（1）序列號(hào)保護(hù)機(jī)制 　　數(shù)學(xué)算法一項(xiàng)都是密碼加密的核心，但在一般的軟件加密中，它似乎并不太為人們關(guān)心，因?yàn)榇蠖鄶?shù)候軟件加密本身實(shí)現(xiàn)的都是一種編程的技巧。但近幾年來隨著序列號(hào)加密程序的普及，數(shù)學(xué)算法在軟件加密中的比重似乎是越來越大了。
　　我們先來看看在網(wǎng)絡(luò)上大行其道的序列號(hào)加密的工作原理。當(dāng)用戶從網(wǎng)絡(luò)上下載某個(gè)shareware——共享軟件后，一般都有使用時(shí)間上的限制，當(dāng)過了共享軟件的試用期后，你必須到這個(gè)軟件的公司去注冊(cè)后方能繼續(xù)使用。注冊(cè)過程一般是用戶把自己的私人信息（一般主要指名字）連同信用卡號(hào)碼告訴給軟件公司，軟件公司會(huì)根據(jù)用戶的信息計(jì)算出一個(gè)序列碼，在用戶得到這個(gè)序列碼后，按照注冊(cè)需要的步驟在軟件中輸入注冊(cè)信息和注冊(cè)碼，其注冊(cè)信息的合法性由軟件驗(yàn)證通過后，軟件就會(huì)取消掉本身的各種限制，這種加密實(shí)現(xiàn)起來比較簡(jiǎn)單，不需要額外的成本，用戶購買也非常方便，在互聯(lián)網(wǎng)上的軟件80%都是以這種方式來保護(hù)的。
　　我們注意到軟件驗(yàn)證序列號(hào)的合法性過程，其實(shí)就是驗(yàn)證用戶名和序列號(hào)之間的換算關(guān)系是否正確的過程。其驗(yàn)證最基本的有兩種，一種是按用戶輸入的姓名來生成注冊(cè)碼，再同用戶輸入的注冊(cè)碼比較，公式表示如下：
　　序列號(hào) = F（用戶名）
　　但這種方法等于在用戶軟件中再現(xiàn)了軟件公司生成注冊(cè)碼的過程，實(shí)際上是非常不安全的，不論其換算過程多么復(fù)雜，解密者只需把你的換算過程從程序中提取出來就可以編制一個(gè)通用的注冊(cè)程序。

　　另外一種是通過注冊(cè)碼來驗(yàn)證用戶名的正確性，公式表示如下：
　　用戶名稱 = F逆（序列號(hào)） （如ACDSEE,小樓注）
　　這其實(shí)是軟件公司注冊(cè)碼計(jì)算過程的反算法，如果正向算法與反向算法不是對(duì)稱算法的話，對(duì)于解密者來說，的確有些困難，但這種算法相當(dāng)不好設(shè)計(jì)。

　　于是有人考慮到一下的算法：
　　F1（用戶名稱） = F2（序列號(hào)）
　　F1、F2是兩種完全不同的的算法，但用戶名通過F1算法的計(jì)算出的特征字等于序列號(hào)通過F2算法計(jì)算出的特征字，這種算法在設(shè)計(jì)上比較簡(jiǎn)單，保密性相對(duì)以上兩種算法也要好的多。如果能夠把F1、F2算法設(shè)計(jì)成不可逆算法的話，保密性相當(dāng)?shù)暮�；可一旦解密者找到其中之一的反算法的話，這種算法就不安全了。一元算法的設(shè)計(jì)看來再如何努力也很難有太大的突破，那么二元呢？

　　特定值 = F（用戶名，序列號(hào)）
　　這個(gè)算法看上去相當(dāng)不錯(cuò)，用戶名稱與序列號(hào)之間的關(guān)系不再那么清晰了，但同時(shí)也失去了用戶名于序列號(hào)的一一對(duì)應(yīng)關(guān)系，軟件開發(fā)者必須自己維護(hù)用戶名稱與序列號(hào)之間的唯一性，但這似乎不是難以辦到的事，建個(gè)數(shù)據(jù)庫就好了。當(dāng)然你也可以根據(jù)這一思路把用戶名稱和序列號(hào)分為幾個(gè)部分來構(gòu)造多元的算法。
　　特定值 = F（用戶名1，用戶名2，...序列號(hào)1，序列號(hào)2...）

　　現(xiàn)有的序列號(hào)加密算法大多是軟件開發(fā)者自行設(shè)計(jì)的，大部分相當(dāng)簡(jiǎn)單。而且有些算法作者雖然下了很大的功夫，效果卻往往得不到它所希望的結(jié)果。其實(shí)現(xiàn)在有很多現(xiàn)成的加密算法可以用，如RSADES,MD4,MD5,只不過這些算法是為了加密密文或密碼用的，于序列號(hào)加密多少有些不同。我在這里試舉一例，希望有拋磚引玉的作用：
　　1、在軟件程序中有一段加密過的密文S
　　2、密鑰 = F（用戶名、序列號(hào)） 用上面的二元算法得到密鑰
　　3、明文D = F-DES（密文S、密鑰） 用得到的密鑰來解密密文得到明文D
　　4、CRC = F-CRC（明文D） 對(duì)得到的明文應(yīng)用各種CRC統(tǒng)計(jì)
　　5、檢查CRC是否正確。最好多設(shè)計(jì)幾種CRC算法，檢查多個(gè)CRC結(jié)果是否都正確
　　用這種方法，在沒有一個(gè)已知正確的序列號(hào)情況下是永遠(yuǎn)推算不出正確的序列號(hào)的。

（2）如何攻擊序列號(hào)保護(hù)

　　要找到序列號(hào)，或者修改掉判斷序列號(hào)之后的跳轉(zhuǎn)指令，最重要的是要利用各種工具定位判斷序列號(hào)的代碼段。這些常用的API包括GetDlgItemInt, GetDlgItemTextA, GetTabbedTextExtentA, GetWindowTextA, Hmemcpy (僅僅Windows 9x), lstrcmp, lstrlen, memcpy (限于NT/2000)。

1）數(shù)據(jù)約束性的秘訣
　　這個(gè)概念是+ORC提出的，只限于用明文比較注冊(cè)碼的那種保護(hù)方式。在大多數(shù)序列號(hào)保護(hù)的程序中，那個(gè)真正的、正確的注冊(cè)碼或密碼（Password）會(huì)于某個(gè)時(shí)刻出現(xiàn)在內(nèi)存中，當(dāng)然它出現(xiàn)的位置是不定的，但多數(shù)情況下它會(huì)在一個(gè)范圍之內(nèi)，即存放用戶輸入序列號(hào)的內(nèi)存地址±0X90字節(jié)的地方。這是由于加密者所用工具內(nèi)部的一個(gè)Windows數(shù)據(jù)傳輸?shù)募s束條件決定的。

2）Hmemcpy函數(shù)（俗稱萬能斷點(diǎn)）
　　函數(shù)Hmemcpy是Windows9x系統(tǒng)的內(nèi)部函數(shù)，位于KERNEL32.DLL中，它的作用是將內(nèi)存中的一塊數(shù)據(jù)拷貝到另一個(gè)地方。由于Windows9x系統(tǒng)頻繁使用該函數(shù)處理各種字串，因此用它作為斷點(diǎn)很實(shí)用，它是Windows9x平臺(tái)最常用的斷點(diǎn)。在Windows NT/2K中沒有這個(gè)斷點(diǎn)，因?yàn)槠鋬?nèi)核和Windows9x完全不同。

3）S命令
　　由于S命令忽略不在內(nèi)存中的頁面，因此你可以使用32位平面地址數(shù)據(jù)段描述符30h在整個(gè)4GB（0~FFFFFFFFh ）空間查找，一般用在Windows9x下面。具體步驟為：先輸入姓名或假的序列號(hào)（如： 78787878），按Ctrl+D切換到SoftICE下，下搜索命令：
　　s 30：0 L ffffffff '78787878'
　　會(huì)搜索出地址：ss：ssssssss（這些地址可能不止一個(gè)），然后用bpm斷點(diǎn)監(jiān)視搜索到的假注冊(cè)碼，跟蹤一下程序如何處理輸入的序列號(hào)，就有可能找到正確的序列號(hào)。

4）利用消息斷點(diǎn)
　　在處理字串方面可以利用消息斷點(diǎn)WM_GETTEXT和WM_COMMAND。前者用來讀取某個(gè)控件中的文本，比如拷貝編輯窗口中的序列號(hào)到程序提供的一個(gè)緩沖區(qū)里；后者則是用來通知某個(gè)控件的父窗口的，比如當(dāng)輸入序列號(hào)之后點(diǎn)擊OK按鈕，則該按鈕的父窗口將收到一個(gè)WM_COMMAND消息，以表明該按鈕被點(diǎn)擊。
　　BMSG xxxx WM_GETTEXT （攔截序列號(hào)）
　　BMSG xxxx WM_COMMAND (攔截OK按鈕)
　　可以用SoftICE提供的HWND命令獲得窗口句柄的信息，也可以利用Visual Studio中的Spy++實(shí)用工具得到相應(yīng)窗口的句柄值，然后用BMSG設(shè)斷點(diǎn)攔截。例：
　　BMSG 0129 WM_COMMAND