Eagle的破文：(重写)FlashGet1.65的算号器

Eagle

Eagle的破文：(重写)FlashGet1.65的算号器

) T2 q' i# F$ ^7 S' C, J再次声明：本破文曾发表于www.chinadfcg.com
) F8 c# i  y: f+ B8 n6 z9 Q5 c声明：上次写完1.60A的算号器，LeNgHost告诉我，FlashGet会在一段时间后验证第四段KEY，所以现在针对最新的FlashGet重写了算号破文。谢谢大家的支持。其实，这个算号器算出来的号还不是正版的。只能用一段时间，因为最后的几段的算法我没有时间去找了。

【破解作者】 Eagle
【作者邮箱】 eagle_twenty@163.com
【使用工具】 OllyDbg1.09
【破解平台】 WinXP
/ F6 t0 g* r+ S$ m+ t5 _2 e+ R【软件名称】 FlashGet1.65
【加壳方式】 无壳
" n4 Z; Y; F0 D, O3 E4 W【破解声明】
--------------------------------------------------------------------------------
! B& ?* O  ~- H3 }【破解内容】


6 a) A, M+ g2 t4 _. n+ g) Z6 `安装FlashGet1.60A并运行，输入完注册码的时候，它会提示重新启动软件来检测是否注册成功，同时用RegMoniter监视到FlashGet1.60A写入注册表项RegPass, RegName等。用PEID侦壳：无。
5 l! u5 A+ l) R5 i
. S; m/ G% d) D1.用OD加载FlashGet1.60A，查找参考字符串，在涉及RegPass的地方下断，运行
! f' j# k4 q% f5 m# T5 V2.程序第一次即中断在此，从上下文来看，这段代码有大量的跳转，有很大可能是注册码验证代码
0 y, k% y* Y) N! t/ E5 n" A0041DCE6  |. 68 98E55200    PUSH flashget.0052E598                   ;  ASCII "RegPass"
0041DCEB  |. 8D4C24 1C      LEA ECX,DWORD PTR SS:[ESP+1C]
0041DCEF  |. 68 A0C15200    PUSH flashget.0052C1A0                   ;  ASCII "General"
0041DCF4  |. 51             PUSH ECX
) W4 O) I7 P5 q: j0041DCF5  |. 8BCD           MOV ECX,EBP
;这个CALL将从注册表中读入注册码
1 l& N+ f" N! U7 K  k+ r& B0041DCF7  |. E8 54C70C00    CALL flashget.004EA450
$ v8 H7 U* H9 f8 B" I; n+ a5 ^
# X4 z) D" a( r' Y3 s+ N+ Y
分析下面一段代码，可以发现每个条件跳转都跳向flashget.0041DE7B，可以那儿就是验证失败后的跳转方向
……
0041DD27  |. 0F84 4E010000  JE flashget.0041DE7B
( m. ~- A4 @+ Y7 ~……
( ~; n  E! E* J8 t+ X) p7 F0041DD35  |. 0F84 40010000  JE flashget.0041DE7B
: R) J' f  q9 \2 w5 |! M5 e……
0041DD4F  |. 0F8E 26010000  JLE flashget.0041DE7B
" v  H( Z! o/ q……
! v; j- d) {' m/ X* E6 C5 A9 W% d0041DD63  |. 0F8C 12010000  JL flashget.0041DE7B
……
+ y" h1 z/ T2 W: t! n0041DD77  |. 0F8C FE000000  JL flashget.0041DE7B
……
+ s1 T: W1 C" F0 U1 }5 G;下面这个CALL是计算KEY的长度的，要求的KEY的长度为0x2C，也就是44位
7 \. O5 ^) A9 I. U3 ^0041DD86  |. E8 F4200B00    CALL flashget.004CFE7F
0041DD8B  |. 8B55 00        MOV EDX,DWORD PTR SS:[EBP]
" R3 @- e1 `: x1 r/ ^' ~0041DD8E  |. 8B42 F8        MOV EAX,DWORD PTR DS:[EDX-8]
0041DD91  |. 83F8 2C        CMP EAX,2C
6 d# U/ h  L4 @- k0 ~0041DD94  |. 0F85 E1000000  JNZ flashget.0041DE7B
1 \! a( q5 q, k+ X! Z
;下面是验证注册码的类型的，fgc-和fgf-两种KEY的验证算法是一的，
;但用来对KEY进行解密的密钥是不一样的，我们可以看到密钥类型的标志是存入DWORD PTR SS:[ESP+10]
: J! {2 K% f( O! q( N;这次破解我们用的是fgf-的类型的密钥
0041DD9A  |. 68 B0E55200    PUSH flashget.0052E5B0                   ;  ASCII "fgc-"
0041DD9F  |. 8BCD           MOV ECX,EBP
0041DDA1  |. E8 401D0B00    CALL flashget.004CFAE6
: J& P0 T% {$ s( v, V8 ^0041DDA6  |. 85C0           TEST EAX,EAX
- z5 X# |. h5 G. U5 Q6 l0041DDA8  |. 75 06          JNZ SHORT flashget.0041DDB0
0041DDAA  |. 895C24 10      MOV DWORD PTR SS:[ESP+10],EBX
9 t  Z4 I  G6 Q7 r7 U7 A! h0041DDAE  |. EB 18          JMP SHORT flashget.0041DDC8
0041DDB0  |> 68 A8E55200    PUSH flashget.0052E5A8                   ;  ASCII "fgf-"
0041DDB5  |. 8BCD           MOV ECX,EBP
: M3 {+ y& q7 ]0041DDB7  |. E8 2A1D0B00    CALL flashget.004CFAE6
+ K5 q. U+ O* X0041DDBC  |. 85C0           TEST EAX,EAX
0041DDBE  |. 0F85 B7000000  JNZ flashget.0041DE7B
0041DDC4  |. 894424 10      MOV DWORD PTR SS:[ESP+10],EAX

( g' E' K+ W) k& f
;下面是对KEY的验证算法
0041DDC8  |> 6A 2C          PUSH 2C
0041DDCA  |. 8BCD           MOV ECX,EBP
0041DDCC  |. E8 7A680B00    CALL flashget.004D464B
0041DDD1  |. 8BF8           MOV EDI,EAX
0041DDD3  |. 33C9           XOR ECX,ECX
0041DDD5  |. 83C7 04        ADD EDI,4
0041DDD8  |. 33F6           XOR ESI,ESI

& y5 c; ]0 k4 g6 W% ~  w  Y
分析下面一个循环，我们把每一段KEY的四们定义成ABCD，则有
0041DDDA  |> 8B07           /MOV EAX,DWORD PTR DS:[EDI]
: H; _  w  K& s' X% W; _8 V0041DDDC  |. 8BD6           |MOV EDX,ESI
0041DDDE  |. 83C7 04        |ADD EDI,4
0041DDE1  |. 83EA 00        |SUB EDX,0                               ;  Switch (cases 0..2)
0041DDE4  |. 894424 1C      |MOV DWORD PTR SS:[ESP+1C],EAX
0041DDE8  |. 74 26          |JE SHORT flashget.0041DE10
5 y% z  D; z5 [/ C- ~4 B) J6 ?0041DDEA  |. 4A             |DEC EDX
0041DDEB  |. 74 17          |JE SHORT flashget.0041DE04
1 i& g8 W$ F! X: [' S0041DDED  |. 4A             |DEC EDX
" }, E9 G! R' {4 a2 s5 t4 D: ]0041DDEE  |. 75 38          |JNZ SHORT flashget.0041DE28
- x- Y  \$ J" F. L& m
9 U( x7 F, [3 Q  z- \$ E2 ?- J0041DDF0  |. 0FBE4C24 1E    |MOVSX ECX,BYTE PTR SS:[ESP+1E]          ;  Case 2 of switch 0041DDE1
0041DDF5  |. 0FBED4         |MOVSX EDX,AH
: H1 i6 [7 {6 d) C8 ~/ r$ y0041DDF8  |. 0FAFCA         |IMUL ECX,EDX
9 p2 e) i* @1 o0041DDFB  |. 0FBE5424 1F    |MOVSX EDX,BYTE PTR SS:[ESP+1F]
( x9 C- l( d. y: u& U& N0041DE00  |. 03CA           |ADD ECX,EDX
0041DE02  |. EB 1F          |JMP SHORT flashget.0041DE23
( _% V0 |4 g  P5 A1 W4 o' f: j$ {# N;ECX = B * C + D

7 V; D) K0 K: f" O! f; z) A: }/ s
0041DE04  |> 0FBE4C24 1E    |MOVSX ECX,BYTE PTR SS:[ESP+1E]          ;  Case 1 of switch 0041DDE1
# e3 t! P' z8 `" [" W4 F) n/ W0041DE09  |. 0FBED4         |MOVSX EDX,AH
) U1 Y' p! [& }1 w; p# ^( a0041DE0C  |. 23CA           |AND ECX,EDX
3 r. O5 ~, ]/ ^, i) ?& }' q0041DE0E  |. EB 0B          |JMP SHORT flashget.0041DE1B
; @4 l  F4 |0 X4 r: ?0 ];ECX = C AND B
9 t- u* ?% E& N( B' Z. ]: g

0041DE10  |> 8A4C24 1E      |MOV CL,BYTE PTR SS:[ESP+1E]             ;  Case 0 of switch 0041DDE1
0041DE14  |. 8AD4           |MOV DL,AH
0041DE16  |. 33CA           |XOR ECX,EDX
0041DE18  |. 83E1 7F        |AND ECX,7F
;ECX = C XOR B，不要被后面的那个AND ECX,7F迷惑了，它只不过是用来把高位屏蔽的


* ]% z7 o0 s: N2 ]4 T! }0041DE1B  |> 0FBE5424 1F    |MOVSX EDX,BYTE PTR SS:[ESP+1F]
0041DE20  |. 0FAFCA         |IMUL ECX,EDX
& J7 X  C  w- K;ECX = ECX * D
5 ]' N/ t' t. D' |9 ^0 n
8 |) O" s6 K6 t  m5 w: R8 Q
0041DE23  |> 0FBEC0         |MOVSX EAX,AL
' l. C; ]0 m+ x6 B! B- j0041DE26  |. 03C8           |ADD ECX,EAX
- l: V/ e- r! O$ ^;ECX = ECX + A
;处理后那些跳转，可以得到
: P' W3 T2 P# N4 `& _4 h$ `3 g;Case 0:ECX = (C XOR B) * D + A
, G1 G/ @- H3 g  c: X6 y;Case 1:ECX = (C AND B) * D + A
;Case 2:ECX = B * C + D + A
9 z  j3 G+ w) D, f* f8 F. `  a

! J1 K9 t$ i. \. D# `
4 H. A1 f1 e7 a;下面是用验证密钥来对算得的ECX值进行验证，我们来看它的密钥获取方法
' ?1 _7 B' g  ]# f;密钥存放在DS:[52C72B]起始的一段空间，为kevinhyx12345，
* b& g0 L  c9 ?0 f* c& f. g;如果KEY的第一段为fgf-，运算所用到的密钥是顺序从这个字符串中读取的，
;如果KEY的第一段是fgc-，运算所用到的密钥是顺序在Case 2的时候会从DS:[52C72B]中读取，即密钥的第四位: i
( H# `4 W) d  S& {  r0041DE28  |> 8B4424 10      |MOV EAX,DWORD PTR SS:[ESP+10]           ;  Default case of switch 0041DDE1
0041DE2C  |. 85C0           |TEST EAX,EAX
0041DE2E  |. 74 0C          |JE SHORT flashget.0041DE3C
( z) d: e/ P$ W7 E3 x/ I0041DE30  |. 0FBE1D 2BC7520>|MOVSX EBX,BYTE PTR DS:[52C72B]
* l# L  w: ^% ?6 f4 [2 f9 M/ j6 E0041DE37  |. 83FE 02        |CMP ESI,2
0041DE3A  |. 74 07          |JE SHORT flashget.0041DE43
0041DE3C  |> 0FBE9E 28C7520>|MOVSX EBX,BYTE PTR DS:[ESI+52C728]
% s% |$ N9 m2 i1 F/ u& I
;对于运算结果的验证也很简单，只是用密钥的ASC码来除ECX中的值，余数在EDX中。
2 U% o9 s$ v; K+ h/ G; Y0 Q0041DE43  |> 8BC1           |MOV EAX,ECX
0041DE45  |. 33D2           |XOR EDX,EDX
. E6 Q& m/ f6 N: K0041DE47  |. F7F3           |DIV EBX



;以上是对指定段的KEY的验证运算，下面是对结果的判断
: O! u& N, W9 \7 H0 c# M0041DE49  |. 8BC6           |MOV EAX,ESI
0041DE4B  |. 83E8 00        |SUB EAX,0                               ;  Switch (cases 0..2)
6 {- f; G* l3 B9 P1 t$ P0041DE4E  |. 74 13          |JE SHORT flashget.0041DE63
0041DE50  |. 48             |DEC EAX
0041DE51  |. 74 09          |JE SHORT flashget.0041DE5C
- ^2 _* ?& w" @5 C2 q4 H0041DE53  |. 48             |DEC EAX
* ?, j7 s  K7 @! Z6 |2 n0041DE54  |. 75 11          |JNZ SHORT flashget.0041DE67

;余数是否为0
# J. L3 u+ B7 y5 J! b0041DE56  |. 85D2           |TEST EDX,EDX                            ;  Case 2 of switch 0041DE4B
0041DE58  |. 75 18          |JNZ SHORT flashget.0041DE72
! M" {9 E9 O2 K: c) |% ?0041DE5A  |. EB 0B          |JMP SHORT flashget.0041DE67

8 z4 j) o9 B+ q;余数是否为8
0041DE5C  |> 83FA 08        |CMP EDX,8                               ;  Case 1 of switch 0041DE4B
1 n: _6 `2 d! x. ~% H0 e. Y  Y0041DE5F  |. 75 11          |JNZ SHORT flashget.0041DE72
- \# e$ V4 |) A. L- P0041DE61  |. EB 04          |JMP SHORT flashget.0041DE67

! W! s7 F& N+ N1 F3 S6 D;余数是否为0
/ K4 ~6 I/ z+ g9 j& M, i0041DE63  |> 85D2           |TEST EDX,EDX                            ;  Case 0 of switch 0041DE4B
2 `5 x" E: R0 K: g- V8 n1 j) `0041DE65  |. 75 0B          |JNZ SHORT flashget.0041DE72

0041DE67  |> 46             |INC ESI                                 ;  Default case of switch 0041DE4B
0041DE68  |. 83FE 03        |CMP ESI,3
$ _( ]8 l/ U5 v* f/ \8 N0041DE6B  |. 7D 23          |JGE SHORT flashget.0041DE90
6 J8 v8 i0 ]4 }9 @5 I3 N0041DE6D  |.^E9 68FFFFFF    \JMP flashget.0041DDDA

所以这三段的KEY的验证算法是：
% P" B3 d; T  D3 \  m$ cCase 0(B XOR C) * D + A) MOD X = 0，这儿X是'k'
Case 1(B AND C) * D + A) MOD X = 0，这儿X是'e'
Case 2B * C + D + A) MOD X = 0，对于fgf-类的KEY，这儿X是'v'；对于fgc-类的KEY，这儿X是'i'

# u3 Y; C* z' D) d% p4 bLeNgHost告诉我，FlashGet会在一段时间后验证第四段KEY，于是我就在程序正常运行后在那段已经读入内存的KEY上下了内存断点，并在RegPass也下了断点。出去逛完一个下午后……中断成功了……
0042514C  |. 8B48 10        MOV ECX,DWORD PTR DS:[EAX+10]
0 T- s, F- B: D0042514F  |. 83C0 10        ADD EAX,10
00425152  |. 894C24 08      MOV DWORD PTR SS:[ESP+8],ECX
00425156  |. 6A FF          PUSH -1
00425158  |. 0FBE4424 0E    MOVSX EAX,BYTE PTR SS:[ESP+E]
' _. D2 T7 W% d0042515D  |. 0FBED5         MOVSX EDX,CH
1 f# c% I# d& T% k, @& W+ {% a00425160  |. 0BC2           OR EAX,EDX
0 f' p3 b. ~3 q; O0 D8 n00425162  |. 0FBE5424 0F    MOVSX EDX,BYTE PTR SS:[ESP+F]
00425167  |. 0FAFC2         IMUL EAX,EDX
- n2 s8 K/ j8 K1 [0042516A  |. 0FBEC9         MOVSX ECX,CL
0042516D  |. 03C1           ADD EAX,ECX
2 h  y! p) z( p% ]$ f;跟踪分析得EAX = (B OR C) * D + A

- T6 }5 W4 y0 E0042516F  |. 33D2           XOR EDX,EDX

% o7 E+ e6 ?* V/ Z" m% Z;验证用的密钥直接来自DS:[52C72B]，哈哈，就是'i'
) s( O5 m# i) ^5 t/ F00425171  |. 0FBE0D 2BC7520>MOVSX ECX,BYTE PTR DS:[52C72B]
00425178  |. F7F1           DIV ECX
/ J, p; i- |0 D0 Q, I. S% X. t0042517A  |. 8BCE           MOV ECX,ESI
6 j0 w6 G% i7 Q: I7 Z/ g
;判断余数是否为0
0042517C  |. 85D2           TEST EDX,EDX
/ L) {( R! G  b; q- B- [0042517E  |. 74 1E          JE SHORT flashget.0042519E

所以这一段的算法是((B OR C) * D + A) MOD X = 0，这儿X是'i'


0 |0 ]9 f2 y) g3 w. S只要KEY能符合这四个条件就可以了。我用VB做出了对应的算号器代码：
    Randomize
    Dim intEbx As Integer
4 W2 ]# X' H! J; o& b    Dim i As Integer, j As Integer, k As Integer, intChar As Integer
1 ^2 s- l# x( [) p5 C! a. ?    Dim strCode As String
   
    If fgf Then
        strCode = "fgf-"
        intEbx = 118
8 E7 ]7 D4 h$ f    Else
9 ]8 ?0 A9 ^, q( n) B        strCode = "fgc-"
        intEbx = 105
    End If
   
    Do
3 v: \: C) `$ z0 Q. ]6 i) r3 q        intChar = 97 + Int(Rnd() * 25)
        For i = 48 To 57
            For j = 48 To 57
                For k = 48 To 57
                    If (((i Xor j) And 127) * k + intChar) Mod 107 = 0 Then
                        strCode = strCode & Chr(intChar) & Chr(i) & Chr(j) & Chr(k)
* T; z- c, H) V/ K4 z- ^                        Exit Do
6 i' @, L, @, G& t1 i0 u                    End If
                Next k
            Next j
/ ^* w9 F9 f( f+ I8 |1 r# i        Next i
    Loop
   
    Do
0 @" w+ k! G& I; s, D; Z8 Z% P        intChar = 97 + Int(Rnd() * 25)
        For i = 48 To 57
0 V; Y, @( m5 r' ]9 Z! \            For j = 48 To 57
                For k = 48 To 57
                    If ((i And j) * k + intChar) Mod 101 = 8 Then
                        strCode = strCode & Chr(intChar) & Chr(i) & Chr(j) & Chr(k)
: x9 Z+ |% I' ~; J# t) ?                        Exit Do
0 G) P( Q$ c4 I( m: m" B# ~* x                    End If
' ~! f% Y+ a$ p) A5 p! T* Q                Next k
& T/ W5 W! E' ^" I) N            Next j
        Next i
% {: W: {' p& |: i    Loop
   
5 ?% Y6 D, o( y: g) Q7 G8 ]' d  O    Do
- y" k. H( W, _0 `+ H        intChar = 97 + Int(Rnd() * 25)
        For i = 48 To 57
5 n4 B( C3 B* ?/ P4 A" o' I" L            For j = 48 To 57
( o: t7 Q7 o+ v3 ]" o: t% ^$ }                For k = 48 To 57
2 N8 w8 P- b) t( z3 Z                    If (i * j + k + intChar) Mod intEbx = 0 Then
) K& f7 }2 ]) S1 Y' C0 s  D% z/ y& c; j                        strCode = strCode & Chr(intChar) & Chr(i) & Chr(j) & Chr(k)
                        Exit Do
                    End If
                Next k
            Next j
        Next i
1 Q& p5 |2 d" M  p2 B& P$ w    Loop
   
# D, l7 E* e% d- m0 l4 E* T    Do
+ X( }, W' r( G5 _6 \        intChar = 97 + Int(Rnd() * 25)
        For i = 48 To 57
# }5 d8 h. \8 d* U+ a' |/ u5 j" k            For j = 48 To 57
4 Y( \3 N& c" \! ~8 o6 e                For k = 48 To 57
                    If ((i Or j) * k + intChar) Mod 105 = 0 Then
                        strCode = strCode & Chr(intChar) & Chr(i) & Chr(j) & Chr(k)
5 s# r% }8 f. a                        Exit Do
- P; _' J; c9 |* ^' Q/ V* K; w                    End If
: l& T9 r  ~6 B4 M  D& f  G                Next k
            Next j
        Next i
* `5 A" B' a: X& y( w    Loop
   
8 ~9 s( V  d9 D  J6 p
    '后面的24位随机生成。
0 I, C! [' W* ?% f+ O$ ?$ k    For i = 1 To 6
5 ]1 I( v) L% t: o1 ?3 z% ^# t$ K        intChar = 97 + Int(Rnd() * 25)
        strCode = strCode & Chr(intChar)
6 k1 m7 s* J# s8 W        For j = 1 To 3
            intChar = 48 + Int(Rnd() * 9)
* `% o4 O  D) Z+ B            strCode = strCode & Chr(intChar)
1 P" v2 q: f! e/ }" {        Next j
6 _6 Y  }4 e. p5 C    Next i
* P% v0 ~" q) [4 j; T
9 H6 }7 k  ?& I' @0 V( P" W  t
4 I' D( `1 G' D* y最后字符串strCode就是所要求的KEY