  |.  5D                  pop     ebp
01DDC297  |.  C3                  retn                                                      ;  ret_value = 0xBAED7A3E
01DDC298  |>  5F                  pop     edi
01DDC299  |.  8BC1                mov     eax, ecx
01DDC29B  |.  5E                  pop     esi
01DDC29C  |.  8BE5                mov     esp, ebp
01DDC29E  |.  5D                  pop     ebp
01DDC29F  \.  C3                  retn

另外,当注册类型为 0xFC 时,会读取注册表中的数据进行检查,如下图所示的几个注册表键值:

不过数据都是编码加密过的,需要解码才能识别,包括试用剩余次数(0x09),版本标识(0x0B),发布(或安装)日期,有效可用日期(试用期或正式版免费支持时间)等等数据。试用版有效时长检查调用(call 0xnnnn2CE8)的代码如下:
[Asm] 纯文本查看 复制代码
01DDC720   > \55                  push    ebp
01DDC721   .  8BEC                mov     ebp, esp
01DDC723   .  6A FF               push    -0x1
01DDC725   .  68 E98E3002         push    02308EE9
01DDC72A   .  64:A1 00000000      mov     eax, dword ptr fs:[0]
01DDC730   .  50                  push    eax
01DDC731   .  51                  push    ecx
01DDC732   .  57                  push    edi
01DDC733   .  A1 E039BD03         mov     eax, dword ptr [0x3BD39E0]                        ;  SEH Object handler
01DDC738   .  33C5                xor     eax, ebp
01DDC73A   .  50                  push    eax
01DDC73B   .  8D45 F4             lea     eax, dword ptr [ebp-0xC]
01DDC73E   .  64:A3 00000000      mov     dword ptr fs:[0], eax
01DDC744   .  8BF9                mov     edi, ecx
01DDC746   .  FF75 08             push    dword ptr [ebp+0x8]                               ;  0x0B
01DDC749   .  E8 DDEAE2FE         call    00C0B22B                                          ;  检查注册表中的 versiob_id 与软件内置的verid是否一致
01DDC74E   .  FF75 08             push    dword ptr [ebp+0x8]                               ;  get 0x0B, (verid)
01DDC751   .  8BCF                mov     ecx, edi
01DDC753   .  E8 71B1E2FE         call    00C078C9                                          ;  get object
01DDC758   .  8BCF                mov     ecx, edi
01DDC75A   .  E8 3262E2FE         call    00C02991                                          ;  get object (0x0FE19483 ==> 0x4770),检查是否存在??
01DDC75F   .  8D45 F0             lea     eax, dword ptr [ebp-0x10]
01DDC762   .  50                  push    eax
01DDC763   .  E8 AFC2E2FE         call    00C08A17                                          ;  get object, registry object or file object: "010Editor.dat"
01DDC768   .  8BC8                mov     ecx, eax
01DDC76A   .  E8 1EF2E2FE         call    00C0B98D                                          ;  get 0x4770, (上次成功注册的日期)
01DDC76F   .  84C0                test    al, al                                            ;  al == 1,读取成功
01DDC771   .  74 08               je      short 01DDC77B
01DDC773   .  8B45 F0             mov     eax, dword ptr [ebp-0x10]                         ;  0x4770
01DDC776   .  8947 10             mov     dword ptr [edi+0x10], eax                         ;  通过参数返回
01DDC779   .  EB 17               jmp     short 01DDC792
01DDC77B   >  E8 20BCE2FE         call    00C083A0
01DDC780   .  6A 01               push    0x1
01DDC782   .  50                  push    eax
01DDC783   .  8947 10             mov     dword ptr [edi+0x10], eax
01DDC786   .  E8 8CC2E2FE         call    00C08A17
01DDC78B   .  8BC8                mov     ecx, eax
01DDC78D   .  E8 81DAE2FE         call    00C0A213
01DDC792   >  837F 18 00          cmp     dword ptr [edi+0x18], 0x0                         ;  0x6F85,来自SN的值
01DDC796   .  76 0D               jbe     short 01DDC7A5
01DDC798   .  837F 30 00          cmp     dword ptr [edi+0x30], 0x0                         ;  0x01
01DDC79C   .  74 07               je      short 01DDC7A5
01DDC79E   .  8BCF                mov     ecx, edi
01DDC7A0   .  E8 04BDE2FE         call    00C084A9                                          ;  注册表中的用户名检查
01DDC7A5   >  8B4F 10             mov     ecx, dword ptr [edi+0x10]                         ;  0x4770
01DDC7A8   .  8D45 F0             lea     eax, dword ptr [ebp-0x10]
01DDC7AB   .  83C1 1E             add     ecx, 0x1E                                         ;  ecx == 0x4770 + 0x1E, 0x1E==30,30天试用期
01DDC7AE   .  394F 18             cmp     dword ptr [edi+0x18], ecx                         ;  时间比较(0x7755 < 0x478E ??)
01DDC7B1   .  50                  push    eax
01DDC7B2   .  0F434F 18           cmovnb  ecx, dword ptr [edi+0x18]                         ;  不小于则取较大的时间值, ecx = (0x7755<ecx)?ecx:0x7755
01DDC7B6   .  894F 18             mov     dword ptr [edi+0x18], ecx
01DDC7B9   .  E8 59C2E2FE         call    00C08A17                                          ;  get object, registry object or file object: "010Editor.dat"
01DDC7BE   .  8BC8                mov     ecx, eax
01DDC7C0   .  E8 F09CE2FE         call    00C064B5                                          ;  get 0x7071 (上次成功注册的最长有效日期)
01DDC7C5   .  84C0                test    al, al                                            ;  al == 1,表示成功
01DDC7C7   .  0F84 8F000000       je      01DDC85C
01DDC7CD   .  8B45 F0             mov     eax, dword ptr [ebp-0x10]                         ;  0x7071
01DDC7D0   .  8947 14             mov     dword ptr [edi+0x14], eax                         ;  0x7071
01DDC7D3   .  3B47 18             cmp     eax, dword ptr [edi+0x18]                         ;  时间比较(0x7071<0x7755)
01DDC7D6   .  0F83 95000000       jnb     01DDC871                                          ;  不低于跳转,因此SN中的days应等于或小于0x7071
01DDC7DC   .  E8 BFBBE2FE         call    00C083A0                                          ;  生成当前日期,0x4771(2020/01/28)
01DDC7E1   .  8B4F 14             mov     ecx, dword ptr [edi+0x14]                         ;  0x7071, (max)
01DDC7E4   .  8BD0                mov     edx, eax                                          ;  current days, 0x4771
01DDC7E6   .  3BD1                cmp     edx, ecx                                          ;  当前日期 < 最后成功的有效日期
01DDC7E8   .  73 17               jnb     short 01DDC801                                    ;  需要跳转(不低于跳转)
01DDC7EA   .  B8 38010000         mov     eax, 0x138                                        ;  over???
01DDC7EF   .  8B4D F4             mov     ecx, dword ptr [ebp-0xC]
01DDC7F2   .  64:890D 00000000    mov     dword ptr fs:[0], ecx
01DDC7F9   .  59                  pop     ecx
01DDC7FA   .  5F                  pop     edi
01DDC7FB   .  8BE5                mov     esp, ebp
01DDC7FD   .  5D                  pop     ebp
01DDC7FE   .  C2 0400             retn    0x4
01DDC801   >  8B47 10             mov     eax, dword ptr [edi+0x10]                         ;  0x4770, (上次成功注册的日期)
01DDC804   .  85C0                test    eax, eax
01DDC806   .  74 1E               je      short 01DDC826                                    ;  时间异常
01DDC808   .  85C9                test    ecx, ecx                                          ;  0x7071, (上次成功注册的最长有效日期)
01DDC80A   .  74 1A               je      short 01DDC826                                    ;  时间异常
01DDC80C   .  3BC8                cmp     ecx, eax
01DDC80E   .  72 16               jb      short 01DDC826                                    ;  时间异常(低于跳转)
01DDC810   .  8B47 18             mov     eax, dword ptr [edi+0x18]                         ;  sn中的日期
01DDC813   .  2BC1                sub     eax, ecx                                          ;  SN中的日期 - (上次成功注册的最长有效日期)
01DDC815   .  3D 21070000         cmp     eax, 0x721                                        ;  最大试用期不能大于 0x721, 1825days(5年)
01DDC81A   .  77 0A               ja      short 01DDC826                                    ;  高于跳转
01DDC81C   .  3BCA                cmp     ecx, edx
01DDC81E   .  73 51               jnb     short 01DDC871                                    ;  需要跳转
01DDC820   .  8957 14             mov     dword ptr [edi+0x14], edx
01DDC823   .  52                  push    edx
01DDC824   .  EB 3F               jmp     short 01DDC865
01DDC826   >  68 38D16A03         push    036AD138                                          ;  ASCII "The system clock has been tampered with. Sorry, but this ends your trial period. Please register."
01DDC82B   .  8D4D 08             lea     ecx, dword ptr [ebp+0x8]
01DDC82E   .  FF15 AC9DBD03       call    dword ptr [<&Qt5Core.QString::QString>]           ;  Qt5Core.QString::QString
01DDC834   .  8D45 08             lea     eax, dword ptr [ebp+0x8]
01DDC837   .  C745 FC 00000000    mov     dword ptr [ebp-0x4], 0x0
01DDC83E   .  50                  push    eax
01DDC83F   .  E8 7151E2FE         call    00C019B5
01DDC844   .  83C4 04             add     esp, 0x4
01DDC847   .  C745 FC FFFFFFFF    mov     dword ptr [ebp-0x4], -0x1
01DDC84E   .  8D4D 08             lea     ecx, dword ptr [ebp+0x8]
01DDC851   .  FF15 B094BD03       call    dword ptr [<&Qt5Core.QString::~QString>]          ;  Qt5Core.QXmlStreamStringRef::~QXmlStreamStringRef
01DDC857   .  8B47 18             mov     eax, dword ptr [edi+0x18]
01DDC85A   .  EB 05               jmp     short 01DDC861
01DDC85C   >  E8 3FBBE2FE         call    00C083A0                                          ;  取当前日期时间
01DDC861   >  50                  push    eax
01DDC862   .  8947 14             mov     dword ptr [edi+0x14], eax
01DDC865   >  E8 ADC1E2FE         call    00C08A17                                          ;  读取"010Editor.dat"的文件时间???
01DDC86A   .  8BC8                mov     ecx, eax
01DDC86C   .  E8 0D00E3FE         call    00C0C87E
01DDC871   >  8B47 14             mov     eax, dword ptr [edi+0x14]                         ;  0x7071
01DDC874   .  3B47 18             cmp     eax, dword ptr [edi+0x18]                         ;  时间比较(0x7071<0x7755)
01DDC877   .  1BC0                sbb     eax, eax                                          ;  eax == -1,才正确, 最大有效日期必须小于SN中日期
01DDC879   .  83E0 ED             and     eax, 0xFFFFFFED                                   ;  -19
01DDC87C   .  83C0 2A             add     eax, 0x2A                                         ;  42
01DDC87F   .  8B4D F4             mov     ecx, dword ptr [ebp-0xC]
01DDC882   .  64:890D 00000000    mov     dword ptr fs:[0], ecx
01DDC889   .  59                  pop     ecx
01DDC88A   .  5F                  pop     edi
01DDC88B   .  8BE5                mov     esp, ebp
01DDC88D   .  5D                  pop     ebp
01DDC88E   .  C2 0400             retn    0x4



上面説的调用注册算法函数和试用期检查函数的函数代码如下:
[Asm] 纯文本查看 复制代码
01DDD540  /> \55                  push    ebp
01DDD541  |.  8BEC                mov     ebp, esp
01DDD543  |.  56                  push    esi
01DDD544  |.  8BF1                mov     esi, ecx
01DDD546  |.  837E 2C 00          cmp     dword ptr [esi+0x2C], 0x0                         ;  flag6
01DDD54A  |.  74 0A               je      short 01DDD556
01DDD54C  |.  B8 13010000         mov     eax, 0x113
01DDD551  |.  5E                  pop     esi
01DDD552  |.  5D                  pop     ebp
01DDD553  |.  C2 0800             retn    0x8
01DDD556  |>  57                  push    edi
01DDD557  |.  FF75 0C             push    dword ptr [ebp+0xC]                               ;  0x473C, release days
01DDD55A  |.  8B7D 08             mov     edi, dword ptr [ebp+0x8]                          ;  0x0B, version_id
01DDD55D  |.  57                  push    edi
01DDD55E  |.  E8 89D5E2FE         call    00C0AAEC                                          ;  注册码检查(第二次检查)
01DDD563  |.  83F8 2D             cmp     eax, 0x2D                                         ;  ‘-’; Switch (cases 2D..E7)
01DDD566  |.  0F84 A3000000       je      01DDD60F                                          ;  正确
01DDD56C  |.  83F8 4E             cmp     eax, 0x4E                                         ;  ‘N’
01DDD56F  |.  74 78               je      short 01DDD5E9
01DDD571  |.  3D E7000000         cmp     eax, 0xE7
01DDD576  |.  74 66               je      short 01DDD5DE
01DDD578  |.  57                  push    edi                                               ;  0x0B; Default case of switch 01DDD563
01DDD579  |.  8BCE                mov     ecx, esi
01DDD57B  |.  E8 6857E2FE         call    00C02CE8                                          ;  试用周期检查
01DDD580  |.  83F8 17             cmp     eax, 0x17                                         ;  试用周期延长成功; Switch (cases 17..138)
01DDD583  |.  74 4E               je      short 01DDD5D3
01DDD585  |.  83F8 2A             cmp     eax, 0x2A                                         ;  在试用期内
01DDD588  |.  74 28               je      short 01DDD5B2
01DDD58A  |.  3D 38010000         cmp     eax, 0x138                                        ;  试用期已结束
01DDD58F  |.  75 4D               jnz     short 01DDD5DE
01DDD591  |.  8BCE                mov     ecx, esi                                          ;  Case 138 of switch 01DDD580
01DDD593  |.  E8 FBCEE2FE         call    00C0A493
01DDD598  |.  3D A3010000         cmp     eax, 0x1A3
01DDD59D  |.  B9 2F000000         mov     ecx, 0x2F
01DDD5A2  |.  BA F9000000         mov     edx, 0xF9
01DDD5A7  |.  0F44CA              cmove   ecx, edx
01DDD5AA  |.  5F                  pop     edi
01DDD5AB  |.  8BC1                mov     eax, ecx
01DDD5AD  |.  5E                  pop     esi
01DDD5AE  |.  5D                  pop     ebp
01DDD5AF  |.  C2 0800             retn    0x8
01DDD5B2  |>  8BCE                mov     ecx, esi                                          ;  Case 2A of switch 01DDD580
01DDD5B4  |.  E8 DACEE2FE         call    00C0A493
01DDD5B9  |.  3D A3010000         cmp     eax, 0x1A3
01DDD5BE  |.  B9 77010000         mov     ecx, 0x177
01DDD5C3  |.  BA F9000000         mov     edx, 0xF9
01DDD5C8  |.  0F44CA              cmove   ecx, edx
01DDD5CB  |.  5F                  pop     edi
01DDD5CC  |.  8BC1                mov     eax, ecx
01DDD5CE  |.  5E                  pop     esi
01DDD5CF  |.  5D                  pop     ebp
01DDD5D0  |.  C2 0800             retn    0x8
01DDD5D3  |>  5F                  pop     edi                                               ;  Case 17 of switch 01DDD580
01DDD5D4  |.  B8 71000000         mov     eax, 0x71                                         ;  试用期扩充
01DDD5D9  |.  5E                  pop     esi
01DDD5DA  |.  5D                  pop     ebp
01DDD5DB  |.  C2 0800             retn    0x8
01DDD5DE  |>  5F                  pop     edi                                               ;  Default case of switch 01DDD580
01DDD5DF  |.  B8 77010000         mov     eax, 0x177
01DDD5E4  |.  5E                  pop     esi
01DDD5E5  |.  5D                  pop     ebp
01DDD5E6  |.  C2 0800             retn    0x8
01DDD5E9  |>  57                  push    edi                                               ;  Case 4E of switch 01DDD563
01DDD5EA  |.  8BCE                mov     ecx, esi
01DDD5EC  |.  E8 F756E2FE         call    00C02CE8                                          ;  试用周期检查
01DDD5F1  |.  83F8 17             cmp     eax, 0x17
01DDD5F4  |.  74 0E               je      short 01DDD604
01DDD5F6  |.  5F                  pop     edi
01DDD5F7  |.  83F8 2A             cmp     eax, 0x2A
01DDD5FA  |.  B8 ED000000         mov     eax, 0xED
01DDD5FF  |.  5E                  pop     esi
01DDD600  |.  5D                  pop     ebp
01DDD601  |.  C2 0800             retn    0x8
01DDD604  |>  5F                  pop     edi
01DDD605  |.  B8 0C020000         mov     eax, 0x20C
01DDD60A  |.  5E                  pop     esi
01DDD60B  |.  5D                  pop     ebp
01DDD60C  |.  C2 0800             retn    0x8
01DDD60F  |>  5F                  pop     edi                                               ;  Case 2D of switch 01DDD563
01DDD610  |.  B8 DB000000         mov     eax, 0xDB
01DDD615  |.  5E                  pop     esi
01DDD616  |.  5D                  pop     ebp
01DDD617  \.  C2 0800             retn    0x8


当试用周期过期,就会要求注册,如下图所示:


我们输入一个延长试用期的注册码,注册码类型:0xFC,如下图所示:


点 ”Check License“,如果正确,则提示如上图所示,下图的 "About" 中,会显示延长了多少天数,如下图所示,延长了 1825 天(从 2019/12/06 开始计算,所以还剩 1772 天的试用期)。



如果要换一注册类型,先要移除原有注册码,如下图所示:

在注册界面,点 ”Remove my license from this machine“,再次确认”Remove“就可以了。

下面是输入 0x9C 类型的注册码,可以看到,没有任何免费支持和升级,一开始就显示免费支持过期(1970/1/2过期)了:



下面是输入 0xAC 类型的注册码,这个是有免费支持和升级的,我设置的过期日期为:2048-10-24,即20481024,程序员喜欢的数字!!!

提示框会显示什么时候过期:十月 24,2048。注册界面上也会显示,如下图所示:



上面都是单用户的注册授权,下面来一个多用户的:999用户

还有一种不限用户数的:Site License。如下图所示:



在v10.0.0 x64 位的版本上,也可以通过(界面与x86版一样,不截图了)。

下面看看老版本是否可用,在 Windows 7 下的 v3.2.2 版没有问题:


在 Windows 98 下的 v2.1.4 也没有问题:


经过几个版本测试,表示其注册码算法没有改变过。0x9C 类型因为版本标识检查会过期(当然可以在SN中预设一个很大的版本号),不一定适于新版本。 但 0xAC 注册类型是可能通用各版本的。

另外,除了30天试用期,还有一种对使用次数进行限制的试用,可使用次数保存在注册表中。如下图所示,还有9次可用:


以上就是该软件的注册分析,下面放出其注册机源码,可以生成以上3种类型(0x9C, 0xAC, 0xFC)的注册码,也可以更改注册用户数(1-single user license, 2~999-multiply user license, 1000-site license)。源码通过 dev-c++ 调试通过,代码如下:
[C++] 纯文本查看 复制代码
#include <iostream>
#include <string.h>
#include "name_tables.h"

typedef unsigned char  UCHAR;
typedef unsigned short UWORD;
typedef unsigned long  ULONG;
typedef unsigned int   UINT32;
typedef unsigned long long UINT64;

/*
v3.2.2:
release date: 0x3B20
version id: 0x04
*/ 

/*
v8.0.0:
release date: 0x4389
version id: 0x09 
*/ 

/*
v9.0.0:
release date: 
version id: 0x0A 
*/ 

/*
v10.0.0:
release date: 0x473C 
version id: 0x0B
*/ 
ULONG RLSDATE = 0x473C; //// 2019/12/06,免费升级开始日期,应该就是发布日期吧 
ULONG VERID = 0x0B;     //// 11,当前版本ID,可升级最高版本号,序列号的版本号要大于或等于此值 

/////////////////////////////////////////////////
//// 免费升级天数 (可修改)
ULONG FREE_UPGRADE_DAYS = 10549;  //// 免费升级天数:10549(截止至 2048/10/24)
/////////////////////////////////////////////////
//// SN最大可用版本,适于 0x9C 注册类型。适配免费升级天数,设置28年。 
ULONG MAX_VERSION_ID = VERID + (FREE_UPGRADE_DAYS/365); 
/////////////////////////////////////////////////

int char36ToInt(char ch);
int stringToBytes(char * str, char * bytes);
int checkName(char * name);

ULONG getUncheck3(ULONG base, ULONG rlsdate);

ULONG calcSN_Date();
ULONG reverseSN_Date(ULONG sn_date);

UCHAR getUncheck1(char ch);
UWORD getUncheck2(ULONG ul);
ULONG getCheck3(ULONG sn_date, ULONG base);

///// 用户名处理 
ULONG getNameCheck(char * name, ULONG is_registed, ULONG free_days, ULONG user_count);

int getDays(int base, int year2, int month2, int day2);
int getDate(int days, int * year, int * month, int * day);

ULONG decodeVersionID(ULONG encVerId);
ULONG decodeBeginDays(ULONG encDays);
ULONG decodeEndDays(ULONG encDays);
ULONG decodeUsesLeft(ULONG encUsesLeft);
ULONG encodeEndDays(ULONG days);
ULONG encodeUsesLeft(ULONG usesLeft);

#define RESULT0 0x93
#define RESULT1 0xE7

//// black name list
char * name_list[] = {"999", NULL};

UCHAR sn_int[] = {0x11, 0x11, 0x22, 0x22, 0x33, 0x33, 0x44, 0x44, 0x55, 0x55};
//UCHAR sn_int[] = {0x11, 0x11, 0x22, 0x9C, 0x3E, 0x7A, 0xED, 0xBA, 0x55, 0x55};

int main(int argc, char** argv) {

        //// 注册用户名 
        char name[] = "solly";
        
        ////------------------------------------------------------------------------ 
        //// version type 
        //ULONG license_type = 0x9C;      //// 无免费升级,(注册时会提示过期日期为1970/1/2) 
        ULONG license_type = 0xAC;        //// 有免费升级,注册码含有天数限制 
        //ULONG license_type = 0xFC;      //// 扩展评估版,注册码含有天数限制 
        
        //// License user count
        ULONG license_user_count = 1000;        //// Site License, 0x03E8 
        //ULONG license_user_count = 1;         //// single License, 0x01
        //ULONG license_user_count = 999;       //// multiply License (2~999)

        ////------------------------------------------------------------------------ 
        //// 注册类型
        ULONG license_register_type = 1;             //// 正式注册版 
        ULONG license_free_upgrage_end_of_date = 0;  //// 可免费升级的天数 

        ////------------------------------------------------------------------------ 
        int black = checkName(name);
        if(black == RESULT1) {
                printf("Your name is in the black names list.\n");

                return 0;
        }

        ////------------------------------------------------------------------------ 
        if(license_type == 0xAC) {   //// full version 
                license_free_upgrage_end_of_date = RLSDATE + FREE_UPGRADE_DAYS;   /// 可升级天数 
                printf("EndOf Date = 0x%08X\n", license_free_upgrage_end_of_date);
                //// name_check = 0x8134B8E5
        }
        
        if(license_type == 0xFC) {
                license_register_type = 0;       //// 扩展评估版 
                license_user_count    = 1;
                license_free_upgrage_end_of_date = 0xFF;
                ////
                FREE_UPGRADE_DAYS = 1825; //// evaluation extrends days <= 0x721(1825 days, 5 years)
        }

        ////------------------------------------------------------------------------ 
        //// save license type
        sn_int[3] = (UCHAR)license_type;  //// license type

        //// params: "solly", 1, 0, 0x03E8
        //// return: 0xBAED7A3E
        //// ------------------------------
        //// params: "solly', 0, 0xFF, 1
        //// return: 0x4E2AC9B1 
        int name_check = getNameCheck(name, license_register_type, license_free_upgrage_end_of_date, license_user_count);
        printf("name_check = 0x%08X\n", name_check);
        sn_int[4] = (UCHAR)(name_check    );   /// name check byte
        sn_int[5] = (UCHAR)(name_check>>8 );
        sn_int[6] = (UCHAR)(name_check>>16);
        sn_int[7] = (UCHAR)(name_check>>24);


        if(license_type == 0xFC) {  //// evaluation license
                //// 18000(0x4650) + 10549 == 0x6F85,  20000(0x4E20) + 10549 == 0x7755
                int eval_days_check = getUncheck3(name_check, RLSDATE);   
                printf("evaluation_days_encoded = 0x%08X\n", eval_days_check);
                sn_int[0] = (UCHAR)(eval_days_check    );
                sn_int[1] = (UCHAR)(eval_days_check>>8 );
                sn_int[2] = (UCHAR)(eval_days_check>>16);
                
                int eval_days = getCheck3(name_check, eval_days_check);
                printf("evaluation extends days = 0x%08X\n", eval_days);
                //// execute "Remove my license from this machine" first.
                //// 最后注册日期 < eval_days < 最后注册成功有效日期 
                //// 并且 最后注册成功有效日期 < 当前日期
                //// 并且 eval_days < Release_date + 0x721(1825 days,5年) 
        } else {  //// registered license
                int user_count = getUncheck2(license_user_count);    //// 0xA93B
                printf("user_count = 0x%08X\n", user_count);
        
                sn_int[1] = (UCHAR)(user_count>>8) ^ sn_int[7];  //// hi
                sn_int[2] = (UCHAR)user_count ^ sn_int[5];       //// lo
        
                if(license_type == 0xAC) {
                        ULONG sn_date = getUncheck3(0x005B8C27, RLSDATE); /// days
                        sn_date &= 0x00FFFFFF;
                        printf("days_in_sn = 0x%08X\n", sn_date); //// 0xFF9EBF52
                        //reverseSN_Date(sn_date);  //// fill sn_int[0], sn_int[8], sn_int[9]
                        sn_int[0] = (UCHAR)(sn_date    ) ^ sn_int[6];
                        sn_int[8] = (UCHAR)(sn_date>>8 ) ^ sn_int[4];
                        sn_int[9] = (UCHAR)(sn_date>>16) ^ sn_int[5];
                        
                        //int check3 = getCheck3(sn_date, 0x005B8C27);
                        //printf("free upg days = 0x%08X\n", check3);
                } else {  //// license_type == 0x9C
                        //// version_id check
                        sn_int[0] = getUncheck1(MAX_VERSION_ID) ^ sn_int[6]; /// version_id limited
                        printf("version_id = 0x%08X\n", VERID);
                }
        }
        
        ////-------------------------------------------------------------------
        //// test
//        int a = char36ToInt('x');
//        printf("x = %d\n", a);
/*        
        int year2, month2, day2;
        int v10 = getDate(0x473C, &year2, &month2, &day2);
        printf("v10.0 rls date: %d-%02d-%02d\n", year2, month2, day2);
        
        int v10_1 = getDate(0x4770, &year2, &month2, &day2);   //// 2020-01-27
        printf("extends date1: %d-%02d-%02d\n", year2, month2, day2);

        int v10_2 = getDate(0x7071, &year2, &month2, &day2);   //// 2048-10-23
        printf("extends date2: %d-%02d-%02d\n", year2, month2, day2);

        int v08 = getDate(0x4389, &year2, &month2, &day2);
        printf("v08.0 rls date: %d-%02d-%02d\n", year2, month2, day2);

        int days1 = getDays(0, 2019, 12, 6);
        printf("days1: 0x%08X\n", days1);
        
        int days2 = getDays(0x473C+1, 2048, 10, 24);
        printf("days2: %d\n", days2);
        
        int days3 = getDays(0x0, 2020, 1, 28);
        printf("days3: 0x%08X\n", days3);
        
        /// {F73529D0-8362-B7A9-7B25-01538B3C632A}
        int decodedVerId = decodeVersionID(0x64B8E106);  //// 1689837830, return 0x0B
        printf("Decoded Ver Id: 0x%08X\n", decodedVerId);
        
        /// {E68B43C9-B732-8573-76A8-01AB75B3683A}
        int begin_days = decodeBeginDays(0x0FE19483);  /// 266441859, return 0x4770
        printf("Begin Days: 0x%08X\n", begin_days);

        //// {D75BD954-8B63-84BA-75B3-019654928EE7}
        int end_days = decodeEndDays(0xA627AA1E);  /// 2787617310, return 0x7071
        printf("End Days: 0x%08X\n", end_days);
        
        int enc_end_days = encodeEndDays(0x4770+0x1E); //// 30 days left 
        printf("Encoded End Days: %lu\n", enc_end_days);
        
        //// {F175B8C0-783C-8BA0-7045-014CA847B302}
        int usesLeft = decodeUsesLeft(0xA4CEFFB9); //// 2765029305, return 0x09
        printf("Evaluation Uses Left: 0x%08X\n", usesLeft);
        
        int encUsesLeft = encodeUsesLeft(100);
        printf("Encoded Evaluation Uses Left: %lu\n", encUsesLeft);
*/        
        ////-------------------------------------------------------------------
        //// output sn
        printf("\n\nName: %s\n\n", name);
        //// SN: 1113-3D22-3E7A-EDBA-5555
        if(license_type == 0xFC) {  //// evaluation license
                printf("  SN: %02X%02X-%02X%02X-%02X%02X-%02X%02X\n", 
                                sn_int[0], sn_int[1], sn_int[2], sn_int[3], sn_int[4], 
                                sn_int[5], sn_int[6], sn_int[7]);
        } else if(license_type == 0xAC) { //// full version
                printf("  SN: %02X%02X-%02X%02X-%02X%02X-%02X%02X-%02X%02X\n", 
                                sn_int[0], sn_int[1], sn_int[2], sn_int[3], sn_int[4], 
                                sn_int[5], sn_int[6], sn_int[7], sn_int[8], sn_int[9]);
        } else {  //// no free support, no free upgrade
                printf("  SN: %02X%02X-%02X%02X-%02X%02X-%02X%02X\n", 
                                sn_int[0], sn_int[1], sn_int[2], sn_int[3], sn_int[4], 
                                sn_int[5], sn_int[6], sn_int[7]);
        }
        
        return 0;
}

int checkName(char * name) {
        
        for(int i=0; ; i++) {
                if(name_list[i] == NULL) {
                        break;
                }
                if(strcmp(name, name_list[i])) {
                        continue;
                }
                return RESULT1;  /// 存在于黑名单中 
        }
        
        return 0;
}

int stringToBytes(char * str, char * bytes) {
        int idx = 0;
        for(int i=0; i<5; i++) {
                char ch_hi = str[idx++];
                char ch_lo = str[idx++];
                bytes[i*2] = (char36ToInt(ch_hi) << 4) + char36ToInt(ch_lo);
                ch_hi = str[idx++];
                ch_lo = str[idx++];
                bytes[i*2+1] = (char36ToInt(ch_hi) << 4) + char36ToInt(ch_lo);
                idx++;  //// 跳过 '-' 分隔符 
        }
        printf("SN_INT[] = (%02X %02X - %02X %02X - %02X %02X - %02X %02X - %02X %02X)\n",
                        bytes[0], bytes[1], bytes[2], bytes[3], bytes[4], 
                        bytes[5], bytes[6], bytes[7], bytes[8], bytes[9]);
        return idx;
}

int char36ToInt(char ch) {
        //// 大写字母 O ,小写字母 o , 转换成数字 0; 
        if((ch=='O') || (ch=='o')) {
                return 0;
        }
        //// 小写字母 l , 转换为数字 1; 
        if(ch == 'l') {
                return 1;
        }
        if((ch>='0') && (ch<='9')) {
                return ch - '0';
        }
        if((ch>='A') && (ch<='Z')) {
                return ch - 'A' + 10;
        }
        if((ch>='a') && (ch<='z')) {
                return ch - 'a' + 10;
        }
        
        return 0;
}

UCHAR getCheck1(char ch) {
        return (UCHAR)(((ch ^ 0x18) + 0x3D) ^ 0xA7);
}

UWORD getCheck2(ULONG ul) {
        ULONG a = (UWORD)(((ul ^ 0x7892) + 0x4D30) ^ 0x3421);

        if(a % 11) {
                return 0;
        }
        
        return (UWORD)a;
}

/// 0x002F6BFC, 0x005B8C27
ULONG getCheck3(ULONG sn_date, ULONG base) {
        //// check1 == 0xFF
        ULONG check1  = (((sn_date ^ base ^ 0x0022C078) - 0x0002C175) ^ 0xFFE53167) & 0X00FFFFFF;
        UINT64 check2 = (UINT64)check1 * 0xF0F0F0F1UL;
        ULONG check3 = (UINT64)(check2 >> (32+4));
        ULONG check4 = check3 << 4;
        ULONG check = check1 - (check4 + check3); 
        //printf("sn_date = 0x%08X\n", sn_date); 
        return (check == 0)?check3:0; //// check3 >= 0x473C 才正确 
}

/*
ULONG getUncheck3(ULONG base, ULONG rlsdate) {
        //ULONG check1 = 0x000000FF;
        //return ((check1 ^ 0xFFE53167) + 0x0002C175) ^ 0x0022C078 ^ base;
        ULONG check1_0 = 0;
        ULONG check3_0 = 0;
        ULONG check3_1 = rlsdate + FREE_UPGRADE_DAYS - 1;
        do {
                check3_1 ++;  //// test
                if(check3_1 < rlsdate) {
                        break;
                }

                //ULONG check4 = check3_1 << 4;   /// check3_1 * 0x10
                //check1_0 = check3_1 + check4;   /// check1_0 = check3_1 * 0x11; 
                check1_0 = check3_1 * 0x11;
        
                //UINT64 check2 = (UINT64)check1_0 * 0xF0F0F0F1UL;
                UINT64 check2 = (UINT64)check3_1 * 0x1000000001ULL; /// 0xF0F0F0F1UL * 0x11 
                check3_0 = (UINT64)(check2 >> (32+4)); //// (UINT64)check3_1 * 0x01;
        } while(check3_0 != check3_1);
        //printf("check3_0 = 0x%08X\n", check3_0);
        //printf("check3_1 = 0x%08X\n", check3_1);
        
        return ((check1_0 ^ 0xFFE53167) + 0x0002C175) ^ 0x0022C078 ^ base;
}
*/
ULONG getUncheck3(ULONG base, ULONG rlsdate) {
        ULONG end_of_date = rlsdate + FREE_UPGRADE_DAYS;
        return (((end_of_date * 0x11) ^ 0xFFE53167) + 0x0002C175) ^ 0x0022C078 ^ base;
}

ULONG calcSN_Date() {
        ULONG a = sn_int[5] ^ sn_int[9];
        ULONG b = sn_int[4] ^ sn_int[8];
        ULONG c = sn_int[6] ^ sn_int[0];
        
        ULONG d = (((a<<8) + b)<<8) + c; //// 0x002F6BFC
        
        return d;
}

ULONG reverseSN_Date(ULONG sn_date) {
    //// 0x002F6BFC
        sn_int[0] = (UCHAR)(sn_date    ) ^ sn_int[6];
        sn_int[8] = (UCHAR)(sn_date>>8 ) ^ sn_int[4];
        sn_int[9] = (UCHAR)(sn_date>>16) ^ sn_int[5];
        
        return 0;
}


ULONG getUncheck3(ULONG count) {
        /// no using
        return 0;        
} 

/// 0x3B
UCHAR getUncheck1(char ch) {
        return (UCHAR)(((ch ^ 0xA7) - 0x3D) ^ 0x18);
}

/// license count
/// 1-single user license, 2~999-multiply user license, 1000-site license
UWORD getUncheck2(ULONG ul) {
        ULONG a = ul * 11; //// ul <= 1745; /// 正常范围为 1~0x03E8 (1~1000) 
        return (UWORD)(((a ^ 0x3421) - 0x4D30) ^ 0x7892);
}

//// params: "solly", 1, 0, 0x03E8 (edx, xxx, ecx, ebx)
//// return: 0xBAED7A3E
ULONG getNameCheck(char * name, ULONG is_registed, ULONG free_days, ULONG user_count) {
        ULONG name_check = 0;      //// [ebp-04]
        ULONG idx3 = 0;            //// [ebp-10]
        ULONG idx2 = 0;            //// [ebp-0C]
        
        int n = strlen(name);
        
        ULONG idx4 = user_count * 15;    //// ebx
        ULONG idx1 = free_days * 17;  //// [ebp-08]
        
        for(int i=0; i<n; i++) {
                ULONG idx0 = toupper((UCHAR)name[i]);
                name_check += name_tables[idx0];
                if(is_registed != 0) {  //// 正式注册版 
                        name_check ^= name_tables[(idx0 + 0x0D) & 0xFF];
                        name_check *= name_tables[(idx0 + 0x2F) & 0xFF];
                        name_check += name_tables[(UCHAR)idx1];
                        name_check += name_tables[(UCHAR)idx4];
                        name_check += name_tables[(UCHAR)idx2];
                } else {           //// 扩展评估版 
                        name_check ^= name_tables[(idx0 + 0x3F) & 0xFF];
                        name_check *= name_tables[(idx0 + 0x17) & 0xFF];
                        name_check += name_tables[(UCHAR)idx1];
                        name_check += name_tables[(UCHAR)idx4];
                        name_check += name_tables[(UCHAR)idx3];
                }
                idx2 += 0x13;
                idx1 += 0x09;
                idx4 += 0x0D;
                idx3 += 0x07;
        }
        
        return name_check;
}

int monthdays[2][12] = { { 31,28,31,30,31,30,31,31,30,31,30,31 },{ 31,29,31,30,31,30,31,31,30,31,30,31 } };
int yeardays[2] = { 365,366 };

int isLearYear(int year)
{
        if (((year % 4 == 0) && (year % 100 != 0)) || (year % 400 == 0))
                return 1;
        else
                return 0;
}

//// from 1970-01-01
int getDays(int base, int year2, int month2, int day2) {
        int sumdays = 0;
        int year1  = 1970;
        int month1 = 1;
        int day1   = 1;
        if (year1 == year2 && month1 == month2)
        {
                sumdays = day2 - day1;
        } else {
                if (year1 == year2)
                {
                        sumdays += monthdays[isLearYear(year1)][month1-1] - day1;
                        for (int i = month1; i < month2-1; i++) { 
                                sumdays += monthdays[isLearYear(year1)][i];
                        } 
                        sumdays += day2;
                } else {
                        sumdays += monthdays[isLearYear(year1)][month1-1] - day1;
                        
                        for (int i = month1; i < 12; i++) {
                                sumdays += monthdays[isLearYear(year1)][i];
                        } 

                        for (int i = year1 + 1; i < year2; i++) {
                                sumdays += yeardays[isLearYear(i)];
                        }

                        for (int i = 0; i < month2 - 1; i++) {
                                sumdays += monthdays[isLearYear(year2)][i];
                        }

                        sumdays += day2;
                }
        }
        return sumdays - base;
}

int getDate(int days, int * year, int * month, int * day) {
        int year1 = 1969;
        int month1= 0;
        int day1 = 0;
        
        int n = days;
        do {
                year1 ++;
                days = n;
                n = days - yeardays[isLearYear(year1)];
        } while(n>0);
        
        n = days;
        do {
                days = n;
                n = days - monthdays[isLearYear(year1)][month1];
                month1 ++; //// base on 1
        } while(n>0);

        day1 = days;
        day1 ++; //// base on 1
        
        ////
        *year = year1;
        *month= month1;
        *day  = day1;
        
        return 0;        
}

//// decode versin_id from registry
ULONG decodeVersionID(ULONG encVerId) {
//        ULONG  s = (((encVerId ^ 0xC7329CD4) - 0x2749B4FF) ^ 0x7C4280C0);
//        ULONG  d = (ULONG)(((UINT64)s * 0x34904333UL)>>32);  //// 881869619
//        int    c = ((int)(((int)(s - d)>>1) + d)>>13);    /// c = s / 0x3519
//        ULONG  a = c*0x3519;
//        printf("s = 0x%08X, d = 0x%08X\n", s, d);
//        return (s == a)?c:0;
    return (((encVerId ^ 0xC7329CD4) - 0x2749B4FF) ^ 0x7C4280C0) / 0x3519;
}

//// encode version_id to value of registry
ULONG encodeVersionID(ULONG VerId) {
        return (((VerId * 0x3519) ^ 0x7C4280C0) + 0x2749B4FF) ^ 0xC7329CD4;
}

//// decode begin of days from registry
ULONG decodeBeginDays(ULONG encDays) {
        ULONG c = (((encDays ^ 0x3F6197DA) - 0x656A0BB2) ^ 0xCB139CB7);
        ULONG d = (((UINT64)c * 0xB21642C9UL)>>36);
        ULONG a = d * 0x17;
        return (c == a)?d:0;
}

//// encode begin of days to value of registry
ULONG encodeBeginDays(ULONG days) {
        return ((((days * 0x17) ^ 0xCB139CB7) + 0x656A0BB2) ^ 0x3F6197DA);
}

//// decode end of days from registry
ULONG decodeEndDays(ULONG encDays) {
//        ULONG  s = (((encDays ^ 0x18C5B72) - 0x329BD55E) ^ 0x7521BDEF);
//        ULONG  d = (ULONG)(((UINT64)s * 0x21FB7813)>>32);  //// 881869619
//        int    c = ((int)(((int)(s - d)>>1) + d)>>6);    /// c = s / 0x71
//        ULONG  a = c*0x71;
//        printf("s = 0x%08X, d = 0x%08X\n", s, d);
//        return (s == a)?c:0;
        return ((((encDays ^ 0x18C5B72) - 0x329BD55E) ^ 0x7521BDEF) / 0x71);
}

//// encode end of days to value of registry
ULONG encodeEndDays(ULONG days) {
        return ((((days * 0x71) ^ 0x7521BDEF) + 0x329BD55E) ^ 0x18C5B72);
}

//// {F175B8C0-783C-8BA0-7045-014CA847B302}
ULONG decodeUsesLeft(ULONG encUsesLeft) {
//        ULONG  c = (((encUsesLeft ^ 0x7328B47A) - 0x18B3C906) ^ 0xBF32ABCE);
//        UINT64 a = (UINT64)c * 0x379609FD;
//        ULONG  d = (ULONG)(a>>(32+8));  /// d = c / 0x049B
//        ULONG  A = d * 0x049B;
//        return (c == A)?d:0;
        return (((encUsesLeft ^ 0x7328B47A) - 0x18B3C906) ^ 0xBF32ABCE) / 0x049B;
}

//// {F175B8C0-783C-8BA0-7045-014CA847B302}
//// 试用使用次数 
ULONG encodeUsesLeft(ULONG usesLeft) {
        return ((((usesLeft * 0x049B) ^ 0xBF32ABCE) + 0x18B3C906) ^ 0x7328B47A);
}

代码内还有一些多余函数和代码,是在跟踪分析过程中进行测试或解码用的,没有删除。

另外,还有一个文件是用户名转换时的查表数据,文件名为:name_tables.h,代码如下:
[C++] 纯文本查看 复制代码
#ifndef __name_tables__
#define __name_tables__

long name_tables[] = {
    0x39CB44B8, 0x23754F67, 0x5F017211, 0x3EBB24DA, 0x351707C6, 0x63F9774B, 0x17827288, 0x0FE74821,
    0x5B5F670F, 0x48315AE8, 0x785B7769, 0x2B7A1547, 0x38D11292, 0x42A11B32, 0x35332244, 0x77437B60,
    0x1EAB3B10, 0x53810000, 0x1D0212AE, 0x6F0377A8, 0x43C03092, 0x2D3C0A8E, 0x62950CBF, 0x30F06FFA,
    0x34F710E0, 0x28F417FB, 0x350D2F95, 0x5A361D5A, 0x15CC060B, 0x0AFD13CC, 0x28603BCF, 0x3371066B,
    0x30CD14E4, 0x175D3A67, 0x6DD66A13, 0x2D3409F9, 0x581E7B82, 0x76526B99, 0x5C8D5188, 0x2C857971,
    0x15F51FC0, 0x68CC0D11, 0x49F55E5C, 0x275E4364, 0x2D1E0DBC, 0x4CEE7CE3, 0x32555840, 0x112E2E08,
    0x6978065A, 0x72921406, 0x314578E7, 0x175621B7, 0x40771DBF, 0x3FC238D6, 0x4A31128A, 0x2DAD036E,
    0x41A069D6, 0x25400192, 0x00DD4667, 0x6AFC1F4F, 0x571040CE, 0x62FE66DF, 0x41DB4B3E, 0x3582231F,
    0x55F6079A, 0x1CA70644, 0x1B1643D2, 0x3F7228C9, 0x5F141070, 0x3E1474AB, 0x444B256E, 0x537050D9,
    0x0F42094B, 0x2FD820E6, 0x778B2E5E, 0x71176D02, 0x7FEA7A69, 0x5BB54628, 0x19BA6C71, 0x39763A99,
    0x178D54CD, 0x01246E88, 0x3313537E, 0x2B8E2D17, 0x2A3D10BE, 0x59D10582, 0x37A163DB, 0x30D6489A,
    0x6A215C46, 0x0E1C7A76, 0x1FC760E7, 0x79B80C65, 0x27F459B4, 0x799A7326, 0x50BA1782, 0x2A116D5C,
    0x63866E1B, 0x3F920E3C, 0x55023490, 0x55B56089, 0x2C391FD1, 0x2F8035C2, 0x64FD2B7A, 0x4CE8759A,
    0x518504F0, 0x799501A8, 0x3F5B2CAD, 0x38E60160, 0x637641D8, 0x33352A42, 0x51A22C19, 0x085C5851,
    0x032917AB, 0x2B770AC7, 0x30AC77B3, 0x2BEC1907, 0x035202D0, 0x0FA933D3, 0x61255DF3, 0x22AD06BF,
    0x58B86971, 0x5FCA0DE5, 0x700D6456, 0x56A973DB, 0x5AB759FD, 0x330E0BE2, 0x5B3C0DDD, 0x495D3C60,
    0x53BD59A6, 0x4C5E6D91, 0x49D9318D, 0x103D5079, 0x61CE42E3, 0x7ED5121D, 0x14E160ED, 0x212D4EF2,
    0x270133F0, 0x62435A96, 0x1FA75E8B, 0x6F092FBE, 0x4A000D49, 0x57AE1C70, 0x004E2477, 0x561E7E72,
    0x468C0033, 0x5DCC2402, 0x78507AC6, 0x58AF24C7, 0x0DF62D34, 0x358A4708, 0x3CFB1E11, 0x2B71451C,
    0x77A75295, 0x56890721, 0x0FEF75F3, 0x120F24F1, 0x01990AE7, 0x339C4452, 0x27A15B8E, 0x0BA7276D,
    0x60DC1B7B, 0x4F4B7F82, 0x67DB7007, 0x4F4A57D9, 0x621252E8, 0x20532CFC, 0x6A390306, 0x18800423,
    0x19F3778A, 0x462316F0, 0x56AE0937, 0x43C2675C, 0x65CA45FD, 0x0D604FF2, 0x0BFD22CB, 0x3AFE643B,
    0x3BF67FA6, 0x44623579, 0x184031F8, 0x32174F97, 0x4C6A092A, 0x5FB50261, 0x01650174, 0x33634AF1,
    0x712D18F4, 0x6E997169, 0x5DAB7AFE, 0x7C2B2EE8, 0x6EDB75B4, 0x5F836FB6, 0x3C2A6DD6, 0x292D05C2,
    0x052244DB, 0x149A5F4F, 0x5D486540, 0x331D15EA, 0x4F456920, 0x483A699F, 0x3B450F05, 0x3B207C6C,
    0x749D70FE, 0x417461F6, 0x62B031F1, 0x2750577B, 0x29131533, 0x588C3808, 0x1AEF3456, 0x0F3C00EC,
    0x7DA74742, 0x4B797A6C, 0x5EBB3287, 0x786558B8, 0x00ED4FF2, 0x6269691E, 0x24A2255F, 0x62C11F7E,
    0x2F8A7DCD, 0x643B17FE, 0x778318B8, 0x253B60FE, 0x34BB63A3, 0x5B03214F, 0x5F1571F4, 0x1A316E9F,
    0x7ACF2704, 0x28896838, 0x18614677, 0x1BF569EB, 0x0BA85EC9, 0x6ACA6B46, 0x1E43422A, 0x514D5F0E,
    0x413E018C, 0x307626E9, 0x01ED1DFA, 0x49F46F5A, 0x461B642B, 0x7D7007F2, 0x13652657, 0x6B160BC5,
    0x65E04849, 0x1F526E1C, 0x5A0251B6, 0x2BD73F69, 0x2DBF7ACD, 0x51E63E80, 0x5CF2670F, 0x21CD0A03,
    0x5CFF0261, 0x33AE061E, 0x3BB6345F, 0x5D814A75, 0x257B5DF4, 0x0A5C2C5B, 0x16A45527, 0x16F23945
};
#endif


该软件在注册码验证时,还会进行网络验证,因此,还需要进行网络验证的处理,软件会向其服务器发送一个如下的http字符串进行验证:
[Shell] 纯文本查看 复制代码
#网络验证字符串
[url=http://www.sweetscape.com/cgibin/010editor_check_license_9b.php?t=2E65DB0868&sum=1F4BF35D3CFC5A59865F2CF44167FEC268EDB719D6CD0ADE&id=0&chk=14611&typ=0]http://www.sweetscape.com/cgibin ... d=0&chk=14611&typ=0[/url]


其中有几个参数説明如下:
1、t=2E65DB0868,这个是由用户名字符串编码加密而来的。
2、sum=1F4BF35D3CFC5A59865F2CF44167FEC268EDB719D6CD0ADE,这个是由上面的 t 参数与注册码一起加密而来的。
3、id=0,这个 id 是每次验证返回的验证成功值,会保存到注册表,不过第一次验证时是 0,后面验证时取的注册表键值。如果验证成功,id大于0了。
4、chk=14611,这个值也是由用户名字符串编码来的,16bits整数。
5、typ=0,这个是一个bool数据,当 typ=0,则进行网验证,typ=1,则发送验证已完成给服务器(发送字符串"1On_HttpCheckLicenseFinished(char*,int)"),并且也不再验证返回的数据。


以上是在线网络验证参数分析,下面进行具体的验证过程分析,另外,不对以上几个用户名和注册码的加密进行分析,因为那个不是客户端的事,服务端完成的工作我们不必去多费心分析。我们要做就是不管其发送什么内容,我们都给他回复一个“验证成功”的标志!

如下图,先定位网络验证的入口:

其实就在我们前面注册算法函数的后面一点点,如上图所示,传入网络验证函数参数只有一个:typ=0,表示需要进行验证。代码如下:
[Asm] 纯文本查看 复制代码
016FB7D3   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]         ;  第三次引用[0371805C]
016FB7D9   .  68 3C470000         push    0x473C                             ;  18236
016FB7DE   .  6A 0B               push    0xB                                ;  11
016FB7E0   .  E8 07F350FF         call    00C0AAEC                           ;  注册码检查
016FB7E5   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]         ;  第四次引用[0371805C]
016FB7EB   .  8BD8                mov     ebx, eax                           ;  注册标志 ebx == eax
016FB7ED   .  68 3C470000         push    0x473C                             ;  18236
016FB7F2   .  6A 0B               push    0xB                                ;  11
016FB7F4   .  E8 5FE650FF         call    00C09E58                           ;  注册码检查 及 试用期扩充的检查
016FB7F9   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]         ;  第五次引用[0371805C]
016FB7FF   .  8BF8                mov     edi, eax                           ;  版本标识 edi == eax
016FB801   .  81FB E7000000       cmp     ebx, 0xE7                          ;  成功标志3
016FB807   .  0F84 F3000000       je      016FB900
016FB80D   .  8379 2C 00          cmp     dword ptr [ecx+0x2C], 0x0          ;  是否进行网络验证,0-不验证,1-验证
016FB811   .  0F84 E9000000       je      016FB900
016FB817   .  6A 00               push    0x0
016FB819   .  8BCE                mov     ecx, esi
016FB81B   .  E8 BB6D50FF         call    00C025DB                           ;  网络验证
016FB820   .  85C0                test    eax, eax                           ;  eax 为返回验证id
016FB822   .  0F89 8C000000       jns     016FB8B4                           ;  eax非负,跳转再次判断


进入该函数,如下图所示:


首先取得用户名,如下图所示,取得界面上的用户名字符串:


对用户名字符串进行类型转换并转成字符数组,如下图所示:

接下来取注册码,一样也进行转换成字符数组之类的操作,如下图所示:


接下来,对用户名进行编码,得到一个整数,如下图所示,编码方法不管,这个编码是 chk 参数:


接下一大段代码就是将分而在软件中不同位置的一些常量字符串进行拼接,拼接出一个 http 连接串,如下图所示:

上图中,OD 数据区显示的就是拼接好的字符串的前面一部分。

接下来,又是对用户名编码,这次是编码成一个字符串,作为 t 参数,如下图所示:


上面完成后,然后将 t 参数与注册码进行一起编码为一个更长的字符串,作为 sum 参数,如下图所示:


如下图所示,在 OD 的数据区显示,已经将上面的编码,添加到 http 连接串后面了:


接下来就是ID参数的处理,第一次验证时,注册表中没有数据,默认就是 t=0,如下图所示:


接下来,就是将最前面的用户名编码后的整数也添加上来,作为 chk 参数,如下图所示:


这个操作完成,只有最后一个参数了,typ 参数是函数传入的,当前传入是的 0,如下图所示:

这样,整个 http 验证字符串就拼接完成了,下面再转换成 QString 类型 Unicode 字符串,如下图所示:


我们先看看,手动发送一下,是什么效果,将这一串(没有转换成 unicode前的)字符串复制出来,在 IE 中直接连接,如下图所示:

直接返回是的 <ss>invalid</ss>,表示验证失败,注册码无效。

下面我们进行破解,先在 hosts 文件中加上如下数据:
127.0.0.1 www.sweetscape.com

然后在管理员权限下,在命令行运行如下命令,刷新 DNS:
ipconfig /flushdns
切记不要录错了。

下面,从网上抓一段 http server 代码,稍加改造,自己做一个验证服务器,代码如下:
[C++] 纯文本查看 复制代码
#include <iostream>
#include <stdio.h>
#include <winsock.h>
#pragma comment(lib,"WSock32.Lib") //GCC 需要指定库 "libwsock32.a"

int main(int argc, char** argv)
{
        WSADATA wsaData;
        if (WSAStartup(MAKEWORD(1, 1), &wsaData) != 0) {
                fprintf(stderr, "WSAStartup failed.\n");
                exit(1);
        }
        printf("WebServer started...\r\nvisit [url=http://127.0.0.1:80]http://127.0.0.1:80[/url]\r\n\r\n");
        printf("Exit the http server, visit [url=http://127.0.0.1:80/?quit=1]http://127.0.0.1:80/?quit=1[/url]\r\n");
        
        SOCKET server_socket;       //服务器的socket
        SOCKET acc_socket;          //接收到的用户连接的socket
        int sock_size = sizeof(struct sockaddr_in);  
        struct sockaddr_in client_addr;    //客户连接信息
        struct sockaddr_in server_addr;    //客户连接信息

        server_socket = socket(PF_INET, SOCK_STREAM, 0);
        if (server_socket == -1) {         //如果返回值为-1 则出错
                return -1;
        }
        /*
        * 填充服务器连接信息
        */
        server_addr.sin_family = AF_INET;
        server_addr.sin_port = htons(80);
        server_addr.sin_addr.s_addr = inet_addr("127.0.0.1");  //本地地址
        memset(&(server_addr.sin_zero), '\0', 8);
        if (bind(server_socket, (struct sockaddr *)&server_addr,
                sizeof(server_addr)) == -1) {       //绑定服务 如果出错 则返回-1
                printf("bind error!\n");
                return -1;
        }
        if (listen(server_socket, 10) == -1 ) { //开始监听
                printf("listen error!\n");
                return -1;
        }
        if (server_socket == -1) {              //创建socket出错
                printf("Server exception!\n");
                // exit(2);
        }
        while(true) {
                acc_socket = accept(server_socket, (struct sockaddr *)&client_addr, &sock_size); //接收连接
                int numbytes;
                char recv_buff[1000];
                if ((numbytes=recv(acc_socket, recv_buff, 999, 0)) == -1) {
                        perror("recv error!\n");
                        // exit(1);
                        numbytes = 0;
                }
                recv_buff[numbytes] = '\0'; 
                  printf("recv data:\n %s\n", recv_buff);    //show data
                  
                  ////////// send data
                char reponse[] = 
                        "HTTP/1.0 200 OK\r\n"\
                        "Content-type: text/html\r\n"\
                        "Content-length: 26\r\n\r\n"\
                        "<ss><id>78787878</id></ss>";          //// length == 26, content == "<ss><id>78787878</id></ss>"
                  printf("send data:\n %s\n", reponse);      //show data
                send(acc_socket, reponse, strlen(reponse), 0);
                
                //// close
                shutdown(acc_socket, 2);  /// 2-SD_BOTH
                closesocket(acc_socket);
                /////
                if(strstr(recv_buff, "?quit=1")) {
                        //closesocket(acc_socket);
                        break;
                }
                printf("\r\n\r\n");        
        }
        
        closesocket(server_socket); 
        WSACleanup();

        return 0;
}

注意,这只是一个简单的验证,不过很有效。另外,GCC 编译时,要加上 libwsock32.a 库。


启动我们自己的验证服务器后,就可以进入下一步了。

如上图所示,发送了网络连接字符串。如果 bl ==1,表示成功发送和接收了。这是成功的第一步。这一段关键代码如下:
[Asm] 纯文本查看 复制代码
016FD601   .  8B0D 6C80BD03       mov     ecx, dword ptr [0x3BD806C]
016FD607   .  8D85 D8EFFFFF       lea     eax, dword ptr [ebp-0x1028]
016FD60D   .  53                  push    ebx
016FD60E   .  6A 01               push    0x1
016FD610   .  50                  push    eax
016FD611   .  8D85 E4EFFFFF       lea     eax, dword ptr [ebp-0x101C]
016FD617   .  C745 FC 05000000    mov     dword ptr [ebp-0x4], 0x5
016FD61E   .  50                  push    eax
016FD61F   .  8D85 ECEFFFFF       lea     eax, dword ptr [ebp-0x1014]
016FD625   .  50                  push    eax
016FD626   .  E8 1F7C50FF         call    00C0524A                                      ;  发送http数据
016FD62B   .  85C0                test    eax, eax                                      ;  eax==0 通讯正常
016FD62D   .  C745 FC FFFFFFFF    mov     dword ptr [ebp-0x4], -0x1
016FD634   .  8D8D ECEFFFFF       lea     ecx, dword ptr [ebp-0x1014]
016FD63A   .  0F94C3              sete    bl                                            ;  bl==1,发送接收正常
016FD63D   .  FF15 B094BD03       call    dword ptr [<&Qt5Core.QString::~QString>]      ;  Qt5Core.QXmlStreamStringRef::~QXmlStreamStringRef
016FD643   .  84DB                test    bl, bl
016FD645   .^ 0F84 ABF9FFFF       je      016FCFF6                                      ;  失败则跳转
016FD64B   .  FFB5 D8EFFFFF       push    dword ptr [ebp-0x1028]                        ;  length
016FD651   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]
016FD657   .  FFB5 E4EFFFFF       push    dword ptr [ebp-0x101C]                        ;  接收到的数据
016FD65D   .  E8 046F50FF         call    00C04566                                      ;  解析收到的数据
016FD662   .  FFB5 E4EFFFFF       push    dword ptr [ebp-0x101C]
016FD668   .  8BF0                mov     esi, eax
016FD66A   .  E8 6106A200         call    <jmp.&MSVCR120.operator delete[]>
016FD66F   .  83C4 04             add     esp, 0x4
016FD672   .  8BC6                mov     eax, esi
016FD674   .  EB 47               jmp     short 016FD6BD                                ;  结束了


如果验证失败,则收到如下数据(这是在改 hosts 文件 之前从官网接收的):


如果验证正确,则接收到如下图所示数据(这是从我的验证服务器接收的):


验证服务器显示如下:

可以清楚的看到接收和发送的数据。

接收到数据后,就会对数据进行解析,调用如下函数:

如上图所示,先解析<ss></ss>标签。检查接收到的字符串是不是 <ss>error</ss>和<ss>invalid</ss>,如果不是,则保存一个标志到注册表,表示验证成功:

这一段关键代码如下:
[Asm] 纯文本查看 复制代码
01DDE870  |> \1BC0                sbb     eax, eax
01DDE872  |.  83C8 01             or      eax, 0x1
01DDE875  |>  85C0                test    eax, eax
01DDE877  |.  75 0B               jnz     short 01DDE884
01DDE879  |.  C746 2C 01000000    mov     dword ptr [esi+0x2C], 0x1
01DDE880  |.  6A 01               push    0x1                              ;  verId = 1,错误
01DDE882  |.  EB 09               jmp     short 01DDE88D
01DDE884  |>  C746 2C 00000000    mov     dword ptr [esi+0x2C], 0x0
01DDE88B  |.  6A 00               push    0x0                              ;  VerId = 0, 正确
01DDE88D  |>  E8 85A1E2FE         call    00C08A17                         ;  get registry object
01DDE892  |.  8BC8                mov     ecx, eax
01DDE894  |.  E8 E35FE2FE         call    00C0487C                         ;  写注册表数据(verId),保存在线验证的结果
01DDE899  |.  837E 2C 01          cmp     dword ptr [esi+0x2C], 0x1
01DDE89D  |.  75 14               jnz     short 01DDE8B3                   ;  不等于1正确, 跳转



具体的注册表标志保存位置如下:

如果是 1690216811,表示成功,这个数字解码后是 0,如果是 1690236428,则表示失败,这个数字解码后是 1。
保存完注册表后,就对“<id>78787878</id>”解析,如下图所示:

如果没有发现问题,则将“<id>78787878</id>”中的数据“78787878”解析出来,如上图所示。

如果解析成功,则将解析出来的 id 转换成一个整数,并保存到注册表中,并且是明文件保存的,没有加密,如下图所示:


解析函数完成后,返回我们前面的拼接函数,如果到这里还没有错误,网络就验证就完成了,如下图所示,要退出函数了:



至此,网络验证成功了。

注册表中保存的ID数据如下图所示:


因此,在注册表中手动添加好这两条注册信息,就可以完成离线网络验证:
[Shell] 纯文本查看 复制代码
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\SweetScape\010 Editor\CLASSES\CLSID]

[HKEY_CURRENT_USER\Software\SweetScape\010 Editor\CLASSES\CLSID\{F531AB73-8493-A83D-7C94-016296B3CF17}]

[HKEY_CURRENT_USER\Software\SweetScape\010 Editor\CLASSES\CLSID\{F531AB73-8493-A83D-7C94-016296B3CF17}\InProcServer32A]
"ThreadingModel"="78787878"

[HKEY_CURRENT_USER\Software\SweetScape\010 Editor\CLASSES\CLSID\{FA1395FC-83C3-0732-7D11-0134937462A0}]

[HKEY_CURRENT_USER\Software\SweetScape\010 Editor\CLASSES\CLSID\{FA1395FC-83C3-0732-7D11-0134937462A0}\InProcServer32A]
"ThreadingModel"="1690216811"


前面説了,网络验证函数的参数为1时不会验证,只会 post 一条字符串 "1On_HttpCheckLicenseFinished(char*,int)" 给服务器。typ=1的网络验证函数调用在如下位置:

好象这个验证是界面显示刷新或定时器里用到了,没有深究,不一定准确。

另外,验证完成后,就可以恢复 hosts 文件了。
全部分析完毕!!!!

免费评分

参与人数 55吾爱币 +66 热心值 +49 收起 理由
耳食之辈 + 1 谢谢@Thanks!
Jumwan + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
CHK_ji + 1 + 1 用心讨论,共获提升!
洛城曼巴 + 1 + 1 用心讨论,共获提升!
lilei105 + 1 热心回复!
shi128862 + 1 + 1 谢谢@Thanks!
paulan + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
absman1972 + 1 + 1 谢谢@Thanks!
RBS + 1 用心讨论,共获提升!
40m41h42t + 1 + 1 太强了!学习!
ttao88 + 1 + 1 谢谢@Thanks!
niufq + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
codelive + 3 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
xiong_online + 1 + 1 用心讨论,共获提升!
宇翾菌 + 1 用心讨论,共获提升!
aniu + 1 + 1 用心讨论,共获提升!
orgasmor + 1 谢谢@Thanks!膜拜大神!
liuxingtang1 + 1 + 1 今天的评分不给你,有点说不过去了
lyslxx + 1 + 1 我很赞同!
jnez112358 + 1 + 1 谢谢@Thanks!
你不是一个人 + 1 + 1 热心回复!
kibaamor + 1 + 1 用心讨论,共获提升!
WarWolf + 1 + 1 我很赞同!
vison.v + 1 + 1 谢谢@Thanks!
yixi + 1 + 1 谢谢@Thanks!
whc2001 + 2 + 1 厉害
sdnyzjzx + 1 + 1 谢谢@Thanks!
eman613 + 1 + 1 看不懂系列,请问有成品嘛?
bqsyy + 1 + 1 谢谢@Thanks!
LOLQAQ + 1 + 1 我很赞同!
buzhifou01 + 1 + 1 厉害了!感谢分享
gaosld + 1 + 1 谢谢@Thanks!
lock3r + 1 + 1 谢谢@Thanks!
fsrank + 1 + 1 分析的很详细,非常感谢
涛之雨 + 2 + 1 膜拜大佬,bc4我是靠自动reg清除机器码。。。
逍遥一仙 + 3 + 1 用心讨论,共获提升!
飘缈孤鸿影 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
frsoce + 1 用心讨论,共获提升!
zhangbaida + 3 + 1 鼓励转贴优秀软件安全工具和文档!
dfui + 1 + 1 谢谢@Thanks!
路过的小朋友 + 1 热心回复!
生有涯知无涯 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
my1229 + 2 + 1 膜拜能分析算法的楼主,辛苦了!
chenjingyes + 1 + 1 谢谢@Thanks!
就是这么帅 + 1 + 1 谢谢@Thanks!
天空藍 + 1 + 1 又一篇精华(?)新年快乐,神分析。
topcookie + 2 + 1 膜拜一下
笙若 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
xiaolong23330 + 1 + 1 牛批
nj001 + 1 + 1 热心回复!
多幸运遇见baby + 1 + 1 必须点赞
wtujoxk + 2 + 1 神一样的分析文章
576626139 + 1 + 1 谢谢@Thanks!
朱朱你堕落了 + 3 + 1 你为何这么叼!!!
FleTime + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
 楼主| solly 发表于 2020-1-31 16:43 <
本帖最后由 solly 于 2020-1-31 16:51 编辑
Hmily 发表于 2020-1-31 09:34
写host权限太高,还容易被杀软拦截,并且影响升级,还是直接做个通杀劫持补丁方便点。

看来也只有patch了。
系统在界面刷新事件中,每5分钟会验证注册码是否正确,并在主界面右下角显示注册状态:
[Asm] 纯文本查看 复制代码
00D19448   > \FF15 689CBD03       call    dword ptr [<&Qt5Core.QDateTime::currentDateTim>;  Qt5Core.QDateTime::currentDateTime
00D1944E   .  83C4 04             add     esp, 0x4
00D19451   .  50                  push    eax
00D19452   .  8D8F A0080000       lea     ecx, dword ptr [edi+0x8A0]
00D19458   .  C745 FC 00000000    mov     dword ptr [ebp-0x4], 0x0
00D1945F   .  FF15 6C9CBD03       call    dword ptr [<&Qt5Core.QDateTime::secsTo>]       ;  Qt5Core.QDateTime::secsTo
00D19465   .  8D4D F0             lea     ecx, dword ptr [ebp-0x10]
00D19468   .  C745 FC FFFFFFFF    mov     dword ptr [ebp-0x4], -0x1
00D1946F   .  8BF0                mov     esi, eax                                       ;  秒数
00D19471   .  FF15 809CBD03       call    dword ptr [<&Qt5Core.QDateTime::~QDateTime>]   ;  Qt5Core.QDateTime::~QDateTime
00D19477   .  81FE 2C010000       cmp     esi, 0x12C                                     ;  300秒, 小于 300 秒则不执行检查
00D1947D   .  0F8C 5F010000       jl      00D195E2                                       ;  小于 300 秒则退出

超过 5分钟就会执行包括下面指令的代码:
[Asm] 纯文本查看 复制代码
00D194B0   .  E8 F4BDEEFF         call    00C052A9                                       ;  显示主界面标签
00D194B5   >  FF15 F8BDBD03       call    dword ptr [<&Qt5Widgets.QApplication::activeWi>;  Qt5Widge.QApplication::activeWindow


但上面不会联网检查。

但是,如果点了 “check update” 菜单,则会执行下面代码:
[Asm] 纯文本查看 复制代码
00D0BA86   > \A1 6480BD03         mov     eax, dword ptr [0x3BD8064]                          ;  QTime Object?
00D0BA8B   .  8B40 38             mov     eax, dword ptr [eax+0x38]                           ;  5, 5 days,自动更新间隔,可设置
00D0BA8E   .  69C0 80510100       imul    eax, eax, 0x15180                                   ;  86400
00D0BA94   .  99                  cdq
00D0BA95   .  3BFA                cmp     edi, edx
00D0BA97   .  7F 28               jg      short 00D0BAC1                                      ;  edx!=0,长时间没有更新
00D0BA99   .  7C 04               jl      short 00D0BA9F
00D0BA9B   .  3BF0                cmp     esi, eax
00D0BA9D   .  73 22               jnb     short 00D0BAC1                                      ;  不小于5天
00D0BA9F   >  85C9                test    ecx, ecx                                            ;  ecx == 1
00D0BAA1   .  74 0E               je      short 00D0BAB1
00D0BAA3   .  85FF                test    edi, edi
00D0BAA5   .  7F 1A               jg      short 00D0BAC1
00D0BAA7   .  7C 08               jl      short 00D0BAB1
00D0BAA9   .  81FE 80510100       cmp     esi, 0x15180                                        ;  86400, 检查离上次更新有没有一天时间
00D0BAAF   .  73 10               jnb     short 00D0BAC1                                      ;  不低于跳转
00D0BAB1   >  8D8D E4FBFFFF       lea     ecx, dword ptr [ebp-0x41C]
00D0BAB7   .  FFD3                call    ebx                                                 ;  (Qt5Core.QDateTime::isValid)
00D0BAB9   .  84C0                test    al, al
00D0BABB   .  0F85 06030000       jnz     00D0BDC7                                            ;  跳过更新
00D0BAC1   >  8D85 E0FBFFFF       lea     eax, dword ptr [ebp-0x420]
00D0BAC7   .  50                  push    eax
00D0BAC8   .  8D8D ECFBFFFF       lea     ecx, dword ptr [ebp-0x414]
00D0BACE   .  FF15 849CBD03       call    dword ptr [<&Qt5Core.QDateTime::QDateTime>]         ;  Qt5Core.QUrlQuery::QUrlQuery
00D0BAD4   .  8B0D 6480BD03       mov     ecx, dword ptr [0x3BD8064]
00D0BADA   .  8D85 ECFBFFFF       lea     eax, dword ptr [ebp-0x414]
00D0BAE0   .  C645 FC 02          mov     byte ptr [ebp-0x4], 0x2
00D0BAE4   .  50                  push    eax
00D0BAE5   .  83C1 44             add     ecx, 0x44
00D0BAE8   .  FF15 789CBD03       call    dword ptr [<&Qt5Core.QDateTime::operator=>]         ;  Qt5Core.QDateTime::operator=
00D0BAEE   .  8B1D 809CBD03       mov     ebx, dword ptr [<&Qt5Core.QDateTime::~QDateTime>]   ;  Qt5Core.QDateTime::~QDateTime
00D0BAF4   .  8D8D ECFBFFFF       lea     ecx, dword ptr [ebp-0x414]
00D0BAFA   .  C645 FC 01          mov     byte ptr [ebp-0x4], 0x1
00D0BAFE   .  FFD3                call    ebx                                                 ;  <&Qt5Core.QDateTime::~QDateTime>
00D0BB00   .  A1 6480BD03         mov     eax, dword ptr [0x3BD8064]
00D0BB05   .  8B75 08             mov     esi, dword ptr [ebp+0x8]                            ;  参数 == 1
00D0BB08   .  C740 3C 01000000    mov     dword ptr [eax+0x3C], 0x1                           ;  改成1,表示进行了更新
00D0BB0F   .  85F6                test    esi, esi
00D0BB11   .  74 48               je      short 00D0BB5B
00D0BB13   .  68 6C4F4302         push    02434F6C                                            ;  checking for updates...

如果离上次更新1天内,不会执行检查更新,直接显示已是最新版,否则都会执行检查更新,而在检查更新前,会置一个标志为 1(00D0BB08:mov dword ptr [eax+0x3C], 0x1)。而在上面每5钟执行一次的代码中,有这个标志的检查:
[Asm] 纯文本查看 复制代码
00D1952F   > \A1 6480BD03         mov     eax, dword ptr [0x3BD8064]
00D19534   .  8378 3C 00          cmp     dword ptr [eax+0x3C], 0x0                           ;  更新标志,1-表示执行了更新检查,0-表示没有
00D19538   .  0F84 8B000000       je      00D195C9                                            ;  为 0 则跳过注册码验证和网络验证

如果为 1,就会进行注册码验证和网络验证(typ==1):
[Asm] 纯文本查看 复制代码
00D195A0   > \33C0                xor     eax, eax
00D195A2   >  C745 FC FFFFFFFF    mov     dword ptr [ebp-0x4], -0x1
00D195A9   .  A3 2485BD03         mov     dword ptr [0x3BD8524], eax
00D195AE   >  6A 01               push    0x1                                                 ;  type == 1
00D195B0   .  8BC8                mov     ecx, eax
00D195B2   .  E8 2490EEFF         call    00C025DB                                            ;  连网验证,typ=1,不会立即解析返回结果,新开线程解析。
00D195B7   .  8B4D F4             mov     ecx, dword ptr [ebp-0xC]

解析在下面代码执行:
[Asm] 纯文本查看 复制代码
020BCBF2  |> \8B4D 14             mov     ecx, dword ptr [ebp+0x14]                           ;  Case 9 of switch 020BCB50
020BCBF5  |.  8B41 08             mov     eax, dword ptr [ecx+0x8]
020BCBF8  |.  FF30                push    dword ptr [eax]
020BCBFA  |.  8B41 04             mov     eax, dword ptr [ecx+0x4]
020BCBFD  |.  8B4D 08             mov     ecx, dword ptr [ebp+0x8]
020BCC00  |.  FF30                push    dword ptr [eax]
020BCC02  |.  E8 8A9EB4FE         call    00C06A91                                            ;  解析网络验证数据(在线检查更新后的网络验证数据检查)
020BCC07  |>  5D                  pop     ebp                                                 ;  Default case of switch 020BCB50
020BCC08  \.  C3                  retn




也就是不能执行在线更新或自动更新(5自动更新可在设置中关闭),也不能去其 store(需要id和注册码),只能执行离线更新了。跟 BC 也差不多一样了。

也只有 dll 劫持补丁比较方便通用了。

点评

这么看起来那是一样了,之前bc的劫持通杀补丁是写入真key,然后把网络验证黑名单干掉,保证最大化的通用性,不过貌似最近版本网络那块改了,补丁已经失效了,也没空跟进。  详情 回复 发表于 2020-1-31 23:01

免费评分

参与人数 2吾爱币 +2 热心值 +2 收起 理由
hanyufei + 1 + 1 谢谢@Thanks!
Hmily + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

推荐
 楼主| solly 发表于 2020-2-2 15:40 <
Hmily 发表于 2020-2-1 19:31
挺好,如果我没记错,好像以前和bc一样是delphi写的,idr也能识别出符号。

今天发现,软件自带注册机,分成3种情况分开写的,大家可以看看官方注册机:
[Asm] 纯文本查看 复制代码
0143C460  /> \55               push    ebp                                   ;  MakePasswordExtendsDate()
0143C461  |.  8BEC             mov     ebp, esp
0143C463  |.  53               push    ebx
0143C464  |.  6A 01            push    0x1
0143C466  |.  68 FF000000      push    0xFF
0143C46B  |.  6A 00            push    0x0
0143C46D  |.  FF75 08          push    dword ptr [ebp+0x8]
0143C470  |.  E8 786DE2FE      call    002631ED                              ;  EncodeName(name)
0143C475  |.  8B55 0C          mov     edx, dword ptr [ebp+0xC]
0143C478  |.  8BD8             mov     ebx, eax
0143C47A  |.  8B4D 10          mov     ecx, dword ptr [ebp+0x10]
0143C47D  |.  83C4 10          add     esp, 0x10
0143C480  |.  C1E2 04          shl     edx, 0x4
0143C483  |.  0355 0C          add     edx, dword ptr [ebp+0xC]
0143C486  |.  81F2 6731E5A8    xor     edx, 0xA8E53167
0143C48C  |.  81C2 75C10200    add     edx, 0x2C175
0143C492  |.  8859 04          mov     byte ptr [ecx+0x4], bl
0143C495  |.  33D3             xor     edx, ebx
0143C497  |.  C641 03 FC       mov     byte ptr [ecx+0x3], 0xFC              ;  授权类型:0xFC
0143C49B  |.  81F2 78C022FF    xor     edx, 0xFF22C078
0143C4A1  |.  8BC2             mov     eax, edx
0143C4A3  |.  8811             mov     byte ptr [ecx], dl
0143C4A5  |.  C1E8 08          shr     eax, 0x8
0143C4A8  |.  8841 01          mov     byte ptr [ecx+0x1], al
0143C4AB  |.  8BC3             mov     eax, ebx
0143C4AD  |.  C1E8 08          shr     eax, 0x8
0143C4B0  |.  8841 05          mov     byte ptr [ecx+0x5], al
0143C4B3  |.  8BC3             mov     eax, ebx
0143C4B5  |.  C1EA 10          shr     edx, 0x10
0143C4B8  |.  C1E8 10          shr     eax, 0x10
0143C4BB  |.  C1EB 18          shr     ebx, 0x18
0143C4BE  |.  8859 07          mov     byte ptr [ecx+0x7], bl
0143C4C1  |.  8851 02          mov     byte ptr [ecx+0x2], dl
0143C4C4  |.  8841 06          mov     byte ptr [ecx+0x6], al
0143C4C7  |.  5B               pop     ebx
0143C4C8  |.  5D               pop     ebp
0143C4C9  \.  C3               retn
;
;-------------------------------------------------------------------------------------------------------------------
;
0143C4F0  />  55               push    ebp                                   ;  MakePasswordNoSupports()
0143C4F1  |.  8BEC             mov     ebp, esp
0143C4F3  |.  53               push    ebx
0143C4F4  |.  56               push    esi
0143C4F5  |.  8B75 10          mov     esi, dword ptr [ebp+0x10]
0143C4F8  |.  56               push    esi
0143C4F9  |.  FF75 0C          push    dword ptr [ebp+0xC]
0143C4FC  |.  6A 01            push    0x1
0143C4FE  |.  FF75 08          push    dword ptr [ebp+0x8]
0143C501  |.  E8 E76CE2FE      call    002631ED                              ;  EncodeName(name)
0143C506  |.  8075 0C A7       xor     byte ptr [ebp+0xC], 0xA7
0143C50A  |.  8BD8             mov     ebx, eax
0143C50C  |.  806D 0C 3D       sub     byte ptr [ebp+0xC], 0x3D
0143C510  |.  83C4 10          add     esp, 0x10
0143C513  |.  6BCE 0B          imul    ecx, esi, 0xB
0143C516  |.  8B75 14          mov     esi, dword ptr [ebp+0x14]
0143C519  |.  C1E8 10          shr     eax, 0x10
0143C51C  |.  3045 0C          xor     byte ptr [ebp+0xC], al
0143C51F  |.  81F1 21340000    xor     ecx, 0x3421
0143C525  |.  8846 06          mov     byte ptr [esi+0x6], al
0143C528  |.  8B45 0C          mov     eax, dword ptr [ebp+0xC]
0143C52B  |.  81E9 304D0000    sub     ecx, 0x4D30
0143C531  |.  81F1 92780000    xor     ecx, 0x7892
0143C537  |.  885E 04          mov     byte ptr [esi+0x4], bl
0143C53A  |.  34 18            xor     al, 0x18
0143C53C  |.  0FB7D1           movzx   edx, cx
0143C53F  |.  8806             mov     byte ptr [esi], al
0143C541  |.  8BCB             mov     ecx, ebx
0143C543  |.  C1EB 18          shr     ebx, 0x18
0143C546  |.  8BC2             mov     eax, edx
0143C548  |.  C1E9 08          shr     ecx, 0x8
0143C54B  |.  C1E8 08          shr     eax, 0x8
0143C54E  |.  32C3             xor     al, bl
0143C550  |.  884E 05          mov     byte ptr [esi+0x5], cl
0143C553  |.  32CA             xor     cl, dl
0143C555  |.  885E 07          mov     byte ptr [esi+0x7], bl
0143C558  |.  C646 03 9C       mov     byte ptr [esi+0x3], 0x9C              ;  授权类型:0x9C
0143C55C  |.  8846 01          mov     byte ptr [esi+0x1], al
0143C55F  |.  884E 02          mov     byte ptr [esi+0x2], cl
0143C562  |.  5E               pop     esi
0143C563  |.  5B               pop     ebx
0143C564  |.  5D               pop     ebp
0143C565  \.  C3               retn
;
;-------------------------------------------------------------------------------------------------------------------
;
0143C590  />  55               push    ebp                                   ;  MakePasswordFull()
0143C591  |.  8BEC             mov     ebp, esp
0143C593  |.  51               push    ecx
0143C594  |.  53               push    ebx
0143C595  |.  56               push    esi
0143C596  |.  8B75 10          mov     esi, dword ptr [ebp+0x10]
0143C599  |.  57               push    edi
0143C59A  |.  8B7D 0C          mov     edi, dword ptr [ebp+0xC]
0143C59D  |.  57               push    edi
0143C59E  |.  56               push    esi
0143C59F  |.  6A 01            push    0x1
0143C5A1  |.  FF75 08          push    dword ptr [ebp+0x8]
0143C5A4  |.  E8 446CE2FE      call    002631ED                              ;  EncodeName(name)
0143C5A9  |.  8BC8             mov     ecx, eax
0143C5AB  |.  83C4 10          add     esp, 0x10
0143C5AE  |.  8BC6             mov     eax, esi
0143C5B0  |.  894D FC          mov     dword ptr [ebp-0x4], ecx
0143C5B3  |.  C1E0 04          shl     eax, 0x4
0143C5B6  |.  8BD1             mov     edx, ecx
0143C5B8  |.  03C6             add     eax, esi
0143C5BA  |.  C1EA 10          shr     edx, 0x10
0143C5BD  |.  8B75 14          mov     esi, dword ptr [ebp+0x14]
0143C5C0  |.  35 6731E5A8      xor     eax, 0xA8E53167
0143C5C5  |.  05 75C10200      add     eax, 0x2C175
0143C5CA  |.  35 5F4C79FF      xor     eax, 0xFF794C5F
0143C5CF  |.  8945 10          mov     dword ptr [ebp+0x10], eax
0143C5D2  |.  6BC7 0B          imul    eax, edi, 0xB
0143C5D5  |.  884E 04          mov     byte ptr [esi+0x4], cl
0143C5D8  |.  8856 06          mov     byte ptr [esi+0x6], dl
0143C5DB  |.  5F               pop     edi
0143C5DC  |.  C646 03 AC       mov     byte ptr [esi+0x3], 0xAC              ;  授权类型:0xAC
0143C5E0  |.  35 21340000      xor     eax, 0x3421
0143C5E5  |.  2D 304D0000      sub     eax, 0x4D30
0143C5EA  |.  35 92780000      xor     eax, 0x7892
0143C5EF  |.  0FB7D8           movzx   ebx, ax
0143C5F2  |.  8BC1             mov     eax, ecx
0143C5F4  |.  C1E8 08          shr     eax, 0x8
0143C5F7  |.  8945 0C          mov     dword ptr [ebp+0xC], eax
0143C5FA  |.  8846 05          mov     byte ptr [esi+0x5], al
0143C5FD  |.  8BC3             mov     eax, ebx
0143C5FF  |.  C1E8 08          shr     eax, 0x8
0143C602  |.  C1E9 18          shr     ecx, 0x18
0143C605  |.  32C1             xor     al, cl
0143C607  |.  884E 07          mov     byte ptr [esi+0x7], cl
0143C60A  |.  8B4D 0C          mov     ecx, dword ptr [ebp+0xC]
0143C60D  |.  8846 01          mov     byte ptr [esi+0x1], al
0143C610  |.  8AC1             mov     al, cl
0143C612  |.  32C3             xor     al, bl
0143C614  |.  8B5D 10          mov     ebx, dword ptr [ebp+0x10]
0143C617  |.  8846 02          mov     byte ptr [esi+0x2], al
0143C61A  |.  32D3             xor     dl, bl
0143C61C  |.  8BC3             mov     eax, ebx
0143C61E  |.  8816             mov     byte ptr [esi], dl
0143C620  |.  C1E8 08          shr     eax, 0x8
0143C623  |.  3245 FC          xor     al, byte ptr [ebp-0x4]
0143C626  |.  C1EB 10          shr     ebx, 0x10
0143C629  |.  32D9             xor     bl, cl
0143C62B  |.  8846 08          mov     byte ptr [esi+0x8], al
0143C62E  |.  885E 09          mov     byte ptr [esi+0x9], bl
0143C631  |.  5E               pop     esi
0143C632  |.  5B               pop     ebx
0143C633  |.  8BE5             mov     esp, ebp
0143C635  |.  5D               pop     ebp
0143C636  \.  C3               retn

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
Hmily + 1 + 1 用心讨论,共获提升!

查看全部评分

推荐
getserver 发表于 2020-1-29 20:55
C# 版注册机 测试OK!
010editorRegister.rar (24.23 KB, 下载次数: 111)
推荐
 楼主| solly 发表于 2020-2-1 16:49 <
Hmily 发表于 2020-1-30 20:09
还差一个跨平台其他的bin是不是也通用。。。

翻出多年不用的 Mac Book Pro 13 测试了一下,系统较老 MacOS X 10.9.5,装了 010 Editor 6.0.3 x64 试了可行:



表示注册算法,应该是全版本,全平台通用的了。

Linux 和 MacOS 的注册信息都是保存在 “010 Editor.ini” 文件中,如下形式:

点评

我又有疑问了,他们网络验证标记咋寸,好像其他平台没有注册表。。。  详情 回复 发表于 2020-2-1 19:10

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
Hmily + 1 + 1 用心讨论,共获提升!

查看全部评分

推荐
 楼主| solly 发表于 2020-1-31 00:13 <
本帖最后由 solly 于 2020-1-31 00:14 编辑
Hmily 发表于 2020-1-30 23:45
不知道网络验证那块会有使用过程中验证不?如果只是注册那好处理多了。

查了一下,在启动时,读取了标志,但只是在第二个注册码检查函数判断了一次,为0就检查注册表中的注册码是否合法,为1就是直接报注册码异常并不检查注册码了。

[Asm] 纯文本查看 复制代码
01FE0225   > \8BC8                mov     ecx, eax
01FE0227   .  C645 FC 02          mov     byte ptr [ebp-0x4], 0x2
01FE022B   .  A3 5C80BD03         mov     dword ptr [0x3BD805C], eax
01FE0230   .  E8 DE22C2FE         call    00C02513                                  ;  启动时读取注册表中的注册信息检查
01FE0235   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]
01FE023B   .  E8 3E3AC2FE         call    00C03C7E
01FE0240   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]
01FE0246   .  E8 852EC2FE         call    00C030D0
01FE024B   .  8B0D 5C80BD03       mov     ecx, dword ptr [0x3BD805C]
01FE0251   .  68 3C470000         push    0x473C
01FE0256   .  6A 0B               push    0xB
01FE0258   .  E8 FB9BC2FE         call    00C09E58                                  ;  启动时注册码检查
01FE025D   .  8BF0                mov     esi, eax
01FE025F   .  E8 C651C2FE         call    00C0542A
01FE0264   .  85C0                test    eax, eax
01FE0266   .  0F95C1              setne   cl
01FE0269   .  880D 8A80BD03       mov     byte ptr [0x3BD808A], cl
01FE026F   .  84C9                test    cl, cl
01FE0271   .  0F85 CC000000       jnz     01FE0343
01FE0277   .  E8 5037C2FE         call    00C039CC                                  ;  检查是否显示 flash window
01FE027C   .  85C0                test    eax, eax                                  ;  eax==0 表示显示
01FE027E   .  74 0C               je      short 01FE028C
01FE0280   .  81FE DB000000       cmp     esi, 0xDB                                 ;  如果注册不成功,则强行显示
01FE0286   .  0F84 B7000000       je      01FE0343
01FE028C   >  68 987C8F03         push    038F7C98                                  ;  ASCII ":/Icons/resources/Splash.png"


使用该标志的地方:
[Asm] 纯文本查看 复制代码
01DDD540  /> \55                  push    ebp
01DDD541  |.  8BEC                mov     ebp, esp
01DDD543  |.  56                  push    esi
01DDD544  |.  8BF1                mov     esi, ecx
01DDD546  |.  837E 2C 00          cmp     dword ptr [esi+0x2C], 0x0                 ;  网络验证标志(从注册表中读取)
01DDD54A  |.  74 0A               je      short 01DDD556                            ;  等于0则跳转去检查注册码是否正确
01DDD54C  |.  B8 13010000         mov     eax, 0x113
01DDD551  |.  5E                  pop     esi
01DDD552  |.  5D                  pop     ebp
01DDD553  |.  C2 0800             retn    0x8
01DDD556  |>  57                  push    edi
01DDD557  |.  FF75 0C             push    dword ptr [ebp+0xC]                       ;  0x473C, release days
01DDD55A  |.  8B7D 08             mov     edi, dword ptr [ebp+0x8]                  ;  0x0B, version_id
01DDD55D  |.  57                  push    edi
01DDD55E  |.  E8 89D5E2FE         call    00C0AAEC                                  ;  注册码检查(第二次检查)
01DDD563  |.  83F8 2D             cmp     eax, 0x2D                                 ;  ‘-’; Switch (cases 2D..E7)
01DDD566  |.  0F84 A3000000       je      01DDD60F                                  ;  正确

点评

那看起来可以直接做一个本地注册机,除了注册码把网络验证的校验结果也一并写入注册表就一劳永逸了。  详情 回复 发表于 2020-1-31 01:15

免费评分

参与人数 4吾爱币 +4 热心值 +4 收起 理由
niufq + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
crystal_577 + 1 + 1 我很赞同!
XDOP + 1 + 1 用心讨论,共获提升!
Hmily + 1 + 1 用心讨论,共获提升!

查看全部评分

7#
Hmily 发表于 2020-1-29 17:12
把网络验证也顺便搞一下吧,不然光keygen不行的。
8#
 楼主| solly 发表于 2020-1-29 17:20 <
Hmily 发表于 2020-1-29 17:12
把网络验证也顺便搞一下吧,不然光keygen不行的。

继续看。当前没注意,不过这个软件会定时周期检查注册码。

点评

嗯,和Beyond Compare差不多。  详情 回复 发表于 2020-1-29 17:23
9#
shsww 发表于 2020-1-29 17:21
果然是高手!!                           
10#
Hmily 发表于 2020-1-29 17:23
solly 发表于 2020-1-29 17:20
继续看。当前没注意,不过这个软件会定时周期检查注册码。

嗯,和Beyond Compare差不多。
11#
suifeng165 发表于 2020-1-29 17:47
好贴,值得学习!
12#
cxj98 发表于 2020-1-29 18:10
Hmily 发表于 2020-1-29 17:23
嗯,和Beyond Compare差不多。

大佬,网络验证的问题交给你来解决吧。
13#
cxj98 发表于 2020-1-29 18:12
一看就知道是玉帝级别的破解大神,好文章要强顶加精推荐。
14#
q510 发表于 2020-1-29 18:15
感谢分享
15#
SnowRen 发表于 2020-1-29 19:02
很详细,学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-2-28 13:11

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表

页面底部区域 foot.htm