Первый взгляд
   Замечаем файл с интересным именем - d2licens.exe. Запускаем.. Ага, как и предполагалось этот файлик проверяет регистрацию.
Дизасмим его. После дизассемблирования замечаем несколько интересных строк:

'COULD NOT MALLOC BLOWFISHKEY'
'The password must be 16 characters !'
'Could not find the hardware key on any port !'
'Please check your Serial Number and Password to ensure that they are
entered correctly.'
'If this is a hardware locking password then please check your hardware
key using KEYIDW32.'
'If this is a software locking password then please check your Computer
ID value'
'If this is a password lock only then please check your Name and
Location to ensure that they are
'entered correctly.'

Интересно. Даже очень. Такое впечатление что здесь несколько типов регистрации для разных продуктов. Так как в помощи к программе ничего не сказано об электронном ключе логично предположить что тут или "software locking password" или "password lock only". Очень мило, что не надо соображать какой алгоритм используется - все и так написано.

Blowfish
   Blowfish - 64 битный блочный шифр. Подробное его описание есть в книге "Applied Cryptography" by Bruce Schneier. Я очень коротенько постараюсь обьяснить суть. Для шифрования/дешифрования нам нужны: текст(text) и ключ(key). Сначала с помощью ключа генерятся подключи(subkeys) - P-array состоящий из 18-ти 32-битных подключей и четыре S-boxes. Каждый S (S1, S2, S3, S4) состоит в свою очередь из 256-ти 32-битных подключей. Вместе P-array и S-boxes представляют собой массив длиной в 4168 байт. Расположение в этом массиве такое:
P-array+S1_box+S2_box+S3_box+S4_box. То есть сначала Р-array и потом все остальное. Изначально этот массив имеет фиксированные значения и называется pi-array. С помощью ключа этот массив модифицируется.

Ищем, ищем и находим
   Если в программе используется blowfish, то где-то должна быть процедура генерации подключей и, соответственно, pi-array. Или ключ используется один и подключи просчитаны программером заранее - тогда должны быть подключи.
В любом случае где-то в коде программы будет массив подключей. Проверим.
Вводим Password , Name, Serial number, Location. Так как я предполагаю, что алгоритм - blowfish, то Password и Serial number будут состоять только из вот этих символов (0123456789ABCDEF). Это так потому, что введеный пароль или серийник будет переведен в DWORD. То есть была строка "1234567890ABCDEF", а получится "1234567890ABCDEFh".
С теорией покончено, теперь в SoftIce. Расставляем обычные бряки - bpx GetDlgItemTextA, быстренько опускаемся сюда:

040A86F    mov     ecx, [ebp+var_208]
0040A875   call    MFC42_3098
0040A87A   lea     ecx, [ebp+var_80]
0040A87D   push    ecx
0040A87E   call    sub_408702
0040A883   add     esp, 4
0040A886   call    sub_4077A7 ;!!!
0040A88B   mov     [ebp+var_104], eax
0040A891   cmp     [ebp+var_104], 3039h
0040A89B   jnz     short loc_40A8AA

0040786D   lea     ecx, [ebp+var_80]
00407870   push    ecx
00407871   lea     edx, [ebp+var_108]
00407877   push    edx
00407878   mov     eax, [ebp+var_84]
0040787E   push    eax
0040787F   lea     ecx, [ebp+var_208]
00407885   push    ecx
00407886   lea     edx, [ebp+var_288]
0040788C   push    edx
0040788D   call    sub_4069E6  ;!!!
00407892   add     esp, 14h
00407895   test    eax, eax
00407897   jz      short loc_4078A2

В процедуру 4069E6 передаются все наши введенные параметры а на выходе проверяется eax. Очень смахивает на проверку. Заходим в нее. Интересный кусок кода:

0406B65    loc_406B65:  ; CODE XREF: sub_4069E6+15A_j
00406B65   mov     ecx, dword_413C7C
00406B6B   push    ecx
00406B6C   push    38h
00406B6E   push    offset a8_38_38_3Versi ; "8.3 8.3 8.3 Version
                                          ; 8.3 of DESIGN II fo"...
00406B73   call    sub_401000
00406B78   add     esp, 0Ch

040102C    mov     [ebp+var_104C], 243F6A88h
00401036   mov     [ebp+var_1048], 85A308D3h
00401040   mov     [ebp+var_1044], 13198A2Eh
0040104A   mov     [ebp+var_1040], 3707344h
00401054   mov     [ebp+var_103C], 0A4093822h
0040105E   mov     [ebp+var_1038], 299F31D0h
00401068   mov     [ebp+var_1034], 82EFA98h
00401072   mov     [ebp+var_1030], 0EC4E6C89h
0040107C   mov     [ebp+var_102C], 452821E6h
00401086   mov     [ebp+var_1028], 38D01377h
00401090   mov     [ebp+var_1024], 0BE5466CFh
0040109A   mov     [ebp+var_1020], 34E90C6Ch
004010A4   mov     [ebp+var_101C], 0C0AC29B7h
004010AE   mov     [ebp+var_1018], 0C97C50DDh
004010B8   mov     [ebp+var_1014], 3F84D5B5h

Это pi-array. Значит это процедера генерации подключей, а та большая строка и есть ключик. Вот на этом этапе я понял что буду не патчить программу, а писать кейген. Ключ нам известен, текст для шифрования мы введем сами, следовательно у нас есть все что нужно. Пионерский привет всем программерам, втыкающим в свои проги криптоалгоритмы даже не разобравшись в них. Идем дальше.
Переименовываем процедурку 401000 в "Subkeys_Calculation". Просто для наглядности :)

00406B82   push    10h
00406B84   lea     eax, [ebp+var_98]  ; Password
00406B8A   push    eax
00406B8B   call    sub_405216

00406BBE   mov     eax, dword_413C7C  
00406BC3   push    eax
00406BC4   lea     ecx, [ebp+var_A4]
00406BCA   push    ecx
00406BCB   lea     edx, [ebp+var_A4]
00406BD1   push    edx
00406BD2   call    sub_403A7C

dword_413C7C - subkeys, в есх и еdx заносятся половинки Рassword. Значит call sub_403A7C это либо Encrypt либо Decrypt. Третьего не дано :) Заходим в этот call

Если смотреть на это под SoftIce то станет понятно что тут у нас decrypt, так как еах хоr-ится с последним элементом p-array. При encrypt был бы первый.

00406C3B   cmp     dword_413C88, 1
00406C42   jl      short loc_406C4D
00406C44   cmp     dword_413C88, 7
00406C4B   jle     short loc_406C70
00406C4D                     
00406C4D   loc_406C4D:    ; CODE XREF: sub_4069E6+25C_j
00406C4D   mov     dword_413C88, 0
00406C57   push    offset aTheTypeOfSec_2 ; "The type of security
                                          ; is NO GOOD !"

Ага, это если я (1..7) введу то не взломают а если (8..0F) то да. Идиотизм. Дальше идут разные условия для нашей строки, получившейся в результате дешифрования. Они легко просматриваются при помощи SoftIce так что я их не буду подробно обьяснять. Важно понять саму идею, алгоритм. Введенный пользователем Password расшифровывается, затем расшифрованный пароль проверяется на наличие 7 первым символом, второй символ отвечает за тип лицензии(их там несколько). Последние 4 символа отвечают за срок регистрации. Остальные зависят от Name, Location и Serial Number.

Итак для ключегена нам надо иметь Name, Location и Serial Number. Зная все условия мы сможем составить строку, которую зашифруем и получим Password. Вот так все просто.

Вот тут кусок исходника на VC. Я писал его когда ломал эту программу так, что исходник этот похож на ассемблер, записанный в операторах С :-). Но тем не менее все работает.

Ну и в заключение хочу сказать, что все программы используюшие для защиты Blowfish однотипны. Ключ может быть одним, как в нашем случае или генерится в зависимости от имени юзера. Но ключ все равно будет присутствовать. И значит программу все равно можно закейгенить.

Примечание: С 01.01.2002 WinSim Inc. стали пользовать twofish в своем продукте Winsim Design, так что статья теперь имеет чисто научное значение :)

Статья написана специально для UInC (http://www.uinc.ru).

Все документы и программы на этом сайте собраны ТОЛЬКО для образовательных целей, мы не отвечаем ни за какие последствия, которые имели место как следствие использования этих материалов\программ. Вы используете все вышеперечисленное на свой страх и риск.

Любые материалы с этого сайта не могут быть скопированы без разрешения автора или администрации.