本次練習(xí)破解注冊(cè)碼使用的是一款商業(yè)軟件，所以沒有提供下載地址。這里簡(jiǎn)記為xxx.app。運(yùn)行后，有注冊(cè)License的界面。輸入郵箱和Serial即可。注冊(cè)后的效果如圖。

Snip20171026_2.png

這個(gè)序列號(hào)是怎么算出來的呢？這里使用了一個(gè)通用的技巧——self-keygen，或者叫auto-keygen。即通過動(dòng)態(tài)運(yùn)行程序，讓程序自己告訴我們Serial。能這樣做的原因在于，通常，程序會(huì)根據(jù)輸入的條件如郵箱，計(jì)算出正確的Serial，保存在內(nèi)存某處，然后和輸入的Serial比較。如果相等，就通過驗(yàn)證。所以，只要在內(nèi)存中偷出這Serial，便可以得出注冊(cè)碼，不用研究如何去復(fù)制Serial的生成算法。

0x1 代碼靜態(tài)分析

在Hopper中打開目標(biāo)程序。很容易找到判斷是否為注冊(cè)的地方。
在程序的入口有如下代碼。即initializeWithLicenseSecret方法中判斷。

0000000100001e64         mov        rsi, r15                                    ; argument "selector" for method _objc_msgSend
0000000100001e67         call       r14                                         ; _objc_msgSend
0000000100001e6a         mov        rdi, rax                                    ; argument "instance" for method imp___stubs__objc_retainAutoreleasedReturnValue
0000000100001e6d         call       imp___stubs__objc_retainAutoreleasedReturnValue
0000000100001e72         mov        rbx, rax
0000000100001e75         mov        rsi, qword [0x1000ad508]                    ; @selector(initializeWithLicenseSecret:storeURL:daysForTrial:), argument "selector" for method _objc_msgSend
0000000100001e7c         lea        rdx, qword [cfstring_secretPa__wordForXXX] ; @"secretd*****"
0000000100001e83         lea        rcx, qword [cfstring_http_xxx_php] ; @"xxx.php"
0000000100001e8a         mov        r8d, 0x7
0000000100001e90         mov        rdi, rbx                                    ; argument "instance" for method _objc_msgSend
0000000100001e93         call       r14                                         ; _objc_msgSend
0000000100001e96         mov        rdi, rbx                                    ; argument "instance" for method _objc_release
0000000100001e99         call       qword [_objc_release_1000881e8]             ; _objc_release
0000000100001e9f         mov        rdi, qword [rbp+var_30]                     ; argument "instance" for method _objc_release
0000000100001ea3         mov        rax, qword [_objc_release_1000881e8]
0000000100001eaa         add        rsp, 0x8
0000000100001eae         pop        rbx
0000000100001eaf         pop        r12
0000000100001eb1         pop        r13
0000000100001eb3         pop        r14
0000000100001eb5         pop        r15
0000000100001eb7         pop        rbp
0000000100001eb8         jmp        rax                                         ; _objc_release
                        ; endp

但是在程序其他部分，卻找不到initializeWithLicenseSecret實(shí)現(xiàn)。后來發(fā)現(xiàn)原來是Framework中的方法。即程序?qū)Ⅱ?yàn)證邏輯放入了專門的Framework中。見下圖Framework文件夾。

Snip20171027_1.png

在Hopper中打開Framework，發(fā)現(xiàn)isLicensed方法有如下代碼。loc_61e78 中l(wèi)icenseForEmailAddress為計(jì)算Serial的方法，然后調(diào)用isEqualToString方法比較是否與輸入相等。接著看此licenseForEmailAddress方法，發(fā)現(xiàn)最終調(diào)用licenseForEmailAddress:withSecret:計(jì)算注冊(cè)碼。所以在動(dòng)態(tài)運(yùn)行時(shí)，只要獲取此函數(shù)的輸出即可。

0000000000061e55         mov        rbx, rdi
0000000000061e58         call       qword [_objc_msgSend_25b2e8]                ; _objc_msgSend
0000000000061e5e         cmp        rax, 0x3
0000000000061e62         jae        loc_61e78

0000000000061e64         xor        r12d, r12d
0000000000061e67         jmp        loc_61db3

                    loc_61e6c:
0000000000061e6c         xor        r12d, r12d                                  ; CODE XREF=-[License isLicensed]+574
0000000000061e6f         mov        rdi, qword [rbp+var_30]
0000000000061e73         jmp        loc_61db6

                    loc_61e78:
0000000000061e78         mov        rsi, qword [0x2c3c48]                       ; @selector(licenseForEmailAddress:), argument "selector" for method _objc_msgSend, CODE XREF=-[HSLicense isLicensed]+640
0000000000061e7f         mov        rdi, r14                                    ; argument "instance" for method _objc_msgSend
0000000000061e82         mov        rdx, r13
0000000000061e85         call       r15                                         ; _objc_msgSend
0000000000061e88         mov        rdi, rax                                    ; argument "instance" for method imp___stubs__objc_retainAutoreleasedReturnValue
0000000000061e8b         call       imp___stubs__objc_retainAutoreleasedReturnValue
0000000000061e90         mov        r14, rax
0000000000061e93         mov        rsi, qword [0x2c0b28]                       ; @selector(isEqualToString:), argument "selector" for method _objc_msgSend
0000000000061e9a         mov        rdi, r14                                    ; argument "instance" for method _objc_msgSend
0000000000061e9d         mov        rdx, rbx
0000000000061ea0         call       r15                                         ; _objc_msgSend
0000000000061ea3         mov        r12b, al
0000000000061ea6         mov        rdi, r14                                    ; argument "instance" for method _objc_release
0000000000061ea9         call       qword [_objc_release_25b2f8]                ; _objc_release
0000000000061eaf         jmp        loc_61db3

0x2 動(dòng)態(tài)分析

由于需要調(diào)試的代碼位于Framework中，不方便動(dòng)態(tài)運(yùn)行調(diào)試，所以選擇了Mac OS X自帶的lldb debug工具。唯一的區(qū)別是沒有操作界面，純Command Line。
首先運(yùn)行l(wèi)ldb，啟動(dòng)程序，并輸入郵箱。使用下面命令設(shè)置好BreakPoint。

br s -n licenseForEmailAddress:withSecret:

Snip20171027_4.png

接著使用di命令，反匯編當(dāng)前函數(shù)。

Snip20171027_6.png

可以看到 0x100467a01 uppercaseString方法為計(jì)算Serial的最后一步。所以在此處設(shè)置斷點(diǎn)。

 br s -a 0x100467a01

單步運(yùn)行，根據(jù)Hopper靜態(tài)代碼分析，知r15保存最終結(jié)果。
使用lldb memory read命令打印內(nèi)存，在輸出中即可得到注冊(cè)碼。如下圖中B9D3C9-816381-FC5AA0-75B626-C7564D。

0x1098a4b90: 22 42 39 44 33 43 39 2d 38 31 36 33 38 31 2d 46  "B9D3C9-816381-F
0x1098a4ba0: 43 35 41 41 30 2d 37 35 42 36 32 36 2d 43 37 35  C5AA0-75B626-C75
0x1098a4bb0: 36 34 44 00 00 00 00 00 00 00 00 00 00 00 00 00  64D.............

8.png

代入程序驗(yàn)證Success。：）！