[原创]【新手分析】无明码比较的游戏外挂获得注册码+注册机编写

本帖最后由 asd9988 于 2013-5-24 13:43 编辑

原帖地址：http://www.52pojie.cn/thread-179315-1-1.html

首先查壳,然后载入OD

1 - 载入OD.jpg (103.14 KB, 下载次数: 13)

下载附件

2013-5-24 13:37 上传

可以看到是明显的VC6.0的入口 无壳。

2 - 查找字符串.jpg (40.93 KB, 下载次数: 8)

下载附件

2013-5-24 13:37 上传

现在我们查找字串 找注册成功和失败。

3 - 双击查找到的字符串进入.jpg (78.4 KB, 下载次数: 9)

下载附件

2013-5-24 13:37 上传

找到之后双击进去直接看到成功和失败了

4 - 找到注册成功和失败的段首.jpg (59.28 KB, 下载次数: 8)

下载附件

2013-5-24 13:37 上传

然后去到段首部分。下F2断点 执行程序。

5 - 下F2断点之后执行程序.jpg (81.16 KB, 下载次数: 6)

下载附件

2013-5-24 13:37 上传

首先记录下程序上显示的机器码 ： 69A115B9

随便输入注册码 开始点击注册 程序会断下来 F8单步下去

6 - 单步到这，可以发现下面个跳转直接蹦到成功和失败啊。.jpg (109.16 KB, 下载次数: 8)

下载附件

2013-5-24 13:37 上传

单步到这，可以发现下面个跳转直接蹦到成功和失败啊。那就说明。注册算法肯定不是上面的那个

CALL 而是下面的这堆ASM。 好，既然知道他是这些ASM了，那我们看看他怎么注册的。

8 - XOR执行过后.jpg (158.73 KB, 下载次数: 9)

下载附件

2013-5-24 13:37 上传

经过F8直接单步下来之后 我们发现了这个地方 此时注意寄存器

7 - 注意堆栈.jpg (196.71 KB, 下载次数: 15)

下载附件

2013-5-24 13:37 上传

这个地方为什么会进行异或(XOR)会不会和注册有关系？ XOR 执行过后就这样了

9 - 一套运算下来根据他的走向我做了个备注.jpg (182.09 KB, 下载次数: 10)

下载附件

2013-5-24 13:37 上传

根据一次失败的走向我做了个备注 大家看把

根据上面的说明，发现只进行了异或运算，根据这个 我用易语言写了个 用来测试

编辑框2.内容 ＝ 到文本 (位异或 (到整数 (编辑框1.内容), 27305015)) '27305015 = 1A0A437

10 - 计算换算.jpg (57.19 KB, 下载次数: 7)

下载附件

2013-5-24 13:37 上传

当然 机器码也是10进制的，手动用计算器转换 得到 1772164537

11 得到注册码.jpg (14.47 KB, 下载次数: 8)

下载附件

2013-5-24 13:37 上传

将计算出来的结果写入我们的测试结果 得到了 1744941454

12 - 提示注册成功.jpg (24.65 KB, 下载次数: 8)

下载附件

2013-5-24 13:37 上传

将计算出来的结果写入外挂 提示注册成功.

这次的分析就在这里了。大牛轻拍。

by asd9988

2013年5月24日 13:35:20

转载请注明原创..谢谢

测试程序在此~

UC游戏助手setup~.rar

(759.32 KB, 下载次数: 133)

2013-5-24 13:41 上传

点击文件名下载附件

下载积分: 吾爱币 -1 CB