1.      056-diablo2oo2's Crackme 01

算法难度：⭐⭐⭐⭐

爆破难度：⭐

信息收集

运行情况：

查壳与脱壳：

调试分析

IDA走起~

一开始调用了一个call，跟进去。

这个call在是创建窗口的，这里一开始就在填充窗口类，这里有个窗口函数，跟进。

老样子，在窗口函数里找nMsg=0x111，wParam=3（通过xspy查的）的分支：

首先是获取Name，判断长度，合法长度是5--0x20字节。

紧接着是一个循环，处理前5个字节，生成5个字节填充到字符数组里，这里有一堆跳转就是确保生成的字节满足大小要求。

接下来：再次循环前五字节，以类似的方法生成另外5字节数字填充到字符数组的后面。

再往下就是获取序列号了：

序列号长度必须满足10字节要求。

最后就是比对环节：

取一位序列号，取一位生成字符数组，对生成数组的字符进行处理，处理完成之后，和序列号做对比，相同则判断下一位，全部相同则成功~

注册机

注册码生成算法：

string? name = Console.ReadLine();
char[] nameCheck = new char[11];
if(name!=null && name.Length >= 5 && name.Length<=0x20)
{
// 处理前5字节
byte i = 5;
while (i >0)
{
byte cl = (byte)name[5 - i];
cl ^= 0x29;
cl += i;
if(cl<0x41 || cl > 0x5A)
{
cl = 0x52;
cl += i;
}
nameCheck[5 - i] = (char)cl;
i--;
}

// 处理后五字节
i = 5;
while (i > 0)
{
byte cl = (byte)name[5 - i];
cl ^= 0x27;
cl += i;
cl += 1;
if (cl < 0x41 || cl > 0x5A)
{
cl = 0x4D;
cl += i;
}
nameCheck[10 - i] = (char)cl;
i--;
}

// 生成序列号
char[] serial = new char[11];
i = 0;
while (i < 10)
{
byte dl = (byte)nameCheck[i];
dl += 5;
if (dl > 0x5A) dl -= 0x0d;
dl ^= 0x0c;
if (dl < 0x41)
{
dl = 0x4B;
dl += i;
}
if (dl > 0x5A)
{
dl = 0x4B;
dl -= i;
}
serial[i] = (char)dl;
i++;
}

Console.WriteLine(serial);
}

效果：

2.      057-bbbs-crackme04

算法难度：⭐⭐

爆破难度：⭐

反调试：？

信息收集

运行情况：

虚拟机打开提示反调试

查壳与脱壳：

有壳，壳拖完了还是看不到导入函数名称，算了，直接带壳调试。

调试分析

反调试？

没错，这里我就是要打一个问号，我还以为用了啥反调试，搞得我不知道是咋回事，程序就是跑不起来，最后发现，这tm就是硬编码的弹窗有调试器然后退出进程，把那个函数nop掉即可。

首先是放在调试器里跑，不管壳，直接跑，跑到弹窗，然后点击暂停，找到弹窗函数调用的地方：

在网上追一层，找到最上面的函数头：是我们熟悉的窗口过程函数，这里是eax保存的是消息码。

在cmp eax,133这一行下断点，然后不断运行断下观察，在eax的值为多少之后程序弹窗，过程就不演示了，结果是eax=47时弹的窗。

再次运行，从eax=47这个分支跟下去，单步跟踪，找到跑飞的地方：

程序在这里的int 2b之后，立马就跑飞了，这里进入内核系统调用了，不知道返回到哪里了，这里在执行该指令之前，在内存布局视图中直接给代码段下断点，然后执行：

发现程序停在了刚刚会弹窗提示反调试的函数前面！！这个弹窗call的功能只有一个就是弹窗并退出进程

所以这里想要不弹窗正常启动软件，就需要把这个call给nop掉！然后跑起来就能进入程序界面了：

注册算法分析

直接就动态分析吧，这次

老样子，找窗口函数里控制码是111，参数为3eb的分支：

逻辑简单明了，获取UserId，获取Password，然后一个call，非0表示成功。

跟进call看看，接下来就用IDA来分析：

首先是判断输入情况，UserId不能为空，Pasword长度为8位。

接下来用UserId计算一个值，用Password计算一个值（atoi），然后异或一个固定值，最后进行比较。

注册机

注册码生成算法：

#include
int main()
{
char UserId[100] = { 0 };
std::cin >> UserId;

unsigned int check = 0x12345678;
for (size_t i = 0; i < strlen(UserId); i++)
check = ((check * 2) | (check >> 7)) ^ UserId[i];

check ^= 0xDDDDDDD0;
std::cout << std::hex << check;
}

效果：

3.      058-CZG-crackme1

算法难度：⭐⭐⭐

爆破难度：⭐

信息收集

运行情况：

查壳与脱壳：

无壳。

调试分析

直接IDA打开，找到窗口函数，0x111，3eb分支：

首先是获取输入的两个值。

然后这里使用UserName计算了一个数组出来。

然后就是计算比较环节，这里很奇怪，这里把数组的地址转成十进制，变成字符串，然后去计算校验码，合着刚刚算的一大堆没用是吧！！！

校验码的计算：

首先是第一段循环：循环100h次，计算一个数组，数组有100h字节。

然后是第二段循环：

给eax赋初值FFFFFFFFh，然后取一个字节，和ff异或，然后eax右移8位，和数组中的一个4字节异或

emmm，256个成员的数组，全F的初值，每次循环位移8位，这不就是CRC32算法嘛。

注册机

程序跑起来之后，在生成crc32的数组之后断下来，复制出来直接用，就不用再手动计算数组了。

注册码生成算法：

#define  _CRT_SECURE_NO_WARNINGS
#include
unsigned char arr1[8] = {
0x63, 0x72, 0x61, 0x63, 0x6B, 0x6D, 0x65, 0x00
};

unsigned char arr2[67] = {
0x36, 0x35, 0x37, 0x75, 0x74, 0x68, 0x75, 0x74, 0x64, 0x75, 0x65, 0x68, 0x64, 0x68, 0x64, 0x68,
0x64, 0x2C, 0x6C, 0x6A, 0x68, 0x67, 0x73, 0x34, 0x73, 0x67, 0x66, 0x34, 0x73, 0x35, 0x73, 0x35,
0x67, 0x73, 0x35, 0x73, 0x67, 0x35, 0x67, 0x34, 0x35, 0x73, 0x34, 0x67, 0x35, 0x64, 0x67, 0x79,
0x73, 0x68, 0x73, 0x74, 0x65, 0x5D, 0x5B, 0x67, 0x66, 0x5D, 0x66, 0x67, 0x5D, 0x66, 0x5D, 0x64,
0x5D, 0x00, 0x00
};

//------------------------------------------------------------
//-----------       Created with 010 Editor        -----------
//------         www.sweetscape.com/010editor/          ------
//
// File    : Untitled1
// Address : 0 (0x0)
// Size    : 1024 (0x400)
//------------------------------------------------------------
unsigned char hexData[1024] = {
0x00, 0x00, 0x00, 0x00, 0x96, 0x30, 0x07, 0x77, 0x2C, 0x61, 0x0E, 0xEE, 0xBA, 0x51, 0x09, 0x99,
0x19, 0xC4, 0x6D, 0x07, 0x8F, 0xF4, 0x6A, 0x70, 0x35, 0xA5, 0x63, 0xE9, 0xA3, 0x95, 0x64, 0x9E,
0x32, 0x88, 0xDB, 0x0E, 0xA4, 0xB8, 0xDC, 0x79, 0x1E, 0xE9, 0xD5, 0xE0, 0x88, 0xD9, 0xD2, 0x97,
0x2B, 0x4C, 0xB6, 0x09, 0xBD, 0x7C, 0xB1, 0x7E, 0x07, 0x2D, 0xB8, 0xE7, 0x91, 0x1D, 0xBF, 0x90,
0x64, 0x10, 0xB7, 0x1D, 0xF2, 0x20, 0xB0, 0x6A, 0x48, 0x71, 0xB9, 0xF3, 0xDE, 0x41, 0xBE, 0x84,
0x7D, 0xD4, 0xDA, 0x1A, 0xEB, 0xE4, 0xDD, 0x6D, 0x51, 0xB5, 0xD4, 0xF4, 0xC7, 0x85, 0xD3, 0x83,
0x56, 0x98, 0x6C, 0x13, 0xC0, 0xA8, 0x6B, 0x64, 0x7A, 0xF9, 0x62, 0xFD, 0xEC, 0xC9, 0x65, 0x8A,
0x4F, 0x5C, 0x01, 0x14, 0xD9, 0x6C, 0x06, 0x63, 0x63, 0x3D, 0x0F, 0xFA, 0xF5, 0x0D, 0x08, 0x8D,
0xC8, 0x20, 0x6E, 0x3B, 0x5E, 0x10, 0x69, 0x4C, 0xE4, 0x41, 0x60, 0xD5, 0x72, 0x71, 0x67, 0xA2,
0xD1, 0xE4, 0x03, 0x3C, 0x47, 0xD4, 0x04, 0x4B, 0xFD, 0x85, 0x0D, 0xD2, 0x6B, 0xB5, 0x0A, 0xA5,
0xFA, 0xA8, 0xB5, 0x35, 0x6C, 0x98, 0xB2, 0x42, 0xD6, 0xC9, 0xBB, 0xDB, 0x40, 0xF9, 0xBC, 0xAC,
0xE3, 0x6C, 0xD8, 0x32, 0x75, 0x5C, 0xDF, 0x45, 0xCF, 0x0D, 0xD6, 0xDC, 0x59, 0x3D, 0xD1, 0xAB,
0xAC, 0x30, 0xD9, 0x26, 0x3A, 0x00, 0xDE, 0x51, 0x80, 0x51, 0xD7, 0xC8, 0x16, 0x61, 0xD0, 0xBF,
0xB5, 0xF4, 0xB4, 0x21, 0x23, 0xC4, 0xB3, 0x56, 0x99, 0x95, 0xBA, 0xCF, 0x0F, 0xA5, 0xBD, 0xB8,
0x9E, 0xB8, 0x02, 0x28, 0x08, 0x88, 0x05, 0x5F, 0xB2, 0xD9, 0x0C, 0xC6, 0x24, 0xE9, 0x0B, 0xB1,
0x87, 0x7C, 0x6F, 0x2F, 0x11, 0x4C, 0x68, 0x58, 0xAB, 0x1D, 0x61, 0xC1, 0x3D, 0x2D, 0x66, 0xB6,
0x90, 0x41, 0xDC, 0x76, 0x06, 0x71, 0xDB, 0x01, 0xBC, 0x20, 0xD2, 0x98, 0x2A, 0x10, 0xD5, 0xEF,
0x89, 0x85, 0xB1, 0x71, 0x1F, 0xB5, 0xB6, 0x06, 0xA5, 0xE4, 0xBF, 0x9F, 0x33, 0xD4, 0xB8, 0xE8,
0xA2, 0xC9, 0x07, 0x78, 0x34, 0xF9, 0x00, 0x0F, 0x8E, 0xA8, 0x09, 0x96, 0x18, 0x98, 0x0E, 0xE1,
0xBB, 0x0D, 0x6A, 0x7F, 0x2D, 0x3D, 0x6D, 0x08, 0x97, 0x6C, 0x64, 0x91, 0x01, 0x5C, 0x63, 0xE6,
0xF4, 0x51, 0x6B, 0x6B, 0x62, 0x61, 0x6C, 0x1C, 0xD8, 0x30, 0x65, 0x85, 0x4E, 0x00, 0x62, 0xF2,
0xED, 0x95, 0x06, 0x6C, 0x7B, 0xA5, 0x01, 0x1B, 0xC1, 0xF4, 0x08, 0x82, 0x57, 0xC4, 0x0F, 0xF5,
0xC6, 0xD9, 0xB0, 0x65, 0x50, 0xE9, 0xB7, 0x12, 0xEA, 0xB8, 0xBE, 0x8B, 0x7C, 0x88, 0xB9, 0xFC,
0xDF, 0x1D, 0xDD, 0x62, 0x49, 0x2D, 0xDA, 0x15, 0xF3, 0x7C, 0xD3, 0x8C, 0x65, 0x4C, 0xD4, 0xFB,
0x58, 0x61, 0xB2, 0x4D, 0xCE, 0x51, 0xB5, 0x3A, 0x74, 0x00, 0xBC, 0xA3, 0xE2, 0x30, 0xBB, 0xD4,
0x41, 0xA5, 0xDF, 0x4A, 0xD7, 0x95, 0xD8, 0x3D, 0x6D, 0xC4, 0xD1, 0xA4, 0xFB, 0xF4, 0xD6, 0xD3,
0x6A, 0xE9, 0x69, 0x43, 0xFC, 0xD9, 0x6E, 0x34, 0x46, 0x88, 0x67, 0xAD, 0xD0, 0xB8, 0x60, 0xDA,
0x73, 0x2D, 0x04, 0x44, 0xE5, 0x1D, 0x03, 0x33, 0x5F, 0x4C, 0x0A, 0xAA, 0xC9, 0x7C, 0x0D, 0xDD,
0x3C, 0x71, 0x05, 0x50, 0xAA, 0x41, 0x02, 0x27, 0x10, 0x10, 0x0B, 0xBE, 0x86, 0x20, 0x0C, 0xC9,
0x25, 0xB5, 0x68, 0x57, 0xB3, 0x85, 0x6F, 0x20, 0x09, 0xD4, 0x66, 0xB9, 0x9F, 0xE4, 0x61, 0xCE,
0x0E, 0xF9, 0xDE, 0x5E, 0x98, 0xC9, 0xD9, 0x29, 0x22, 0x98, 0xD0, 0xB0, 0xB4, 0xA8, 0xD7, 0xC7,
0x17, 0x3D, 0xB3, 0x59, 0x81, 0x0D, 0xB4, 0x2E, 0x3B, 0x5C, 0xBD, 0xB7, 0xAD, 0x6C, 0xBA, 0xC0,
0x20, 0x83, 0xB8, 0xED, 0xB6, 0xB3, 0xBF, 0x9A, 0x0C, 0xE2, 0xB6, 0x03, 0x9A, 0xD2, 0xB1, 0x74,
0x39, 0x47, 0xD5, 0xEA, 0xAF, 0x77, 0xD2, 0x9D, 0x15, 0x26, 0xDB, 0x04, 0x83, 0x16, 0xDC, 0x73,
0x12, 0x0B, 0x63, 0xE3, 0x84, 0x3B, 0x64, 0x94, 0x3E, 0x6A, 0x6D, 0x0D, 0xA8, 0x5A, 0x6A, 0x7A,
0x0B, 0xCF, 0x0E, 0xE4, 0x9D, 0xFF, 0x09, 0x93, 0x27, 0xAE, 0x00, 0x0A, 0xB1, 0x9E, 0x07, 0x7D,
0x44, 0x93, 0x0F, 0xF0, 0xD2, 0xA3, 0x08, 0x87, 0x68, 0xF2, 0x01, 0x1E, 0xFE, 0xC2, 0x06, 0x69,
0x5D, 0x57, 0x62, 0xF7, 0xCB, 0x67, 0x65, 0x80, 0x71, 0x36, 0x6C, 0x19, 0xE7, 0x06, 0x6B, 0x6E,
0x76, 0x1B, 0xD4, 0xFE, 0xE0, 0x2B, 0xD3, 0x89, 0x5A, 0x7A, 0xDA, 0x10, 0xCC, 0x4A, 0xDD, 0x67,
0x6F, 0xDF, 0xB9, 0xF9, 0xF9, 0xEF, 0xBE, 0x8E, 0x43, 0xBE, 0xB7, 0x17, 0xD5, 0x8E, 0xB0, 0x60,
0xE8, 0xA3, 0xD6, 0xD6, 0x7E, 0x93, 0xD1, 0xA1, 0xC4, 0xC2, 0xD8, 0x38, 0x52, 0xF2, 0xDF, 0x4F,
0xF1, 0x67, 0xBB, 0xD1, 0x67, 0x57, 0xBC, 0xA6, 0xDD, 0x06, 0xB5, 0x3F, 0x4B, 0x36, 0xB2, 0x48,
0xDA, 0x2B, 0x0D, 0xD8, 0x4C, 0x1B, 0x0A, 0xAF, 0xF6, 0x4A, 0x03, 0x36, 0x60, 0x7A, 0x04, 0x41,
0xC3, 0xEF, 0x60, 0xDF, 0x55, 0xDF, 0x67, 0xA8, 0xEF, 0x8E, 0x6E, 0x31, 0x79, 0xBE, 0x69, 0x46,
0x8C, 0xB3, 0x61, 0xCB, 0x1A, 0x83, 0x66, 0xBC, 0xA0, 0xD2, 0x6F, 0x25, 0x36, 0xE2, 0x68, 0x52,
0x95, 0x77, 0x0C, 0xCC, 0x03, 0x47, 0x0B, 0xBB, 0xB9, 0x16, 0x02, 0x22, 0x2F, 0x26, 0x05, 0x55,
0xBE, 0x3B, 0xBA, 0xC5, 0x28, 0x0B, 0xBD, 0xB2, 0x92, 0x5A, 0xB4, 0x2B, 0x04, 0x6A, 0xB3, 0x5C,
0xA7, 0xFF, 0xD7, 0xC2, 0x31, 0xCF, 0xD0, 0xB5, 0x8B, 0x9E, 0xD9, 0x2C, 0x1D, 0xAE, 0xDE, 0x5B,
0xB0, 0xC2, 0x64, 0x9B, 0x26, 0xF2, 0x63, 0xEC, 0x9C, 0xA3, 0x6A, 0x75, 0x0A, 0x93, 0x6D, 0x02,
0xA9, 0x06, 0x09, 0x9C, 0x3F, 0x36, 0x0E, 0xEB, 0x85, 0x67, 0x07, 0x72, 0x13, 0x57, 0x00, 0x05,
0x82, 0x4A, 0xBF, 0x95, 0x14, 0x7A, 0xB8, 0xE2, 0xAE, 0x2B, 0xB1, 0x7B, 0x38, 0x1B, 0xB6, 0x0C,
0x9B, 0x8E, 0xD2, 0x92, 0x0D, 0xBE, 0xD5, 0xE5, 0xB7, 0xEF, 0xDC, 0x7C, 0x21, 0xDF, 0xDB, 0x0B,
0xD4, 0xD2, 0xD3, 0x86, 0x42, 0xE2, 0xD4, 0xF1, 0xF8, 0xB3, 0xDD, 0x68, 0x6E, 0x83, 0xDA, 0x1F,
0xCD, 0x16, 0xBE, 0x81, 0x5B, 0x26, 0xB9, 0xF6, 0xE1, 0x77, 0xB0, 0x6F, 0x77, 0x47, 0xB7, 0x18,
0xE6, 0x5A, 0x08, 0x88, 0x70, 0x6A, 0x0F, 0xFF, 0xCA, 0x3B, 0x06, 0x66, 0x5C, 0x0B, 0x01, 0x11,
0xFF, 0x9E, 0x65, 0x8F, 0x69, 0xAE, 0x62, 0xF8, 0xD3, 0xFF, 0x6B, 0x61, 0x45, 0xCF, 0x6C, 0x16,
0x78, 0xE2, 0x0A, 0xA0, 0xEE, 0xD2, 0x0D, 0xD7, 0x54, 0x83, 0x04, 0x4E, 0xC2, 0xB3, 0x03, 0x39,
0x61, 0x26, 0x67, 0xA7, 0xF7, 0x16, 0x60, 0xD0, 0x4D, 0x47, 0x69, 0x49, 0xDB, 0x77, 0x6E, 0x3E,
0x4A, 0x6A, 0xD1, 0xAE, 0xDC, 0x5A, 0xD6, 0xD9, 0x66, 0x0B, 0xDF, 0x40, 0xF0, 0x3B, 0xD8, 0x37,
0x53, 0xAE, 0xBC, 0xA9, 0xC5, 0x9E, 0xBB, 0xDE, 0x7F, 0xCF, 0xB2, 0x47, 0xE9, 0xFF, 0xB5, 0x30,
0x1C, 0xF2, 0xBD, 0xBD, 0x8A, 0xC2, 0xBA, 0xCA, 0x30, 0x93, 0xB3, 0x53, 0xA6, 0xA3, 0xB4, 0x24,
0x05, 0x36, 0xD0, 0xBA, 0x93, 0x06, 0xD7, 0xCD, 0x29, 0x57, 0xDE, 0x54, 0xBF, 0x67, 0xD9, 0x23,
0x2E, 0x7A, 0x66, 0xB3, 0xB8, 0x4A, 0x61, 0xC4, 0x02, 0x1B, 0x68, 0x5D, 0x94, 0x2B, 0x6F, 0x2A,
0x37, 0xBE, 0x0B, 0xB4, 0xA1, 0x8E, 0x0C, 0xC3, 0x1B, 0xDF, 0x05, 0x5A, 0x8D, 0xEF, 0x02, 0x2D
};


int main()
{
char name[100] = { 0 };
std::cin >> name;
int len = strlen("plmm: 0xAAAAAAAA");

// 没用！！！！
//char str[100] = { 0 };
//for (size_t i = 0; i < 6; i++)
//{
//  char tmp = arr1[i] & arr2[i];
//  name[i] = tmp;
//  name[i] &= arr1[i];
//  name[i] ^= arr2[i];
//  name[i] += i;
//  str[i] = name[i];
//}

const char* str1 = "4339744";
unsigned int eax = 0xFFFFFFFF;
for (int i = 0; i < 6; i++)
{
unsigned char edx = str1[i];
edx ^= eax;
eax >>= 8;
eax ^= *(unsigned int*)(hexData +edx*4);
}
eax ^= 0xffffffff;

char check_code[100] = { 0 };
sprintf(check_code,"plmm: 0x%08X",eax);
std::cout << check_code;
}

效果：

总结

应该是代码写错了，按理说应该是用Name生成一个数组，然后用生成的这个数组计算crc，程序员写成了用生成数组的地址计算crc，一下子变成硬编码了。

4.      059-Dope2112.1

算法难度：⭐⭐⭐（跳转表）

爆破难度：⭐

信息收集

运行情况：

查壳与脱壳：

调试分析

老版本delphi程序。

输入错误信息，看提示：

通过x86dbg去搜索字符串，找到这个校验函数：sub_421B84，去IDA里搜索这个位置，然后同时用DelphiDecompiler打开这个程序辅助分析。

首先是处理一下输入，用户名需要大于等于6字符，然后全部变成小写。

然后是进入循环了，取一个字节，减去'a'，然后以此为索引去跳转，这就是switch-case语句的跳转表的形式，每个分支都有不同的处理。

跳转分支里的内容是赋值，然后出来之后就是把赋值的值累加到1字节里，总共循环6次。

再往下就是常规的字符串拼接和对比了：

注册机

注册码生成算法：

#include
#include
#include
using namespace std;
int main()
{
string  name="";
string serial="";
int len;

std::cin >> name;
len = name.length();
transform(name.begin(), name.end(), name.begin(), ::tolower);

uint8_t dl;
uint8_t bl=0;
for (int i = 0; i != 6; ++i)
{
switch (name[i])
{
case 'a':
dl = 24;
break;
case 'b':
dl = 37;
break;
case 'c':
dl = 66;
break;
case 'd':
dl = 12;
break;
case 'e':
dl = 13;
break;
case 'f':
dl = 6;
break;
case 'g':
dl = 54;
break;
case 'h':
dl = 43;
break;
case 'i':
dl = 23;
break;
case 'j':
dl = 47;
break;
case 'k':
dl = 19;
break;
case 'l':
dl = -126;
break;
case 'm':
dl = -101;
break;
case 'n':
dl = -110;
break;
case 'o':
dl = 3;
break;
case 'p':
dl = 99;
break;
case 'q':
dl = 33;
break;
case 'r':
dl = 66;
break;
case 's':
dl = 92;
break;
case 't':
dl = 41;
break;
case 'u':
dl = -57;
break;
case 'v':
dl = 102;
break;
case 'w':
dl = 88;
break;
case 'x':
dl = 10;
break;
case 'y':
dl = 40;
break;
case 'z':
dl = 80;
break;
default:
dl = 93;
break;
}
bl += dl;
}
cout << (int)bl << "-" << len * 0x4a7e;
}

效果：

5.      060-snake

算法难度：⭐⭐⭐⭐⭐

爆破难度：⭐

信息收集

运行情况：

查壳与脱壳：

调试分析

Check按钮事件

老样子，IDA打开，找到Check按钮的事件分支：

首先是获取Name和Serial，为空会提示。

然后一个call验证Serial合法性，不行就弹窗提示。

这个call的内容如下：判断内容要由数字和大写字母组成。

再往下就是三个call和弹窗提示验证是否成功了：

验证过程--第1个Call

验证过程主要是3个call

首先是第一个call：

内容较少，简单来说就是填充数组，填充16个FF，然后填充16*16个00，然后再填充16个F

验证过程--第2个Call

第2个Call内容多点，首先是对输入的Name进行处理，累加每一个字符，得到一个累加值，保存到dl。

接下来生成CC，通过累加值dl和取出来的字节进行异或，得到数组索引，该位置是0就往该位置填充CC，计数CC的数量。

累加值异或字节，然后用过的累加值再减去字节值，来使得CC随机分布，但最终取决于输入的Name。

再往下就是填充DD，总共填充一个，接着用刚刚填充CC的位置计算方法进行。

再往后就是填充99：

直接用计算到最后的dl作为索引进行，如果是00，就填充为99，否则就往前挪一格再次判断，最后保存99的地址。

使用字符串selph生成一个地图看看：

验证过程--第3个Call

到这里已经很明显的感觉到了，16*16的地图，生成了很多CC，然后有一个DD，一个99，再加上程序名snake，这就是一个贪吃蛇啊。

第一个call开辟空间，第二个call布置场地，第三个call理所应当就是开始游戏了！

首先获取当前位置和序列号，通过序列号的输入来进行移动。

首先是判断输入是否是数字，是数字则直接进行移动，这里的移动是通过加减数组的索引进行的。

判断方式是这样进行的：取数字的后两位：

– 00：向下一格

– 01：向上一格

– 10：向左一格

– 11：向右一格

如果数字不只是后两位有值，则执行完用前两位再次走一遍判断，比如9，就是1001，就是上左移动一格，如果输入的是大写字母的话，也是类似的，具体可见反汇编这一段的计算过程。

计算完移动方向之后，该进行移动判断了：

如果下一个位置是0，或者CC，都跳转去执行，如果是99则返回0失败，如果是DD且没吃完CC，也返回0失败，如果是CC吃完了，就是返回1成功。

首先看如果下一个位置是00怎么处理：

调用一个call，就是走格子用的，然后判断是否有高2位，有的话再按高2位走一遍，没有的话，获取下一个字符进入下一个循环。

接下来看看这个走格子的call：

首先是获取当前格子的新位置，起始位置，把新位置写入99，把当前位置写入00

然后edi+4进行判断，edi里装的是个数组，数组成员是当前蛇的身子的位置，当长度大于1的时候，edi+4就是第二个位置，有值的时候，把刚刚写入0的位置作为新位置，把身子的位置作为当前位置，再次进行相同的操作。

视觉效果就是，身子跟着头一起移动了。

回到刚刚的循环里，如果移动遇到了CC则再次执行这个移动的函数，同时给count计数-1，这个count变量保存的是当前场上CC的数量。

然后把这个函数清零的位置变成99，也就是让蛇身子最后一个位置本来清零了，结果又填充回99，同时把新的位置加入到身子数组里。

到这里，整个程序的逻辑分析完整了，就是贪吃蛇，吃完所有CC走到DD即可验证通过。

注册机

注册码生成算法：

#include
#include
using namespace std;

uint8_t areas[18][16] = {0};
uint8_t countCC = 0;
uint8_t snake[10][2] = {0};
uint8_t pos[10][2] = { 0 };

void GenerateAreas(string str) {
// 场地生成
memset(&areas[0], 0xFF, 0x10);
memset(&areas[1], 0, 0x100);
memset(&areas[17], 0xFF, 0x10);

// 填充CC
uint8_t* areasBegin = (uint8_t*)&areas[1];
uint8_t sum = 0;
uint8_t tmp = 0;
for (auto var : str) sum += var;
for (auto var : str) {
tmp = var ^ sum;
sum -= tmp;
*(areasBegin + tmp) = 0xCC;
// 保存坐标
pos[countCC][0] = tmp / 16;
pos[countCC][1] = tmp % 16;
countCC++;
}

// 填充DD
sum ^= tmp;
for (; *(areasBegin + (tmp -= sum)) == 0xCC; sum--);
*(areasBegin + tmp) = 0xDD;
pos[countCC][0] = tmp / 16;
pos[countCC][1] = tmp % 16;;

// 填充99
tmp = sum;
for (; *(areasBegin + tmp) == 0xCC || *(areasBegin + tmp) == 0xDD; tmp--);
*(areasBegin + tmp) = 0x99;
snake[0][0] = tmp / 16;
snake[0][1] = tmp % 16;
countCC++;
}

int main()
{
GenerateAreas("selph");

// 生成注册码：长度短的情况下，不用考虑自己咬到自己
uint8_t x = snake[0][0];
uint8_t y = snake[0][1];
for (int i = 0; i<countcc; i="">         uint8_t xCC = pos[i][0];
uint8_t yCC = pos[i][1];
if (yCC - y >= 0) for (int i = 0; i < yCC - y; i++)cout << "3";
else for (int i = 0; i < y - yCC; i++)cout << "2";

if (xCC - x >= 0) for (int i = 0; i < xCC - x; i++)cout << "0";
else for (int i = 0; i < x - xCC; i++)cout << "1";

x = xCC;
y = yCC;
}
}</countcc;>

效果：

selph
33333333333333311222222200000031111333111111222200000000000

总结

有趣的验证方式，通过输入的用户名生成贪吃蛇地图，通过密码来进行移动，吃完豆子CC，走到终点DD算验证通过，很有趣的一次逆向体验。