[COLOR=blue]此文章和OICQ本身没有什么联系,我只是想讲一下程序破解的原理和方法,我在这里会尽量用易懂的语言来描述,如果你是一个初学者,那么,此文就是为你而写的。
首先,在OICQ目录下,每个使用者号码下有一个叫matrix.cnt的文件,此文件的长度是20字节,它的内容就是此号码的原密码经过加密后对应的密文。要证明这一点非常容易,只要稍有一点电脑能力的人都可以证明,所以这里我就不费口舌了。在正式开始前,请用二进制编辑器打开此文件,熟悉一下内容。
启动OICQ,出现OICQ用户登录画面,选择你自己的号码,然后输入一个错误的密码,此时按CTRL+D进入SOFTICE画面,设置断点。我们事先应该都知道OICQ检查密码是否正确的工作原理,即:先用GetWindowText()来取得密码框中的密码字符串,将此字符串用其内定的算法进行加密,得出加密后的密文,然后从磁盘中读取matrix.cnt,与用户输入的密码的加密结果进行比较,如果相同,则用户输入的密码为正确密码。(或者先读文件,后读取密码框中的值)跟据这个原理,这们应该把断点设在readfile上,即输入:bpx readfile。返回程序界面,点击“登录”,出现SOFTICE的画面,指针停在KERNEL32!READFILE上。按一下F12跳过此函数,将进入OICQ的领空。
我们现在要做的就是特别注意转折语句,就是JZ,JNZ,JMP等第一个字符是J的语句。因为这们己经假设,程序中必定存在一行转折语句,当用户输入的是正解密码时,它跳转(或不跳转),而当用户输入错误密码时,它不跳转(或跳转)。小心地按F10单步执行代码,在出现转折语句处设下一断点(只是做一个记号),并且记录它们的跳转情况(榉岣徽咧滥睦镉斜匾露系愣睦锩挥斜匾钡匠绦虺鱿置苈氪砦蟮亩曰翱蛭埂?br> 这时候你可能己经花去了1分钟的时间。好的,现在输入正确的密码作为比较。同样单步地执行代码,你将看到上次你在跳转语句上作的记号。比较两次的跳转是否相同。
你将看到,当程序运行到这里时,前后两次的跳转方向不同:
.
00441C1B call 0046c256
00441C20 cmp eax, ebx
00441C22 jz 00441C28----->就是这里!
00441C24 mov esi, edi
.
分析一下这几个代码,它首先调用函数0046C256,然后比较EAX与EBX的值,如果EAX与EBX的值相同,就跳转。我们重新执行程序,发现当输入正确密码时,EAX=1,当输入错误密码时,EAX=0,而EBX总是0。所以,函数0046C256是一个可疑的函数!
按F8进入函数0046C256,我们要看看它做了什么工作。
:0046C256 mov eax, 004CD33C
:0046C25B call 00486B88
:0046C260 sub esp, 00000010
:0046C263 push esi
:0046C264 push edi
:0046C265 mov esi, ecx
:0046C267 mov eax, dword ptr [ebp+08]
:0046C26A and dword ptr [ebp-04], 00000000
:0046C26E push [eax-08]
:0046C271 push eax
:0046C272 lea eax, dword ptr [ebp-1C]
:0046C275 push eax
:0046C276 call 00456718
:0046C27B add esp, 0000000C
:0046C27E push 00000001
:0046C280 pop edi
:0046C281 cmp dword ptr [esi+04], edi
:0046C284 jbe 0046C29E
:0046C286 lea eax, dword ptr [ebp-1C]
:0046C289 push 00000010
:0046C28B push eax
:0046C28C lea eax, dword ptr [ebp-1C]
:0046C28F push eax
:0046C290 call 00456718
:0046C295 add esp, 0000000C
:0046C298 inc edi
:0046C299 cmp edi, dword ptr [esi+04]
:0046C29C jb 0046C286
:0046C29E int 03
:0046C29F mov byte ptr [eax], 6A
:0046C2A2 adc byte ptr [ebp+5056E445], cl
:0046C2A8 call 00487900
:0046C2AD mov esi, eax
:0046C2AF add esp, 0000000C
:0046C2B2 neg esi
:0046C2B4 sbb esi, esi
:0046C2B6 or dword ptr [ebp-04], FFFFFFFF
:0046C2BA lea ecx, dword ptr [ebp+08]
:0046C2BD inc esi
:0046C2BE call 004A0665
:0046C2C3 int 03
:0046C2C4 dec ebp
:0046C2C5 hlt
:0046C2C6 mov eax, esi
:0046C2C8 pop edi
:0046C2C9 pop esi
:0046C2CA mov dword ptr fs:[00000000], ecx
:0046C2D1 leave
:0046C2D2 ret 0004
.
按F10单步执行。我们发现在这个函数中有一个非常有意思的地方:
:0046C286 lea eax, dword ptr [ebp-1C]
:0046C289 push 00000010
:0046C28B push eax
:0046C28C lea eax, dword ptr [ebp-1C]
:0046C28F push eax
:0046C290 call 00456718
:0046C295 add esp, 0000000C
:0046C298 inc edi
:0046C299 cmp edi, dword ptr [esi+04]
:0046C29C jb 0046C286
程序反复地执行这些代码!
为了能看的更清楚些,我用C++语言来简述这几个语句:
for( long i=0 ; i< *(esi+04) ; i++)
{
eax=*(ebp-1c);
调用函数 00456718;
}
就是说,函数00456718要被调用很多次,这个次数就是ESI+04的值,用D ESI+04命令来查看其值,天哪!这不是
[/COLOR] | 
