1、Restorator 注册的RSA算法分析及RCData中文处理补丁Restorator 2007是不错的工具,现在还有很多人在用。它同样存在文章“eXeScope, XNResourceEditor & IDR 之Form中文显示补丁”中提到的问题,就对其做了相似处理。这部分比较简单,让人更感兴趣的是它的注册算法,现整理出来分享给大家。目录:一关于版本二RSA算法三注册算法分析四用TSM Inc.的组件制作Keygen五TRSA与其他RSA实现的对比六附件列表一关于版本Bome Software的官方下载目前仍然是2007年七月发布的30天试用版:Update 2 (Build 1747)。
2、试用版的限制:30天后不能再使用;保存的菜单、对话框和版本等资源中有Patched with Restorator字样;缺少 ResPatcher和Grab Resources两个工具。试用版中ResPatcher Wizard可以走到最后一步,由于资源中没有 EXE Stub,无法生成ResPatcher的执行档。当然也没有地方输入注册信息。Build 1747正式版的原版很难找,事实上我还真没找到,只找到Build 1709和Build 1729(见附件)的正式版安装包。好在Bome Software提供了Restorator2007_Full_1747_Patch.exe。这个Patch
3、只适用于官方的1709或1729,任何破解或汉化版都无法升级到1747。在帖子“Restorator 2007 3.70 build 1747 Full”中有ZWT的b1747英文正式版破解,只有一个执行档Restorator.exe和注册信息,帖子中还提到1747修复了哪些Bugs。汉化方面,有West King(韦斯特金)的b1729和Digidea的b1747。和正式版的原版一样,采用Inno Setup安装包,但在安装时会自动在注册表中写入注册信息。另外还流传有一个“Restorator 2009 Bulid 1807”的版本,显示版本号4.0.0.1807。但它实际上是b1709:资
4、源 中残留有3.7.0.1709字样,执行档Restorator.exe中经加密的公钥位置在VA 004E7500处,与原版b1709位置相同。并且 这个版本、WestKing.b1729和Digidea.b1747都源自ZWT的破解,注册信息在这些个版本是通用的。本教程由深圳天荷伞业的整理 专业从事雨伞、太阳伞、礼品伞、高尔夫伞、发光伞、广告伞等产品的专业雨伞厂 我们的网站是() 有您的支持我们会更专注。二RSA算法关于RSA算法,更详细的信息请参阅“RSA (algorithm) - Wikipedia, the free encyclopedia”或“RSA加密演算法 - 维基百科,自由
5、的百科全书”。为了下面叙述方便,大致摘编于下:RSA加密演算法(public-key cryptography)是一种非对称加密演算法,在公钥加密标准和电子商业中RSA被广泛使用,比如超 文本传输安全协议(HTTPS - Hypertext Transfer Protocol Secure)和数字签名等。该算法由 Ron Rivest、Adi Shamir和Leonard Adleman于1976年一起首次提出,当时他们三人都在麻省理工学院工作。RSA就是 他们三人姓氏首字母的组合。RSA包括一个公钥(Public Key)和一个私钥(Private Key)。顾名思义,公钥是公开的,由他人使
6、用;私钥则一定不能泄露,是持有者的身份证明。通常,公钥用于加密消息,用公钥加密的信息只能用私钥进行解密。但是,这里有个问题。假设甲向乙发送加密信息,因为任何人都可使用乙的公钥来加密,虽然乙可用自己的私钥正确解密,但无法确认发送者一定就是甲。RSA的另一个功能签名消息(Signing Messages)解决了这个问题,但公钥和私钥的用法正好颠倒过来。还是假设甲想给乙传递消息。首先,甲为消息产生一个消息文摘(Message Digest),通常就是计算消息的散列值(Hash)。然后甲用私钥 加密这个散列值生成一个签名(Signature),并将这个签名附在消息的后面。这个签名只有用甲的公钥才能被解
7、密。乙获得这个消息后用甲的公钥解密这 个签名,然后将这个数据与他自己为这个消息计算的散列值相比较。假如两者相符的话,那么他/她就可以知道发送人持有甲的私钥,以及这个消息在传播路径上没 有被篡改过。RSA算法的关键在于生成密钥对,过程涉及到数论里的很多东西,不晓得是否还有人记得华罗庚、陈景润等的名字。RSA算法的密钥按以下规则生成:1. 选择两个不同的质数/素数p和q。整数p和q为安全起见,应随机选择,并有相同的位长度。2. 计算 n = pq。n是用作公钥和私钥的模(modulus)。3. 计算 (n) = (p1)(q1),这里是欧拉的totient函数。4. 选择一个整数e:1 e ,y4
8、Kp:4t?L%004FB610: 2B 52 71 69.56 2A 2D 2C.4D 76 2E 4E.26 66 72 46 +RqiV*-,Mv.N&frF004FB620: 5B 34 53 28.45 53 73 47.2A 42 35 7A.53 49 47 54 4S(ESsG*B5zSIGT.004FB830: 6F D4 71 D6.D7 D8 75 76.77 DC DD 7A.7B A0 A1 A2 o q uvw z?004FB840: A3 A4 41 42.A7 A8 45 46.AB AC AD AE.4B B0 B1 4E AB EF RK +N.004FB8
9、80: 63 64 65 66.67 68 69 6A.6B 9F 6D 6E.6F 70 71 72 cdefghijk mnopqr004FB890: 73 67 75 69.6A 6B 6C 6D.6E 6F sguijklmnoPatch版数据块VA 004FB600,长度0x242:代码:004FB5F0: 42 02 00 00004FB600: 21 52 6E 5B.34 6E 6F 5B.2D 2E 4B 4C.69 6A 50 6D !Rn4no-.KLijPm004FB610: 2A 2B 51 25.26 6E 69 47.2D 5C 5D 5E.6C 2B 34 6D
10、 *+Q%&niG-l+4m004FB620: 66 6D 45 46.55 4D 7B 7C.67 68 51 5E.5B 5C 5C 5D fmEFUM|ghQ.004FB830: 70 71 72 73.74 9B 9C 9D.9E 9F 60 61.62 63 64 65 pqrst abcde004FB840: 66 67 00 42.A7 A8 45 46.AB AC AD AE.4B B0 B1 4E fg B EF RK +N.使用这段数据的代码:代码:004FB5A8 /$ 55 PUSH EBP ; _Unit45.sub_004FB5A8004FB5A9 |. 8BEC
11、MOV EBP,ESP.004FB5BE |. 55 PUSH EBP ; /Arg1004FB5BF |. 8D55 FC LEA EDX,DWORD SS:EBP-4 ; |004FB5C2 |. B8 00B64F00 MOV EAX,Restorat.004FB600 ; |004FB5C7 |. E8 5CFFFFFF CALL ; Restorat.004FB528, Decoding Public Key.原版调用004FB528返回后,EAX=00D940C8代码:00D940B8 B2 00 00 0000D940C8 2B 2B 31 31 49 6B 3A 5A 7A 6
12、9 76 38 4F 42 4D 57 +11Ik:Zziv8OBMW00D940D8 36 37 66 48 47 76 37 7A 34 47 6E 54 39 4B 6B 71 67fHGv7z4GnT9Kkq00D940E8 74 41 7A 6B 55 66 32 46 32 51 45 4E 4D 53 61 35 tAzkUf2F2QENMSa500D940F8 59 68 2B 68 44 6A 2B 37 33 66 45 6E 52 76 6B 57 Yh+hDj+73fEnRvkW00D94108 48 52 70 48 62 34 68 44 74 32 4A 33 3
13、1 71 6E 4D HRpHb4hDt2J31qnM00D94118 49 69 41 72 49 57 39 5A 57 63 43 37 54 69 35 4D IiArIW9ZWcC7Ti5M00D94128 48 53 50 52 66 44 4E 59 70 35 78 52 66 78 53 4C HSPRfDNYp5xRfxSL00D94138 38 72 4C 52 34 36 41 6B 6F 4C 68 4B 42 34 75 5A 8rLR46AkoLhKB4uZ00D94148 58 6E 48 69 56 38 44 58 55 4A 47 2D 6D 47 55
14、43 XnHiV8DXUJG-mGUC00D94158 5A 65 2D 6C 54 63 54 79 62 54 37 74 67 35 52 62 Ze-lTcTybT7tg5Rb00D94168 33 46 70 55 68 35 4D 79 46 78 36 62 75 70 76 2D 3FpUh5MyFx6bupv-00D94178 41 59 AY这个就是Bome Software的Base64编码公钥了,用“:”作分隔符:前面+11Ik为加密指数e,经Base64解码后为0xC353(50003dec);后面为模n,解码后为长度0x80字节的一个大质数,表明密钥长度为1024位
15、。也就是说,004FB600处是加密存储的公钥,ZWT用自己的公钥将其替换。B. 代码对比代码:0057F577 |. E8 304FF8FF CALL ; CRC check0057F57C |. 84C0 TEST AL,AL原版代码:0057F57E 75 21 JNZ SHORT Restorat.0057F5A1Patch版代码,75改为EB:0057F57E EB 21 JMP SHORT Restorat.0057F5A1 ; Crack2 - Bypass CRC check0057F580 |. 8D55 F4 LEA EDX,DWORD SS:EBP-C0057F583 |
16、. B8 442B5700 MOV EAX,Restorat.00572B440057F588 |. E8 BF7AE8FF CALL 0057F58D |. 8B4D F4 MOV ECX,DWORD SS:EBP-C0057F590 |. B2 01 MOV DL,10057F592 |. A1 54874000 MOV EAX,DWORD DS:4087540057F597 |. E8 ECE3E8FF CALL 0057F59C |. E8 4351E8FF CALL 0057F5A1 | 33C0 XOR EAX,EAX0057F5A3 |. 5A POP EDX0057F5A4 |
17、. 59 POP ECX0057F5A5 |. 59 POP ECX0057F5A6 |. 64:8910 MOV DWORD FS:EAX,EDX0057F5A9 |. 68 BEF55700 PUSH Restorat.0057F5BE0057F5AE | 8B45 FC MOV EAX,DWORD SS:EBP-40057F5B1 |. E8 7A48E8FF CALL 0057F5B6 . C3 RETN调用005044AC是什么呢?代码:005044AC /$ 53 PUSH EBX ; _Unit47.sub_005044AC005044AD |. 56 PUSH ESI00504
18、4AE |. 8BD8 MOV EBX,EAX005044B0 |. 8BC3 MOV EAX,EBX005044B2 |. E8 1D000000 CALL 005044B7 |. 8BF0 MOV ESI,EAX005044B9 |. 83FE 85 CMP ESI,-7B005044BC |. 74 10 JE SHORT Restorat.005044CE005044BE |. 8BC3 MOV EAX,EBX005044C0 |. E8 8BFFFFFF CALL 005044C5 |. 3BF0 CMP ESI,EAX005044C7 |. 74 05 JE SHORT Resto
19、rat.005044CE005044C9 |. 33C0 XOR EAX,EAX005044CB |. 5E POP ESI005044CC |. 5B POP EBX005044CD |. C3 RETN005044CE | B0 01 MOV AL,1005044D0 |. 5E POP ESI005044D1 |. 5B POP EBX005044D2 . C3 RETN调用005044D4从PE Header里面读入保存的.text区段的CRC校验和,位置在文件偏移1F8(区段表起始位置) + (区段数 =9+1) x 区段项大小=0x28 = 0x1F8 + 0x0A x 0x28
20、= 0x388,其值为0xCECB4E86,返回到 ESI;调用00504450计算整个.text区段的CRC校验和,返回到EAX,与ESI比较。相同,AL置1,否则EAX清零。你替换了人家的公钥,这里必须得处理。要么把修改过的.text区段,用调用00504450跑一遍,将结果填到文件偏移0x388处,要么就硬跳。0057F588处CALL 的结果 是:CRC check failed. Please use the repair function or reinstall Restorator.下面把整个过程大致走一遍。程序入口:代码:005920FC $ 55 PUSH EBP ; _U
21、nit72.Restorator005920FD . 8BEC MOV EBP,ESP005920FF . 83C4 F0 ADD ESP,-1000592102 . B8 90095900 MOV EAX,Restorat.0059099000592107 . E8 CC50E7FF CALL 0059210C . E8 2B0BFEFF CALL 00592111 . E8 B62AE7FF CALL .进入00572C3C:代码:00572C3C /$ 55 PUSH EBP ; URestorator.sub_00572C3C.00572CEE . E8 2185F8FF CALL ;
22、 here CALL .00572CFC . A1 84945900 MOV EAX,DWORD DS:59948400572D01 . 8B00 MOV EAX,DWORD DS:EAX ; EAX: TRegManager实例00572D03 . E8 AC8EF8FF CALL 00572D08 . A1 84945900 MOV EAX,DWORD DS:59948400572D0D . 8B00 MOV EAX,DWORD DS:EAX00572D0F 8078 15 00 CMP BYTE DS:EAX+15,000572D13 75 46 JNZ SHORT Restorat.0
23、0572D5B00572D15 . 8B0D 08995900 MOV ECX,DWORD DS:59990800572D1B . 8B09 MOV ECX,DWORD DS:ECX00572D1D . B2 01 MOV DL,100572D1F . A1 A4725400 MOV EAX,DWORD DS:5472A400572D24 . E8 4346F0FF CALL ; 创建Enter License Key窗体00572D29 . 8B15 10975900 MOV EDX,DWORD DS:59971000572D2F . 8902 MOV DWORD DS:EDX,EAX00572D31 . A1 10975900 MOV EAX,DWORD DS:59971000572D36 . 8B00 MOV EAX,DWORD DS:EAX00572D38 . E8 1F4EFDFF CALL ; 显示窗体,要求输入用户名和注册码00572D3D . A1 84945900 MOV EAX,DWORD DS:59948400572D42 . 8B00 MOV EAX,DWORD DS:EAX00572D44 . 8078 15 00 CMP BYTE DS:EAX+15,000572D48 . 75 11 JNZ SHORT Re
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 