某天（前天：），看了两个小时高数（具体不详：）之后，想放松一下，找到《是男人就下100层》，打开，玩了两把，突然发现今天怎么看那个“注册”的按钮特别不爽，OK，Crack it！ 常规步骤，用PEid侦壳，用VC4.x写的，这样方便了，脱壳都不用。接着祭出用户级调试法宝——Ollydbg，加载《是男人就下100层》，万事俱备，踏上征途！ 按F9运行程序，等程序窗口出来，点一下任务栏上按钮，结果竟然中断了，CPU窗口一看，原来是一条INT3指令，麻烦的东西，NOP掉。继续F9运行，好，这下可以把程序窗口调到前面了。切换到程序窗口，点注册，出现填写用户名和序列号的窗口。用户名填HotHeart，序列号填一个123456，确定，当然不会成功，要不我就可以去买彩票了^_^。弹出一个错误提示框，内容是日文的……意思大概是序列号无效。既然有提示框，那就好办，回到Ollydbg，下断点bp MessageBoxA，再次换到程序窗口点确定。YES！顺利中断，切回Ollydbg看看代码： ; 获取对话框中控件文本 00407A78  PUSH 100 00407A7D  LEA EAX,DWORD PTR SS:[EBP-204] 00407A83  PUSH EAX 00407A84  PUSH 3EB 00407A89  MOV EAX,DWORD PTR SS:[EBP+8] 00407A8C  PUSH EAX 00407A8D  CALL DWORD PTR DS:[<&USER32.GetDlgItemText>] 00407A93  LEA EAX,DWORD PTR SS:[EBP-204] 00407A99  PUSH EAX 00407A9A  CALL 是男人就.00407C5F 00407A9F  ADD ESP,4 00407AA2  TEST EAX,EAX 00407AA4  JNZ 是男人就.00407AE1 ; 从资源中载入字符串，是注册失败的提示信息 00407AAA  PUSH 100 00407AAF  LEA EAX,DWORD PTR SS:[EBP-104] 00407AB5  PUSH EAX 00407AB6  PUSH 4 00407AB8  MOV EAX,DWORD PTR DS:[40E200] 00407ABD  PUSH EAX 00407ABE  CALL DWORD PTR DS:[<&USER32.LoadStringA>] ; 下面就是弹出出错提示框的代码了 00407AC4  PUSH 10 00407AC6  PUSH 是男人就.0040D270 00407ACB  LEA EAX,DWORD PTR SS:[EBP-104] 00407AD1  PUSH EAX 00407AD2  MOV EAX,DWORD PTR SS:[EBP+8] 00407AD5  PUSH EAX 00407AD6  CALL DWORD PTR DS:[<&USER32.MessageBoxA>] 00407ADC  JMP 是男人就.00407B22 看到407AD6这里调用了MessageBoxA，往上看，很舒服地看到这一句： 00407AA4  JNZ 是男人就.00407AE1 一个很值得注意的跳转，是不是关键跳转呢，把JNZ改成JZ，再试试，点确定，出错提示是没有了，不过那个注册按钮还是在的，也就是说这句不是关键跳转，没有涉及到序列号的部分。再往上看，发现看在这个跳转之前有获取对话框中数据： 00407A8D  CALL DWORD PTR DS:[<&USER32.GetDlgItemText>] 那么在这里中断看看它得到了什么。F2下断点，切到程序窗口，输入用户名和序列号，确定，预料之中断下来。接着F8单步运行，再来一个YES！它得到的是123456，也就是我填的序列号，接着把序列号所在的地址存到EAX中，再将EAX压入堆栈，紧接着又一个call，嗯，这个call很值得怀疑，跟进！下面就是整个call的函数的代码了，有点长：） 00407C5F  PUSH EBP ; C函数标准开头 00407C60  MOV EBP,ESP 00407C62  SUB ESP,4   ; 局部变量，分析后面的代码可知是用来作计数器的 00407C65  PUSH EBX ; 保护寄存器 00407C66  PUSH ESI 00407C67  PUSH EDI 从代码开始可明显看出这是一个标准的C函数，接着往下看。碰到堆栈操作，这值得注意，因为call过来时有压入过一个参数，指向序列号起始地址： 00407C68  MOV EAX,DWORD PTR SS:[EBP+8]  ; 这句之后EAX指向序列号 00407C6B  XOR ECX,ECX 00407C6D  MOV CL,BYTE PTR DS:[EAX+7]    ; 得到序列号第8位 00407C70  TEST ECX,ECX ; 判断是否为0 00407C72  JE 是男人就.00407C7F    ; 是刚跳转 00407C78  XOR EAX,EAX ; EAX清零 00407C7A  JMP 是男人就.00407DC4    ; 这里跳到函数结尾 00407C7F  MOV DWORD PTR SS:[EBP-4],0    ; 计数器清零 00407C86  JMP 是男人就.00407C8E 上面的代码的作用是得到序列号第8位，并判断是否为0，学过C的人都知道在C里字符串是以0表示结束的，那么就知道这里三句是用来判断用户输入的序列号是否大于7位的了，如果大于7位，就会将EAX清零并跳到函数结束的地方，而前面已经知道，在调用这个函数之后，如果返回值为0则序列号验证失败，所以序列号是7位或7位以内的。我填的123456，是6位，所以没有跳到函数结束，接着往下分析： 00407C8B  INC DWORD PTR SS:[EBP-4]    ; 计数器加1 00407C8E  CMP DWORD PTR SS:[EBP-4],7  ; 判断计数器是否大于7 00407C92  JGE 是男人就.00407CC3       ; 大于等于就 00407C98  MOV EAX,DWORD PTR SS:[EBP-4] ; 取计数器值到EAX 00407C9B  MOV ECX,DWORD PTR SS:[EBP+8] ; 取序列号地址到ECX 00407C9E  MOV AL,BYTE PTR DS:[EAX+ECX] ; 取序列号第N位到AL，N为计数器值 00407CA1  PUSH EAX ; 压入堆栈，调用处理函数 00407CA2  CALL 是男人就.00407DC9  ; 将1位序列号从ASCII转换成二进制值 00407CA7  ADD ESP,4   ; 恢复堆栈 00407CAA  XOR ECX,ECX ; ECX清零 00407CAC  MOV CL,AL ; 将处理过的1位序列号存到CL 00407CAE  CMP ECX,24  ; 判断是否大于0×24 00407CB1  JLE 是男人就.00407CBE  ; 大于就出错了 00407CB7  XOR EAX,EAX ; 大于0×24，跳到函数结束，返回0 00407CB9  JMP 是男人就.00407DC4 00407CBE  JMP 是男人就.00407C8B  ; 继续处理下一位 很清楚的，上面这段代码是用来判断序列号中每一位是否符合要求，是什么要求呢，看到在每取得1位序列号之后有一句call： 00407CA2  CALL 是男人就.00407DC9 这个调用得看看，F7跟进： 00407DC9  PUSH EBP 00407DCA  MOV EBP,ESP 00407DCC  PUSH EBX 00407DCD  PUSH ESI 00407DCE  PUSH EDI 00407DCF  XOR EAX,EAX 00407DD1  MOV AL,BYTE PTR SS:[EBP+8]    ; 取参数，即1位序列号 00407DD4  CMP EAX,61 00407DD7  JL 是男人就.00407DE8 ; 判断是否大于0×61，如果对ASCII码表熟悉的话可以知道0×61对应的是a ; 小于则跳转，好，上面那个判断应该不是用来判断这个字符是否为小写字母了 ; 不是则跳到后面继续处理，是则进行下面的处理过程 00407DDD  XOR EAX,EAX ; EAX清零 00407DDF  MOV AL,BYTE PTR SS:[EBP+8]    ; 取字符 00407DE2  SUB EAX,20     ; 减0×20，变大写字母 00407DE5  MOV BYTE PTR SS:[EBP+8],AL ; 保存 ; 不管是否为小字字母，经过上面的判断和处理都会变成大写字母，继续进行处理 00407DE8  XOR EAX,EAX ; EAX清零 00407DEA  MOV AL,BYTE PTR SS:[EBP+8]    ; 取字符 00407DED  CMP EAX,41 00407DF0  JL 是男人就.00407E01 ; 判断是否大于，0×41对应的ASCII字符为A ; 小于则跳转，说明这里是判断字符是否为大写字母 ; 不是则跳到后面继续处理，是则进行下面的处理过程 00407DF6  XOR EAX,EAX ; EAX清零 00407DF8  MOV AL,BYTE PTR SS:[EBP+8]    ; 取字符 00407DFB  SUB EAX,7      ; 减去7 00407DFE  MOV BYTE PTR SS:[EBP+8],AL ; 保存 ; 如果不是大写字母就跳到这里了，当然如果是大写字母的话 ; 经过上面的处理过程同样要进行下面的处理过程 00407E01  XOR EAX,EAX ; EAX清零 00407E03  MOV AL,BYTE PTR SS:[EBP+8]    ; 取字符 00407E06  SUB EAX,30     ; 减去0×30 00407E09  JMP 是男人就.00407E0E  ; 函数结束 00407E0E  POP EDI 00407E0F  POP ESI 00407E10  POP EBX 00407E11  LEAVE 00407E12  RETN 连贯起来看可以知道这个处理函数的过程是这样的： char是否为小写字母 -> 是则减去0×20变成大写字母，不是则保持不变 -> char是否为大写字母 -> 是则减去7，不是则保持不变 -> char减0×30 再联系数字和字母的ASCII码值，9为0×39，A为0×41，0×41-0×39=7，OK，可以知道这个函数是把1位序列号变成二进制值，字符0到9对应数值0到9，字母全部转换成大写字母，并且字母A对应10，B对应11，后面依次类推。 弄明白了字符到数字的函数，继续看序列号验证的代码，可以看到在得到二进制值之后，又来了一句： 00407CB1  JLE 是男人就.00407CBE  ; 大于就出错了 00407CB7  XOR EAX,EAX ; 大于0×24，跳到函数结束，返回0 00407CB9  JMP 是男人就.00407DC4 00407CBE  JMP 是男人就.00407C8B  ; 继续处理下一位 0×24转换成十进制就是36，刚好是10个数字加26个字母，也就是说序列号只允许数字与字母，并且要7位，否则就通不过这个验证了。弄明白了这个，继续往下看： 00407CC3  MOV EAX,DWORD PTR SS:[EBP+8] 00407CC6  MOV AL,BYTE PTR DS:[EAX+5]  ; 取序列号第6位 00407CC9  PUSH EAX 00407CCA  CALL 是男人就.00407DC9      ; 转换成数值 00407CCF  ADD ESP,4 00407CD2  XOR EBX,EBX 00407CD4  MOV BL,AL ; 序列号第6位值保存到EBX 00407CD6  MOV EAX,DWORD PTR SS:[EBP+8] 00407CD9  MOV AL,BYTE PTR DS:[EAX+2]  ; 取序列号第3位 00407CDC  PUSH EAX 00407CDD  CALL 是男人就.00407DC9      ; 转换成数值 00407CE2  ADD ESP,4 00407CE5  XOR ECX,ECX 00407CE7  MOV CL,AL ; 序列号第3位值保存到ECX 00407CE9  MOV ESI,24   ; ESI=0×24 00407CEE  LEA EAX,DWORD PTR DS:[ECX+EBX*2+1D] ; EAX=ECX+EBX*2+1D 00407CF2  CDQ ; 扩展成64位 00407CF3  IDIV ESI ; 除以0×24 00407CF5  MOV EBX,EDX ; EDX为余数，存到EBX 00407CF7  MOV EAX,DWORD PTR SS:[EBP+8] 00407CFA  MOV AL,BYTE PTR DS:[EAX]  ; 取序列号第1位 00407CFC  PUSH EAX 00407CFD  CALL 是男人就.00407DC9    ; 转换成数值 00407D02  ADD ESP,4 00407D05  XOR ECX,ECX 00407D07  MOV CL,AL ; 序列号第1位值存到ECX 00407D09  CMP EBX,ECX ; EBX=ECX? 00407D0B  JNZ 是男人就.00407DBD  ; 不等，验证失败，跳到函数结束 ; 头有些大了，用心看发现这里在判断序列号是否符合规则 ; (第3位+第6位*2+0x1D)%0×24==第1位 ; 跟着又是两段代码类似的，不难发现也是判断，不过规则有小小的不同 ; 下面这段的判断规则是 ; (第2位+第5位*2+0x1D)%0×24==第7位 00407D11  MOV EAX,DWORD PTR SS:[EBP+8] 00407D14  MOV AL,BYTE PTR DS:[EAX+4] 00407D17  PUSH EAX 00407D18  CALL 是男人就.00407DC9 00407D1D  ADD ESP,4 00407D20  XOR EBX,EBX 00407D22  MOV BL,AL 00407D24  MOV EAX,DWORD PTR SS:[EBP+8] 00407D27  MOV AL,BYTE PTR DS:[EAX+1] 00407D2A  PUSH EAX 00407D2B  CALL 是男人就.00407DC9 00407D30  ADD ESP,4 00407D33  XOR ECX,ECX 00407D35  MOV CL,AL 00407D37  MOV ESI,24 00407D3C  LEA EAX,DWORD PTR DS:[ECX+EBX*2+1D] 00407D40  CDQ 00407D41  IDIV ESI 00407D43  MOV EBX,EDX 00407D45  MOV EAX,DWORD PTR SS:[EBP+8] 00407D48  MOV AL,BYTE PTR DS:[EAX+6] 00407D4B  PUSH EAX 00407D4C  CALL 是男人就.00407DC9 00407D51  ADD ESP,4 00407D54  XOR ECX,ECX 00407D56  MOV CL,AL 00407D58  CMP EBX,ECX 00407D5A  JNZ 是男人就.00407DBD ; 下面这段的判断规则是 ; (第1位+第7位*2+0x1D)%0×24==第4位 00407D60  MOV EAX,DWORD PTR SS:[EBP+8] 00407D63  MOV AL,BYTE PTR DS:[EAX+6] 00407D66  PUSH EAX 00407D67  CALL 是男人就.00407DC9 00407D6C  ADD ESP,4 00407D6F  XOR EBX,EBX 00407D71  MOV BL,AL 00407D73  MOV EAX,DWORD PTR SS:[EBP+8] 00407D76  MOV AL,BYTE PTR DS:[EAX] 00407D78  PUSH EAX 00407D79  CALL 是男人就.00407DC9 00407D7E  ADD ESP,4 00407D81  XOR ECX,ECX 00407D83  MOV CL,AL 00407D85  MOV ESI,24 00407D8A  LEA EAX,DWORD PTR DS:[ECX+EBX*2+1D] 00407D8E  CDQ 00407D8F  IDIV ESI 00407D91  MOV EBX,EDX 00407D93  MOV EAX,DWORD PTR SS:[EBP+8] 00407D96  MOV AL,BYTE PTR DS:[EAX+3] 00407D99  PUSH EAX 00407D9A  CALL 是男人就.00407DC9 00407D9F  ADD ESP,4 00407DA2  XOR ECX,ECX 00407DA4  MOV CL,AL 00407DA6  CMP EBX,ECX 00407DA8  JNZ 是男人就.00407DBD 上面这三段就是序列号验证的主要部分了，写个示意表达式，用b1~b7表示序列号第1至7位转换后的数值，T为临时变量： T = b3 + b6*2 + 1D b1 = T mod 24 ? T = b2 + b5*2 + 1D b7 = T mod 24 ? T = b1 + b7*2 + 1D b4 = T mod 24 ? 如果三次判断均通过，那么整个序列号验证函数就回返回1，表示验证通过： 00407DAE  MOV EAX,1   ; EAX=1 00407DB3  JMP 是男人就.00407DC4  ; 跳到返回 00407DB8  JMP 是男人就.00407DC4 00407DBD  XOR EAX,EAX ; 任何验证的情况下均返回0 00407DBF  JMP 是男人就.00407DC4 00407DC4  POP EDI 00407DC5  POP ESI 00407DC6  POP EBX 00407DC7  LEAVE 00407DC8  RETN 到这里就差不多了，序列号验证函数已经分析完成，它的验证规则也知道了，接着是写注册机了，不过我一开始没想到怎么随机产生一个序列号，只好把正确的序列号全列出来了，看了一下，有4万多个……我用C写了个列序列号的程序，用的穷举法，列出每一个序列号，判断是否可用，如果可用就打印出来，程序清单如下： #include <stdio.h> int main() { char bin2char(int bin); int tmp,b1,b2,b3,b4,b5,b6,b7; printf(“register codes:\n”); for(b1=0;b1<36;b1++) for(b2=0;b2<36;b2++) for(b3=0;b3<36;b3++) for(b4=0;b4<36;b4++) for(b5=0;b5<36;b5++) for(b6=0;b6<36;b6++) for(b7=0;b7<36;b7++) { tmp = b3 + b6*2 + 0x1D; if (b1!=tmp%0×24) break; tmp = b2 + b5*2 + 0x1D; if (b7!=tmp%0×24) break; tmp = b1 + b7*2 + 0x1D; if (b4!=tmp%0×24) break; printf(“%c%c%c%c%c%c%c\n”, bin2char(b1),bin2char(b2),bin2char(b3),bin2char(b4),bin2char(b5),bin2char(b6),bin2char(b7)); } } char bin2char(int bin) { if(bin<10) return(bin+0×30); else return(bin-10+0×41); } 函数bin2char是序列号验证过程中字符转数值的逆过程。 是男人就下100层的破解就到此结束了，后来我又看了一下序列号的规律，发现第7位总是为0，而第4位决定第1位，而第3位与第6位，第2位与第5位分别为一组。这样，随机产生b2,b3,b4就可以生成一个序列号了。另外，也可用暴力破解的方式，在序列号验证函数中直接将EXA=1并返回，这样不论什么序列号都能通过验证了：） OK，大功告成。写的有些啰嗦，第一次写破解的文章，有错误也是难免的，欢迎指正^_^，vipxjw#163.com。