首页
论坛
课程
招聘
[原创]pdf2word1.6算法分析
2008-2-23 22:44 9704

[原创]pdf2word1.6算法分析

2008-2-23 22:44
9704
文章标题】: pdf2word1.6算法分析
【文章作者】: tjszlqq
【软件名称】: pdf2word1.6
【下载地址】: http://www.download.com/PDF2Word/3000-6675_4-10250723.html
【加壳方式】: 无壳
【保护方式】: 序列号
【编写语言】: vc6.0
【使用工具】: dfx.exe,immunity debugger
【操作平台】: 正版windowsxp
【软件介绍】: 把pdf转换成rtf
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2008年02月23日 22:39:56
看雪老大不让分析国内的软件,那我就分析国外的,应该没问题,学了几十年的破解,终于找到一个超简单的让我破解了,太高兴

了!
这个软件是共享软件,不注册只能试用一百次,运行时会弹出注册窗口,有错误提示“Series number error, please check it

and try again."用dfx.exe 查出pdf2word1.6为vc6.0编写,然后用immunity debugger载入,用ccdebuger教我们的字串参考,等

这个软件载入后,在代码的某个地方右击,选所有参考字符串。在这个程序中一个有所有字符串的新窗口弹了出来,往上翻屏并且

再次右击。然后选择搜索文本,再把“Series number error, please check it and try again."写进去。不过要记得勾上“区分

大小写”,然后按ok.
你将会来到下面这里:
代码:

00429F6F | PUSH pdf2rtf.00468270 | ASCII "Series number error, please check it and try again."

现在按F2把这行设一个断点,在这一行的上面你会看到其它的一些字符串,也许有用,所以也把它们下断点,如下:
"Thank you registered" and "Thank you registered VeryPDF PDF2Word v1.6."
现在双击代码的某一行,按F9运行这个程序。
注册窗口又再次弹出来,然后填上一个电子邮件地址,一个假码,然后点ok.
返回到od,你会看到停在下面这行:
00429F6F . 68 70824600 PUSH pdf2rtf.00468270 ; |Text = "Series number error, please check it and try again."
这是那条错误消息,这个程序在显示它之前停了下来。
你会看到这条错误消息是call MessageBoxA的一部分,这是调用API函数显示这条消息,如果在这之
用所有参考字串里面看过另外一条字符串,你会知道另外一个MessageBoxA和"Thank you registered VeryPDF PDF2Word v1.6."

在一块。
这就意味着如我们输入正确的注册码,会显示"Thank you registered VeryPDF PDF2Word v1.6."这条消息。
这个程序会按照你的输入来显示那条信息,来做这事事的代码一般在这条消息的不远处,往上翻屏,你会看到一条包含JNE,JE,JNZ

or jz的代码.这会跳转会发生在遇到一些事的时候。
一般测试条件就直接在跳转的上面,
你会看到如下代码:
00429F2E . 85C0 TEST EAX,EAX
00429F30 . 74 39 JE SHORT pdf2rtf.00429F6B
如eax为0,就跳,
如果我们跟踪这个跳转,发现跳过了"Thank you registered VeryPDF PDF2Word v1.6.",这样我们就知道eax为0就会显示错误消

息。
我们可以用nop把 JE SHORT pdf2rtf.00429F6B 代替,让程序总显示正确消息,不过重启这个程序会继续要我们注册,

所以我们需要继续搜索,我们需要找出EAX的值是什么时候得到的,
在TEST EAX,EAX上面二条指令我们可以看到
00429F26   . E8 F5F7FFFF    CALL pdf2rtf.00429720
这是一个call调用这个程序某一处的子程序,你可以用生命来打赌一定是这个子程序设定了这个EAX的值,
所以我们需要找出这个子程序到底是怎么设的这个值,为了达到目的,我们按F2在 CALL pdf2rtf.00429720 上我们要设另外一个

断点。
现在我们要再次重新载入这个程序,使它中断在这个CALL上,按快捷键<CTRL>+<F2>就可达到,当程序要退出的时候(另可以按左

方向键和enter键)选是然后这个程序就重起了。
现在再次按<F9>让程序跑起来。
你会看到注册框会再次跳出来,所以你要把电子邮件地址和注册码填上,然后按ok.
就像你看到的那样程序中断在 CALL pdf2rtf.00429720 这条批令上了,
现在按 <F7>进入到这个call里面。
前面四条指令我们不感兴趣,所以我们从00429725开始分析,
下面就是我们看到的代码:
00429725  |. 8B7424 3C      MOV ESI,DWORD PTR SS:[ESP+3C]
00429729  |. 57             PUSH EDI
0042972A  |. 8A06           MOV AL,BYTE PTR DS:[ESI]
0042972C  |. 8A4E 01        MOV CL,BYTE PTR DS:[ESI+1]
0042972F  |. 8A56 0E        MOV DL,BYTE PTR DS:[ESI+E]
00429732  |. 884424 18      MOV BYTE PTR SS:[ESP+18],AL
00429736  |. 32C0           XOR AL,AL
00429738  |. 884C24 30      MOV BYTE PTR SS:[ESP+30],CL
0042973C  |. 8A4E 0F        MOV CL,BYTE PTR DS:[ESI+F]
0042973F  |. 884424 19      MOV BYTE PTR SS:[ESP+19],AL
00429743  |. 884424 31      MOV BYTE PTR SS:[ESP+31],AL
00429747  |. 884424 25      MOV BYTE PTR SS:[ESP+25],AL
0042974B  |. 884424 0D      MOV BYTE PTR SS:[ESP+D],AL

0042974F  |. 8A46 02        MOV AL,BYTE PTR DS:[ESI+2]
00429752  |. 3C 24          CMP AL,24
00429754  |. 885424 24      MOV BYTE PTR SS:[ESP+24],DL
00429758  |. 884C24 0C      MOV BYTE PTR SS:[ESP+C],CL
0042975C  |. 75 52          JNZ SHORT pdf2rtf.004297B0
我已经把到开始检查字串以上的整个块都放到上面了,现在开始分析。
第一行-->把我们输入的注册移到esi
第二行-->不重要
第三行-->把我们的注册码第一个字符移al
第四行-->把我们的注册码第二个字符移cl
第五行-->把我们的注册码第十五个字符移dl
第六行-->把al中的内容送[esp+18]
第七行-->清除al中的内容
第八行-->把cl中的内容移[esp+30]
第九行-->把第十六个字符移到cl
第十,十一,十二,十三行-->当al还是空的时候把[ESP+19],[ESP+31],[ESP+25] & [ESP+D]中的内容清空
第十四行-->把我们输入的第三个字节移到al
第十五行-->把AL的内容和0x24比较
第十六行-->把第十五个字节移至[ESP+24]
第十七行-->把第十六个字节移至 [ESP+C]
第十八行-->如果AL不等于0x24就跳到004297B0
如果你跟踪十八行的跳转你会看到它会跳到下面的代码:

004297B0  |> 5F             POP EDI
004297B1  |. 5E             POP ESI
004297B2  |. 33C0           XOR EAX,EAX
004297B4  |. 5D             POP EBP
004297B5  |. 83C4 30        ADD ESP,30
004297B8  \. C3             RETN
可以看到恢复被保存的值,把eax的值搞为0,然后返回到我们调用这个子程序的地方。
如果我们让它这么发生的话,那么eax会是0也就会给我们错误的提示框。

现在我们从上面这些代码可以知道什么?
-al必须等于0x24要不然就会得到错误提示框
-在等于0x24之前程序把第三个字符搞到al中
-这个程序把第十六个字节搞到cl
从上面的结论我可以得出第三个字符必须为$还有我们的注册码必有十六个字符好让我们把到搞到cl中去,
所以我们的注册码应该像这样 :..$.............
现在是接着的一片代码:
0042975E  |. 8B3D 4C964400  MOV EDI,DWORD PTR DS:[<&MSVCRT.atoi>]    ;  msvcrt.atoi
00429764  |. 8D5424 0C      LEA EDX,DWORD PTR SS:[ESP+C]
00429768  |. 52             PUSH EDX                                 ; /s
00429769  |. FFD7           CALL EDI                                 ; \atoi
0042976B  |. 8BE8           MOV EBP,EAX
0042976D  |. 8D4424 1C      LEA EAX,DWORD PTR SS:[ESP+1C]
00429771  |. 50             PUSH EAX
00429772  |. FFD7           CALL EDI
00429774  |. 03E8           ADD EBP,EAX
00429776  |. 83C4 08        ADD ESP,8
00429779  |. 83FD 0A        CMP EBP,0A
0042977C  |. 75 32          JNZ SHORT pdf2rtf.004297B0
我们来分析它吧:
第一行-->把函数MSVCRT.atoi的地址搞到edi中
第二行-->把第十六个字符搞到edx中
第三行-->把edx做为参数关起来
第四行-->来到系统区做运算,结果会算到eax中
第五行-->把eax中的内容搞到ebp中
第六行-->把我们的第一个码码搞到eax中
第七行-->把这次关eax
第八行-->把我们的码码搞到系统区做运算,最后再搞回来,
第九行-->加法运算,
第十行-->不重要
第十一行-->把ebp减去0A如果结果不是0就让jnz实现
第十二行-->见风使舵
现在我们从上面的代码得到什么了?

-第十六个字符搞到atoi,说明这个字符的值在0-9之中取
-第一个字符也被关过,说明也要在0-9中取
-第十六个加第一个要等于0xa。
所以我们得到下面的注册码:1.$............9
你可以想像,第一个字符各第十六个字符可以为任何东西只要它们都有是数字,还有它们加
起来等于十进制的十,
到了看下一片代码的时候了:

0042977E  |. 8D4C24 24      LEA ECX,DWORD PTR SS:[ESP+24]
00429782  |. 51             PUSH ECX
00429783  |. FFD7           CALL EDI
00429785  |. 8D5424 34      LEA EDX,DWORD PTR SS:[ESP+34]
00429789  |. 8BE8           MOV EBP,EAX
0042978B  |. 52             PUSH EDX
0042978C  |. FFD7           CALL EDI
0042978E  |. 03E8           ADD EBP,EAX
00429790  |. 83C4 08        ADD ESP,8
00429793  |. 83FD 0A        CMP EBP,0A
00429796  |. 75 18          JNZ SHORT pdf2rtf.004297B0
还是让我们来分析一下:
第一条-->第十五个字符搞进ecx
第二条-->关起来
第三条-->用系统区的代码来搞ecx,最后把结果搞到eax
第四条-->第二个字符搞到edx
第五条-->被系统区搞过的ecx再搞到ebp中
第六条-->再把ebp关起来
第七条-->把ebp放出来,放到eax中
第八条-->第十五和第二个字符结婚,
第九条-->分析不出来
第十条-->生出来是不是男的,
第十一条-->不是男的,就丢了,
就像你看到的那样,这片代码跟上面分析的很类似,所以就不更一步分析了

现在我们可以得到下面的代码:12$...........89
为了到达某个地方,我们还要分析一些代码:
最后要分析的一片代码:

00429798  |. 807E 03 24     CMP BYTE PTR DS:[ESI+3],24
0042979C  |. 75 12          JNZ SHORT pdf2rtf.004297B0
0042979E  |. 8A4E 05        MOV CL,BYTE PTR DS:[ESI+5]
004297A1  |. 33C0           XOR EAX,EAX
004297A3  |. 80F9 23        CMP CL,23
004297A6  |. 5F             POP EDI
004297A7  |. 5E             POP ESI
004297A8  |. 5D             POP EBP
004297A9  |. 0F94C0         SETE AL
004297AC  |. 83C4 30        ADD ESP,30
004297AF  |. C3             RETN
分析:
第一排-->第四个字符和0x24比较
第二排-->不相等就到004297B0
第三排-->送第六个字符到cl
第四排-->检查第六个字符是不是等于0x23
第五,六,七排-->不重要
第八行-->上面相等就把al设成1
第九行-->不重要
第十行-->回到调用的地方

得出第四节必须为0x24还有第六字节必须为0x23
如果都成立的话al就会设为1也就意谓着eax不必为零了,也就会使程序给我们正确的提示
概括:
-check if 3th == $
-check if 1st + 16th == 10
-check if 15th + 2nd == 10
-check if 4th == $
-check if 6th == #
其它的字符对建造一个有效的注册码来说不重要了,所以我们的注册码可以是这样:
12$$.#........89

你可以把点号的地方填入任何你想填的,只要你把第一个,第二个,第十五个还有十六个填对。
注册机源码:
#include <string.h>
#include <stdio.h>
#include <stdlib.h>
int main()
{ char serial[50],name[50];
    int len,l1,l2,l15,l16;
printf("please input you email:");
scanf("%s",name);
printf("please input you series:");
    scanf("%s",serial );
    len=strlen(serial);
    if (len<16)
  
    printf("serial must more than 15 characters!");
    else
  { if(serial[0]<58&&serial[0]>48&&serial[1]<58&&serial[1]>48)
    {l1=serial[0];
l1=l1-48;
l2=serial[1];
l2=l2-48;
l15=10-l2;
l16=10-l1;
printf("serial is:%d%d$$%C#%C%C%C%C%C%C%C%C%d%d",l1,l2,serial[4],serial[6],serial[7],serial[8],serial[9],serial[10],serial[11],serial[12],serial[13],l15,l16);
}
else
{
    serial[2]='$';serial[3]='$';serial[5]='#';
    printf("serial is:37%c%c%c#%c%c%c%c%c%c%c%c37",serial[2],serial[3],serial[5],serial[6],serial[7],serial[8],serial[9],serial[10],serial[11],serial[12],serial[13]);}
}}
大家可以提出意见骂我,我这个人很好,不会生气!

看雪招聘平台创建简历并且简历完整度达到90%及以上可获得500看雪币~

收藏
点赞0
打赏
分享
最新回复 (16)
雪    币: 584
活跃值: 活跃值 (11141)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
kanxue 活跃值 8 2008-2-23 22:47
2
0
现在有一篇1精华,要等会儿升级。
会员级别的操作,论坛系统每隔一小时处理一次。
雪    币: 367
活跃值: 活跃值 (12)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
petnt 活跃值 12 2008-2-23 22:52
3
0
果然说话算话,今晚就出了精华。
支持下!
雪    币: 3198
活跃值: 活跃值 (552)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
tjszlqq 活跃值 1 2008-2-23 23:00
4
0
谢谢看雪老大,我会努力的!软件我写了有下载地址http://www.download.com/PDF2Word/3000-6675_4-10250723.html
雪    币: 109
活跃值: 活跃值 (218)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
combojiang 活跃值 26 2008-2-23 23:44
5
0
好,分析得不错,顶
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
catia 活跃值 2008-2-24 01:11
6
0
强贴留名。不知道我什么时候才能学的会。
雪    币: 500
活跃值: 活跃值 (47)
能力值: ( LV12,RANK:441 )
在线值:
发帖
回帖
粉丝
yangjt 活跃值 10 2008-2-24 08:31
7
0
说话很算数……呵呵……恭喜你了……
雪    币: 142
活跃值: 活跃值 (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Phoenix 活跃值 2008-2-24 12:35
8
0
出来冒个泡,恭喜恭喜。。。
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
pzhhw 活跃值 2008-2-24 12:59
9
0
谢谢,支持好贴!
雪    币: 30
活跃值: 活跃值 (1131)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
riusksk 活跃值 41 2008-2-24 19:19
10
0
建议分析时,汇编代码与注释写在一起,同行注释,便宜阅读
雪    币: 100
活跃值: 活跃值 (44)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
NWMonster 活跃值 1 2008-2-25 10:04
11
0
看来我也要找个crackme下个手了,呵呵。
雪    币: 3198
活跃值: 活跃值 (552)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
tjszlqq 活跃值 1 2008-2-25 14:36
12
0
感谢大家的鼓励,我会努力追求达到看雪前辈们的水平的,我是故意这么写的,为了追求不同风格,因为论坛大多数文章都是把注释写在后面,下次我也写在后面吧!
雪    币: 104
活跃值: 活跃值 (18)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
sbright 活跃值 2 2008-2-29 17:42
13
0
恭喜兄弟
祝福兄弟成为hacker的愿望早日成真
雪    币: 1467
活跃值: 活跃值 (240)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
menting 活跃值 14 2008-2-29 17:47
14
0
这么喜欢个性???
雪    币: 3198
活跃值: 活跃值 (552)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
tjszlqq 活跃值 1 2008-2-29 18:34
15
0
这么多大大关心我,有点受宠若惊啊,希望大家在新一年发大财,
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
scmeec 活跃值 2008-3-3 22:06
16
0
好久不来,都有点看不懂了。要加强学习了哦
雪    币: 1834
活跃值: 活跃值 (20)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
yingyue 活跃值 2008-3-4 16:33
17
0
你太有才了,向你学习
游客
登录 | 注册 方可回帖
返回