国外某网络软件
加密分析，该程序使用Armadillo加壳，并使用网络验证，每次运行需要从该公司服务器申请执行许可。
通过IRIS监听验证过程，发现他的验证过程基于http协议，服务器端为asp，可以用比较简单的方法实现模拟验证服务器
他的详细验证过程如下
软件启动
请求4ceK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3g2^5j5h3#2H3L8r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6Y4k6i4c8$3k6i4u0Q4x3X3g2S2M7%4l9`.
返回字符串 3.45 （比较软件本身版本号,=3.45则不提示升级）
获取硬盘物理序号并按照一定的规则转换成硬件码 (结果为212487602000，我的硬盘生成的是这个硬件码)
注册表读取用户名和注册码（已注册用户的用户名和注册码被写入注册表）
从注册表未能获取用户信息和注册码，提示注册,已注册则跳过下一步。
输入用户名netx注册码441363-112460-365001-427305，点击注册
软件提交数据到服务器验证
请求13cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3g2^5j5h3#2H3L8r3g2Q4x3X3g2U0L8$3#2Q4x3V1k6Y4k6h3&6Q4x3X3g2S2M7%4m8Q4x3@1k6Z5i4K6y4p5x3U0p5J5y4o6R3%4y4U0l9J5x3o6l9H3i4K6t1$3N6g2)9K6c8r3&6W2N6s2S2Q4x3U0k6U0i4K6y4p5y4o6b7I4x3K6j5K6i4K6u0V1x3e0p5J5y4o6j5H3i4K6u0V1x3K6j5#2x3o6l9I4i4K6u0V1y4o6t1%4x3K6l9#2
合法验证，返回程序运行许可字串示例：08f08f08f08f08f09f08f09f09f07f02e02e02e02e02e.47e13f09f14e13e13e13e13e13e13e13e13e13e13e12e08f08f08f08f08f57f17e13e26f23f23f23f23f23f23f24f24f24f23f20f22e
该字串随软件运行时间，用户名变化而变化
软件启动完成，各个功能正常使用。

不合法返回:error!
软件各个功能不能正常使用。

已有合法注册码一组，现需要多台机器使用。破解方法如下：
修改系统system32\drivers\etc\目录下的hosts文件
增加解析记录
127.0.0.1       localhost
10.9.163.1      eb8K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3g2^5j5h3#2H3L8r3g2Q4x3X3g2U0L8$3@1`. #将验证服务器域名解析到本部门web服务器10.9.163.1 或者如下
#127.0.0.1      28cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3g2^5j5h3#2H3L8r3g2Q4x3X3g2U0L8$3#2Q4x3U0y4Q4c8e0g2Q4b7U0m8Q4z5o6k6Q4c8e0W2Q4b7f1q4Q4z5p5y4Q4c8e0S2Q4b7f1k6Q4z5o6q4Q4c8e0k6Q4z5f1y4Q4z5p5c8Q4c8e0g2Q4z5p5q4Q4b7e0q4Q4c8e0g2Q4z5e0W2Q4b7e0S2Q4c8e0g2Q4z5f1k6Q4z5f1k6Q4c8e0g2Q4z5e0m8Q4z5p5c8Q4c8e0S2Q4b7e0N6Q4b7e0y4Q4c8e0k6Q4z5f1g2Q4z5e0m8Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0k6Q4z5f1y4Q4b7f1y4Q4c8e0k6Q4z5f1y4Q4b7V1p5`.

在本机IIS根目录或者web服务器根目录下建立getver.asp，gen.asp

getver.asp内容为3.45

gen.asp内容为
<%
dim Http
set Http=server.createobject("MSXML2.XMLHTTP")
Http.open "GET","8e7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0j5%4i4K6u0W2x3e0g2Q4x3X3f1K6y4q4)9J5k6g2S2j5h3q4)9J5c8X3N6W2L8W2)9J5k6h3q4K6M7q4)9K6c8X3S2Q4x3@1b7J5x3e0t1@1z5o6M7$3x3o6t1H3x3o6m8Q4x3U0k6#2i4K6y4p5L8X3g2@1P5q4)9J5y4X3y4Q4x3@1b7@1y4o6p5K6y4U0y4Q4x3X3b7I4x3e0t1@1y4U0m8Q4x3X3b7K6y4U0f1H3x3o6q4Q4x3X3b7@1x3U0M7K6x3o6f1`.",false
'67.15.34.XXX为d1fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3g2^5j5h3#2H3L8r3g2Q4x3X3g2U0L8$3#2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0N6Q4z5f1y4Q4z5f1k6Q4c8e0g2Q4b7f1g2Q4z5f1g2u0f1q4!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9&6b7W2!0m8x3q4!0q4y4q4!0n7z5q4!0n7b7g2!0q4z5q4!0m8c8W2!0m8y4g2!0q4y4g2)9&6c8W2)9&6c8W2!0q4y4g2)9&6x3q4)9^5c8q4!0q4y4g2!0n7y4#2!0n7x3W2!0q4y4#2!0n7b7W2)9^5c8W2!0q4z5q4!0m8x3W2!0m8b7W2!0q4z5q4!0n7c8q4!0m8b7#2!0q4y4g2)9&6x3q4)9&6x3g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9^5z5g2)9^5x3q4!0q4y4q4!0n7b7W2!0m8y4g2!0q4y4W2!0m8c8q4!0m8y4q4!0q4y4g2!0m8y4q4)9^5y4q4!0q4z5g2)9&6b7#2)9^5x3q4!0q4z5q4!0m8y4W2)9^5x3g2!0q4y4q4!0n7c8q4!0n7c8W2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4#2)9&6b7#2)9&6c8W2!0q4y4g2!0m8c8g2)9&6c8f1W2b7
Http.send()
Response.write Http.responseText;
set http=nothing
%>

至此，运行软件，软件已经被欺骗到你指定的服务器进行验证，不论你的硬件id，和用户，注册码如何，都能通过自己的验证服务器获得合法的运行许可。

总结，该软件过于侧重自己的网络验证，忽视了基本的本地验证，获取的许可字串也没有经过严格本地的校验，直接应用于软件各个功能模块的许可判断。而且这个网络验证似乎太简单了，写出来不知道对大家有没有参考价值。

2005/7/24 网网 QQ:108508999

[培训]科锐逆向工程师培训第53期2025年7月8日开班！