IDA逆向注册码算法

前言

跟着NCK大牛的视频学到了求逆向算法的部分,对于我这种小白来说还是比较难的,涉及到了异或算法的逆向,由于对没使用过IDA软件,导致花了有些许时间去填IDA的坑

本篇文章记录逆向一个用异或算法来验证注册码的程序,那么首先要了解异或算法的原理及其逆运算

异或运算

原理

A xor B = C, 即A与B进行异或运算得到结果C,

设A的二进制为110, B的二进制为101, 计算得出C为011

A与B进行二进制的异或运算, 简单来说就是每个位的值若相同则为0,不同则为1

逆运算

若有A xor B = C,则有C xor B = AC xor A = B

步骤

1.去花指令

去花指令的目的是为了让IDA能够准确识别程序的代码

将文件拖进OD打开,发现如下图所示的花指令

可以发现这些花指令的样式都是一样的,都是5个字节,分别是74 03 75 00 E8,因此我们需要将这些花指令给二进制nop掉。

找到下面的内存窗口,先ctrl+G跳转到存在花指令的地址,然后在ctrl+B搜索花指令74 03 75 00 E8

对花指令进行二进制nop,nop掉一组花指令后按ctrl+L查找下一组花指令,继续nop

将全部花指令nop掉后保存修改后的可执行文件拖入ida进行后续分析

2.IDA转C代码

把文件拖进ida中,在左边的函数框可以看到main函数

点击main函数按F5进行反编译,ida会自动帮你转化成接近C语言的伪代码

这里我们只是要分析注册码的算法,所以一些不相关的函数可以去掉,例如以下的输出信息函数

怎么判断此函数是输出信息的函数呢?只需双击此函数查看代码即可

这里有个IDA的坑,这里它只输出了一个换行符,出现这种情况通常是ida编码出现错误,需要将其字符串编码改为utf-16,下面是修改字符串编码的操作

修改字符串编码模式后,返回到伪代码的界面按F5刷新下,会出现其他字符串

ida还可以给函数进行重命名

此处也有个IDA的坑,scanf函数的格式字符串ida没有解析出来,需要自行去转化成字符串

转到&unk_442570的汇编指令所在行, 按快捷键A将其转化成字符串, 然后回到伪代码界面按F5刷新, 顺便将此函数重命名为scanf

下图所示的函数参数就是我们输入进去的字符串,一般这种函数属于识别注册码的算法

双击进入此函数,此处出现了一个坑,注意这个*(_byte *), 这个是ida识别错误导致的, 这个类型属于数组类型,也就是说int a2要修改成char *a2

鼠标右键修改a2的数据类型,将其修改成字符串

修改后按F5刷新,代码都整理的差不多了,接下来就是拖进VS里对代码进行逆向

3.VS逆算法求注册码

注册码的代码有两部分,分别是主函数和检查注册码函数,我们还需对这些代码进行修改,要修改的部分都作了注释,这里就不描述了,

要将代码修改的尽可能简洁,只突出算法部分, 与算法不相关的都可以除掉

int main(int argc, const char **argv, const char **envp) 
{
  char v4; 
  char Str1[136]; 
  char Str[132]; 

  sub_4011F0();  //输出信息函数,可以除掉
  memset(Str, 0, 0x80u);  //为字符串作初始化工作,可以除掉
  memset(Str1, 0, 0x80u);
  while ( 1 )
  {
    memset(Str, 0, 0x80u);
    memset(Str1, 0, 0x80u);
    printf(L"\n请输入注册码:", v4);
    scanf("%s", Str);
    sub_401000(Str, (int)Str1, 128);  //将sub_401000重命名下看起来舒服点
    if ( !strcmp(Str1, "((++**--,,//..QQPP") )
      printf("\n\n注册成功\n\n", v4);
    else
      sub_401560(&unk_44259C);  //这里ida没有识别成功,不过也能猜出是输出“注册失败”的printf函数
  }
}

int __cdecl sub_401000(char *Str, char *a2, unsigned int a3)
{
  signed int v4; // [esp+0h] [ebp-Ch]
  size_t j; // [esp+4h] [ebp-8h]
  signed int i; // [esp+8h] [ebp-4h]

  __CheckForDebuggerJustMyCode(&unk_45A007);  //JMC汇编检测代码,没啥用可以除掉
  if ( !Str )
    return -1;
  if ( !a2 || !a3 )
    return -1;
  if ( strlen(Str) <= a3 )  //a3是字符串长度,重命名为len
    v4 = strlen(Str);
  else
    v4 = a3;
  for ( i = 0; i < v4; ++i )
  {
    for ( j = 0; j < strlen("bcdaren"); ++j )
      a2[i] = byte_442198[j] ^ (Str[i] + 13);   //这个byte_442198数组应该是对应上面代码的"bcdaren"
  }
  return 0;
}

以下代码是修改后的代码

int main()
{	
	int checkkey(char *input_key, char *output_key, unsigned int len);
	char input[] = "helloworld";
	char output[30];
	checkkey(input,output,10);
	printf("%s", output);
	if (!strcmp(output, "((++**--,,//..QQPP")) 
		printf("\n\n注册成功\n\n");
	else
		printf("\n\n注册失败\n\n");	
}
int checkkey(char *input_key, char *output_key, unsigned int len)
{	

	signed int v4; 
	size_t j;
	signed int i; 
	char cmp_key[] = "bcdaren";
	if (!input_key)
		return -1;
	if (!output_key || !len)
		return -1;
	if (strlen(input_key) <= len)
		v4 = strlen(input_key);        // v4为输入的字符串长度
	else
		v4 = len;
	for (i = 0; i < v4; ++i)
	{	
		output_key[i] = 'n' ^ (input_key[i] + 13); //^是异或运算操作符
	
	}
	return 0;
}

此算法就是将输入的字符串里的每个字符的ASCII码加上13后与'n'进行异或运算,每个字符异或运算后的值都会放到output_key字符串数组中, 然后判断output_key字符串是否等于((++**--,,//..QQPP",而intput_key字符串才是真正的注册码

上述已经讲了异或运算的逆运算,如果你了解的话下面的代码就很容理解了

int get_register() {
	char output_key[] = "((++**--,,//..QQPP"; 
	char input_key[100];
	for (int i = 0; i < strlen(output_key); i++)
	{
		input_key[i] = (output_key[i] ^ 'n') - 13;
	}
	printf("%s", input_key);
    return 0;
}

运行后输出结果如下图,后面的一些乱码都是空字符,前面的数字才是真正的注册码

最后更新于