向他们致敬——详细分析EDGE系列注册机

masonlynn

wave4在段誉和samblg的努力下就要出现了，转载一篇段哥的好文，由衷感谢啊。（要感谢的关键还是EDGE小组，哈哈）


使用诺顿产品的朋友们对于EDGE这个团队应该是不陌生的，EDGE团队的经典作主要有
Norton Internet Security 2007注册机
Norton 360 V1.0注册机
Norton 2008系列注册机(NIS 2008、NAV 2008、Norton 360 V2.0、Norton Systemworks 2008 Premier)
近期由于在制作Norton All-In-One Tool V1.1.5，想要解决Norton报自己所有注册机的问题，而且不想调用函数中止Norton进程也不想关闭病毒防护，我尝试过进程保护来终止查杀、也尝试过从内存加载程序来防止查杀，但是都失败了。于是乎只能硬着头皮分析破译EDGE的注册机，对原程序进行脱壳和反编译（希望在发布NAIOT 1.2版本时修改EDGE和一个NAV2007注册机实现所有的历来注册机诺顿都不报）。

在修改过程中，对于EDGE的注册机破解原理也更加的清晰了。
对于07版本，EDGE注册机在拥有算号机制的基础上，采用Norton2007系列的电话激活漏洞，通过两次内存偏移jmp注入(第一次调出电话激活页面，第二次调出验证过程)，从而实现破解。
对于08版本，由于没有了电话激活漏洞，EDGE团队通过网页激活漏洞算号机制(也即是Key对应信息，相当于电话激活码)，并且仅仅利用一次内存偏移jmp注入虚假已联网验证信息，迫使程序直接校验网页反馈信息(即算出来的网页激活码，也是通过内存偏移注入相应区段)，从而激活。


在09发布后，我通过实验发现，Norton在网页激活的代码上又做了一次加工，不再是Norton08的网页地址格式，但是由于编码力度较低(也不需要复杂的编码)已经被我绕过实现了第一次跳转，按照常理就应该获得nyear的使用时间了，但是诺顿09在程序中还设置了一个jne结点，阻止了使用时间的正常获取，也即是说就算是正版的CD-KEY，采用第一次跳转也只能得到15天试用，必须得联网接受第二次条件判断，很明显，这是针对08版注册机的，目前这个技术难题涉及的知识太深，我就算知道理论也无法进行实践。

因此引发我的一个思考，EDGE的骨干在07版注册机发布后被招安，而08版的注册机是剩余的非骨干分子编写，虽然他们拥有EDGE的传统源代码(分析程序结构完全一致)，但是由于编写水平限制和程序处理限制，无论是程序代码、加壳和防反编译都做得极差，除了高保真音乐的更换没有任何新意。我们知道Norton在09年2月11日之前是报所有的非08版注册机的，现在连Norotn Furbisher都报到了wave3，但是却迟迟不闻不问EDGE的Norton2008系列，很清楚，Norton2008EDGE注册机在发布时诺顿已经在开发2009产品线，而EDGE被招安骨干也加入了激活模块的开发，防网页的加强力度编码和最后设置的一个新jne跳转(目前还未知这个结点的具体指针数组，可能涉及多组的联防)、对08注册机的无视(长期不加入病毒库)以及容易的反编译(能让我们做出汉化版)都给予了充分而有力的证明。

  

  
对于2009系列能不能再次破解，剩余的EDGE小组要战胜他们的前辈，关键就是内存寻址追踪和API中断检测能不能成功的实现jne->jmp，如果不能，EDGE系列将不会出现09版本了，如果能，则将会是一个新的开始。

下面是我汉化的2008版的2个注册机，作为深度专版收藏吧(普通版、豪华版)

  
关于Norton Furbisher 1.02wave3，只要大家正常排除地址是可以正常使用的，如果被杀，重新安装的时候关闭病毒防护，安装好后立即排出NETFSBx20.exe或者NETFSBx30.exe再打开病毒防护即可。

[ 本帖最后由 masonlynn 于 2009-2-22 20:12 编辑 ]

冲冲

公爵转帖真快……

yym1988520

这个帖子不错 喜欢  EDGE的作品是很期待

wrq

楼主的深度不浅 可惜不是软件专业 学习中

speed717

无论EDGE行不行了 作为一代神作的创造者 保持崇高的敬意

忏悔恶魔

这个帖子不错 喜欢  EDGE的作品是很期待

backstreetboys

有点想转行从软的冲动～～～～

xieyun

对EDGE小组致以最崇高的敬意

juestice

这个是公爵的帖子还是公爵转的帖子呢，写的很是深奥，对汇编缺乏。。。。。

sound886

EDGE小组真的是很厉害啊
虽然现在精锐已经走了，但是剩下了的人继续延续了他们的荣誉，虽然暂时限于技术但是总会出现突破的