環境：
Windows xp sp3

工具
exeinfope
OllyDBG

查殼
用exeinfope查殼，發現是沒有殼的。

測試

可以看出是從紅色框框里面的內容判斷serial是否有效

OD載入，字符串搜索可以得到：

004011EC . 55 push ebp 004011ED . 8BEC mov ebp,esp 004011EF . 83C4 FC add esp,-0x4 004011F2 . 8B45 0C mov eax,dword ptr ss:[ebp+0xC] 004011F5 . 83F8 10 cmp eax,0x10 ; Switch (cases 1..111) 004011F8 . 75 0D jnz XChafe_2.00401207 004011FA . 6A 00 push 0x0 ; /ExitCode = 0; Case 10 (WM_CLOSE) of switch 004011F5 004011FC . E8 6B020000 call <jmp.&USER32.PostQuitMessage> ; \PostQuitMessage 00401201 . 33C0 xor eax,eax 00401203 . C9 leave 00401204 . C2 1000 retn 0x10 00401207 > 83F8 0F cmp eax,0xF 0040120A . 75 0E jnz XChafe_2.0040121A 0040120C . 8B45 08 mov eax,dword ptr ss:[ebp+0x8] ; Case F (WM_PAINT) of switch 004011F5 0040120F . E8 18010000 call Chafe_2.0040132C 00401214 . 33C0 xor eax,eax 00401216 . C9 leave 00401217 . C2 1000 retn 0x10 0040121A > 83F8 01 cmp eax,0x1 0040121D . 75 06 jnz XChafe_2.00401225 0040121F . 33C0 xor eax,eax ; Case 1 (WM_CREATE) of switch 004011F5 00401221 . C9 leave 00401222 . C2 1000 retn 0x10 00401225 > 3D 11010000 cmp eax,0x111 0040122A . 0F85 E7000000 jnz Chafe_2.00401317 00401230 . 8B45 14 mov eax,dword ptr ss:[ebp+0x14] ; Case 111 (WM_COMMAND) of switch 004011F5 00401233 . 3B05 60314000 cmp eax,dword ptr ds:[0x403160] 00401239 . 75 1A jnz XChafe_2.00401255 0040123B . 6A 00 push 0x0 ; /Style = MB_OK|MB_APPLMODAL 0040123D . 68 96304000 push Chafe_2.00403096 ; |Title = "About TEXme v2.0" 00401242 . 68 A7304000 push Chafe_2.004030A7 ; |Text = "Small crack-me program written by Chafe/TEX99RULES: Find a serial that matches your name or write a keygenerator. NO PATCHES IS ALLOWED!Released 19/7-99" 00401247 . FF75 08 push dword ptr ss:[ebp+0x8] ; |hOwner 0040124A . E8 17020000 call <jmp.&USER32.MessageBoxA> ; \MessageBoxA 0040124F . 33C0 xor eax,eax 00401251 . C9 leave 00401252 . C2 1000 retn 0x10 00401255 > 3B05 58314000 cmp eax,dword ptr ds:[0x403158] 0040125B . 74 0C je XChafe_2.00401269 0040125D . 3B05 54314000 cmp eax,dword ptr ds:[0x403154] 00401263 . 0F85 AE000000 jnz Chafe_2.00401317 00401269 > C705 D9124000 544>mov dword ptr ds:[0x4012D9],0x584554 00401273 . 6A 00 push 0x0 ; /IsSigned = FALSE 00401275 . 8D45 FC lea eax,dword ptr ss:[ebp-0x4] ; | 00401278 . 50 push eax ; |pSuccess 00401279 . 6A 64 push 0x64 ; |ControlID = 64 (100.) 0040127B . FF35 50314000 push dword ptr ds:[0x403150] ; |hWnd = NULL 00401281 . E8 BC010000 call <jmp.&USER32.GetDlgItemInt> ; \GetDlgItemInt 00401286 . 837D FC 00 cmp dword ptr ss:[ebp-0x4],0x0 0040128A . 74 5F je XChafe_2.004012EB 0040128C . 50 push eax 0040128D . 6A 14 push 0x14 ; /Count = 14 (20.) 0040128F . 68 6C314000 push Chafe_2.0040316C ; |Buffer = Chafe_2.0040316C 00401294 . FF35 54314000 push dword ptr ds:[0x403154] ; |hWnd = NULL 0040129A . E8 AF010000 call <jmp.&USER32.GetWindowTextA> ; \GetWindowTextA 0040129F . 85C0 test eax,eax 004012A1 . 74 48 je XChafe_2.004012EB 004012A3 . A1 0B304000 mov eax,dword ptr ds:[0x40300B] ; 這里初始化 004012A8 . BB 6C314000 mov ebx,Chafe_2.0040316C 004012AD > 0303 add eax,dword ptr ds:[ebx] ; 這里是將name的內容加進去，具體怎么加可以單步跟蹤看一看 004012AF . 43 inc ebx 004012B0 . 81FB 7C314000 cmp ebx,Chafe_2.0040317C ; 判斷是否到達這個位置 004012B6 .^ 75 F5 jnz XChafe_2.004012AD 004012B8 . 5B pop ebx 004012B9 . 03C3 add eax,ebx ; 加上serial的值 004012BB . 3105 D9124000 xor dword ptr ds:[0x4012D9],eax 004012C1 . C1E8 10 shr eax,0x10 004012C4 . 66:2905 D9124000 sub word ptr ds:[0x4012D9],ax 004012CB . BE EC114000 mov esi,Chafe_2.004011EC 004012D0 . B9 3E000000 mov ecx,0x3E 004012D5 . 33DB xor ebx,ebx 004012D7 . EB 04 jmp XChafe_2.004012DD 004012D9 > 54 push esp 004012DA 45 db 45 ; CHAR 'E' 004012DB 58 db 58 ; CHAR 'X' 004012DC 00 db 00 004012DD > AD lods dword ptr ds:[esi] ; 從4012CB可以看出esi的內容 004012DE . 33D8 xor ebx,eax 004012E0 . 49 dec ecx 004012E1 .^ 75 FA jnz XChafe_2.004012DD 004012E3 . 81FB FBCFFCAF cmp ebx,0xAFFCCFFB ; 這個比較要相等才行 004012E9 .^ 74 EE je XChafe_2.004012D9 004012EB > 68 59304000 push Chafe_2.00403059 ; /Text = "Your serial is not valid." 004012F0 . FF35 5C314000 push dword ptr ds:[0x40315C] ; |hWnd = NULL 004012F6 . E8 7D010000 call <jmp.&USER32.SetWindowTextA> ; \SetWindowTextA 004012FB . 33C0 xor eax,eax 004012FD . C9 leave 004012FE . C2 1000 retn 0x10 00401301 . 68 73 30 40 00 ascii "hs0@",0 00401306 . FF35 5C314000 push dword ptr ds:[0x40315C] ; |hWnd = NULL 0040130C . E8 67010000 call <jmp.&USER32.SetWindowTextA> ; \SetWindowTextA 00401311 . 33C0 xor eax,eax 00401313 . C9 leave 00401314 . C2 1000 retn 0x10

一下子可以找到是[004012EB]這個位置使得顯示serial的內容不正確，而顯示serial正確的內容卻沒有在下面的的函數顯示出來，而[00401301]這個位置卻是在顯示

00401301 . 68 73 30 40 00 ascii "hs0@",0

可以在內存窗口跟蹤[00403073]，看到了這個：

00403073 59 45 53 21 20 59 6F 75 YES! You 0040307B 20 66 6F 75 6E 64 20 79 found y 00403083 6F 75 72 20 73 65 72 69 our seri 0040308B 61 6C 21 21 al!!

可以看出只要跳轉跳到[00401301]就可以顯示正確內容。
往上查看后卻發現并沒有一個跳轉是跳到[00401301]的，而且[004012D9]-[0012DC]是一些數據。
細心一點可以看到：

004012C4 . 66:2905 D9124000 sub word ptr ds:[0x4012D9],ax

這里會更改[004012D9]的內容，于是可以猜測：
在執行[004012C4]后，[004012D9]的內容發生改變，并在[004012D9]處出現一個jmp，并且跳向[00401301]

分析前面指令的內容，可以知道：
1.程序將eax初始化為特定的值后，將輸入的name加到eax中
2.然后將eax的值加上serial的值,結果保存在eax
3.將eax的值和[004012D9]位置的值進行異或運算，結果保存在[00401D9]
4.最后再用[004012D9]的值減去eax右移16位后的值。

如果忽略了[004012E1]處的判斷，會發現即使[004012D9]處的指令是跳到[00401301]處也沒用，因為[004012D9]的指令并不會執行。所以要使得ebx的值為0xAFFCCFFB，而這個值是將[004011EC]處開始，每4個字節的內容賦值到eax，不斷的與ebx異或得出的。

要注意到的是輸入的內容會改變[004012D9]的內容，而[004012D9]的內容會影響后面異或的結果。所以可以
根據異或的結果即0xAFFCCFFB來推算出[004012D9]的內容（即第4步的結果），又根據得出的內容推算出serial的值。

我自己算出[004012D9]的內容應該為 0x585426EB
恰好

EB 26 是 jmp X00401301

所以可以容易得出注冊機：

char s[50];unsigned int *temp;unsigned int sum = 0x58455443;unsigned int result = 0x585426EB;unsigned int x = 0x584554;unsigned int bian,k;memset(s,0,sizeof(s));scanf("%s",s);//求第一步結果，即將name加到eax for(int i=0;i<16;i++){temp = (unsigned int*)&s[i];sum += *temp;}//求第二、三步結果 for(unsigned int i=0;i<=0xFF;i++){unsigned int j;bian = 0x5800; //注意到[004012C4]有個sub，而sub的其中一個值是(sum+seria)>>16的值k = 0;bian = bian | i;k = bian + result ; //算出異或后的結果k ^= x; //算出異或前的結果j = k >> 16;if(j == bian) //這里要保證加上的bian的值和(sum+seria)>>16的值相同{printf("serial: %u",k-sum);} }

最后會發現最后減掉的值為0x580C，測試了多組數據都是這個值。其中的原理沒找到。

總結

以上是生活随笔為你收集整理的160 - 24 Chafe.2的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。