꿈꾸는 소년 (Code Lab) ::

Home // Blog Home // Notice Home // Tag Log Home // Location Log Home // Media Log Home // GuestBook

'Note/Crack Me'에 해당되는 글 4건

<<Prev 1 Next>>

crackme1.exe (Fake routine)

Posted at 2008/08/15 17:17 // in Note/Crack Me // by drDorothy

사용자명에 따른 시리얼값을 생성하는 크랙미.

keygen.exe

crackme1.7z

Calculate serial from input name.

한국어판 [펼치기]

여느 크랙미 처럼 이것도 GetDlgItemText 함수를 사용해서 입력값을 읽어와야..
시리얼을 확인하든 이름을 확인하든 할 것이다..

그래서 GetDlgItemText 를 사용하는 부분을 뽑아봤더니 4곳이 나왔다..
뭐 많지도 않으니 하나씩 분석을 해보자..

딱 봐도 페이크이다..
GetTickCount 함수의 결과값으로 시리얼 분기하는거 자체가 말이 안된다..
(그럼 매 마이크로초마다 시리얼이 변한다 ㅡ_ㅡ......)

아무튼 위의 연산은 아무리 지지고 볶아도 시리얼 틀렸다고 나온다..
그럼 다음 GetDlgItemText 로 넘어가 보자..

뭔가 단순하다.. (그래서 읽기도 쉽다 ㅡ_ㅡ;;)
어라? 그런데 뭔가 이상하지 않은가?
분명 dll 파일이라곤 같이 첨부되어 있지도 않은데 왠 엑스포트된 함수읽기?..

그래서 hModule을 참조하는 코드를 주욱 뒤져 봤다..

.text:00401282 sub_401282      proc near               ; CODE XREF: sub_401337p
.text:00401282                 push    ebp
.text:00401283                 mov     ebp, esp
.text:00401285                 add     esp, 0FFFFFFF4h
.text:00401288                 cmp     hModule, 0
.text:0040128F                 jnz     locret_401320
.text:00401295                 push    200h            ; nSize
.text:0040129A                 push    offset ExistingFileName ; lpFilename
.text:0040129F                 push    hInstance       ; hModule
.text:004012A5                 call    GetModuleFileNameA
.text:004012AA                 sub     eax, 0Ch
.text:004012AD                 mov     ecx, offset ExistingFileName
.text:004012B2                 add     ecx, eax
.text:004012B4                 mov     byte ptr [ecx], 0
.text:004012B7                 push    offset ExistingFileName ; lpString2
.text:004012BC                 push    offset LibFileName ; lpString1
.text:004012C1                 call    lstrcpyA
.text:004012C6                 push    offset aInfo_nfo ; "info.nfo"
.text:004012CB                 push    offset ExistingFileName ; lpString1
.text:004012D0                 call    lstrcatA
.text:004012D5                 push    offset aAdvaapi32_dll ; "advaapi32.dll"
.text:004012DA                 push    offset LibFileName ; lpString1
.text:004012DF                 call    lstrcatA
.text:004012E4                 push    offset LibFileName ; lpFileName
.text:004012E9                 call    DeleteFileA
.text:004012EE                 push    0               ; bFailIfExists
.text:004012F0                 push    offset LibFileName ; lpNewFileName
.text:004012F5                 push    offset ExistingFileName ; lpExistingFileName
.text:004012FA                 call    CopyFileA
.text:004012FF                 or      eax, eax
.text:00401301                 jnz     short loc_401305
.text:00401303                 jmp     short loc_401322
.text:00401305 ; ---------------------------------------------------------------------------
.text:00401305
.text:00401305 loc_401305:                             ; CODE XREF: sub_401282+7Fj
.text:00401305                 push    2               ; dwFileAttributes
.text:00401307                 push    offset LibFileName ; lpFileName
.text:0040130C                 call    SetFileAttributesA
.text:00401311                 push    offset LibFileName ; lpLibFileName
.text:00401316                 call    LoadLibraryA
.text:0040131B                 mov     hModule, eax
.text:00401320
.text:00401320 locret_401320:                          ; CODE XREF: sub_401282+Dj
.text:00401320                 leave
.text:00401321                 retn
.text:00401322 ; ---------------------------------------------------------------------------
.text:00401322
.text:00401322 loc_401322:                             ; CODE XREF: sub_401282+81j
.text:00401322                 push    10h             ; uType
.text:00401324                 push    offset aCrackme1ByVC_0 ; "CRACKME #1 BY V!CTOR - UNREGISTERED"
.text:00401329                 push    offset aT       ; "??
.text:0040132E                 push    0               ; hWnd
.text:00401330                 call    MessageBoxA
.text:00401335                 leave
.text:00401336                 retn
.text:00401336 sub_401282      endp

이런이런.. 알고보니 첨부된 nfo파일은 dll파일이었다..
결국 해석해 보면 advaapi32.dll 라는 파일을 만들고
info.nfo 파일의 내용을 그대로 복사한 다음 숨김속성을 넣는것이다..
(해석하기 귀찮은 사람을 위해서 C코드로 변환시킨 결과도 함께 첨부)

void __cdecl sub_401282()
{
  if ( !hModule )
  {
    ExistingFileName[GetModuleFileNameA(hInstance, ExistingFileName, 0x200u) - 12] = 0;
    lstrcpyA(LibFileName, ExistingFileName);
    lstrcatA(ExistingFileName, "info.nfo");
    lstrcatA(LibFileName, "advaapi32.dll");
    DeleteFileA(LibFileName);
    if ( CopyFileA(ExistingFileName, LibFileName, 0) )
    {
      SetFileAttributesA(LibFileName, 2u);
      hModule = LoadLibraryA(LibFileName);
    }
    else
    {
      MessageBoxA(0, "??, "CRACKME #1 BY V!CTOR - UNREGISTERED", 0x10u);
    }
  }
}

아무튼 이렇게 CHK라는 이상한걸 임포트 해왔으니..
생성된 DLL에서 CHK 함수의 내용을 살펴보자..

별거 없다.. 그냥 전역변수에 넘어온 변수 저장하는게 끝이다..
언제 호출 하냐고?

push    offset ProcName ; "CHK"
push    hModule ; hModule
call    GetProcAddress
push    offset byte_403200 ; 시리얼
push    offset String ; 이름
call    eax ; GetProcAddress가 반환한 함수의 주소

요렇게 호출한다..
그럼 키값 확인하는곳은 어디일까?
성공했어요~ 메세지를 호출하는 곳을 검색하면 젤 위의 페이크 함수 뿐이다..
그럼.. 남은 부분은?..
DLL 엔트리 함수쪽에 어태치나 디태치시 실행된다고 생각 할 수 밖에 없다..
그래서 DLL의 스트링 리스트를 뒤져보니 아니나 다를까 성공 메세지가 있다..

아무튼.. 시리얼 체크하는 루틴만 뽑아내면..

요런식으로 작동한다..
(이것도 특별히 C 번역판을 첨부해 보면..)

BOOL __stdcall DllEntryPoint(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved)
{
  BOOL result; // eax@2
  char *p2; // edi@5
  char *p; // esi@5

  if ( fdwReason == 1 ) 
  {
    result = 1;
  }
  else
  {
    if ( !fdwReason && buf1 )
    {
      p = buf1;
      p2 = buf2;
      while ( *p )
      {
        if ( (*p2 + *(p2+1)) != *p + 35 )
          return MessageBoxA(0, "You are not regestered yet", "CRACKME #1 BY VCTOR", 0x10u);
        ++p;
        p2 += 2;
      }
      result = MessageBoxA(
                 0,
                 "Congratulations, you are registered now!\r\n\r\n淃醴",
                 "CRACKME #1 BY VCTOR - REGISTERED",
                 0);
    }
  }
  return result;
}

아무튼 체크 과정을 알았으니...
키젠 만드는건 알아서~
내가 만든 키젠의 사용법은 각 글자에 대한 2개의 문자를 아무 위치에서나 조합하면 된다..
(각 글자 하나마다 2자리의 시리얼세트가 만들어지는 구조이다..)
그리고.. 맞는 시리얼을 입력해도 일단은 틀렸다고 나온다..(코드 보면 알 것이다..)
시리얼이 맞는지의 여부는 프로그램 종료시에 알 수 있다..
이건 이 크랙미의 버그(?)이거나 함정(?)일 것이다..

English ver. [Show]

Likes other crackmes, It should gets input string by using GetDlgItemText functions or something, and it can checks name and serial.

So, I got 4 places where use GetDlgItemText function.
Let's check one by one..

This is first part where using a GetDlgItemText function, and obviously this is a fake routine.
Because, using a GetTickCount function for serial doesn't makes sence.
(If they do that, the serials probably changes every millisecond..)

Anyway, the codes above it always shows us that we are wrong. (Just analyze it.)
So, Let's go to the other GetDlgItemText function.

It looks very simple, so easy to understand (or not...).
But, it looks weird. This program doesn't have any DLL files, but it use export function.
Therefore, I check all references which use hModule.

.text:00401282 sub_401282      proc near               ; CODE XREF: sub_401337p
.text:00401282                 push    ebp
.text:00401283                 mov     ebp, esp
.text:00401285                 add     esp, 0FFFFFFF4h
.text:00401288                 cmp     hModule, 0
.text:0040128F                 jnz     locret_401320
.text:00401295                 push    200h            ; nSize
.text:0040129A                 push    offset ExistingFileName ; lpFilename
.text:0040129F                 push    hInstance       ; hModule
.text:004012A5                 call    GetModuleFileNameA
.text:004012AA                 sub     eax, 0Ch
.text:004012AD                 mov     ecx, offset ExistingFileName
.text:004012B2                 add     ecx, eax
.text:004012B4                 mov     byte ptr [ecx], 0
.text:004012B7                 push    offset ExistingFileName ; lpString2
.text:004012BC                 push    offset LibFileName ; lpString1
.text:004012C1                 call    lstrcpyA
.text:004012C6                 push    offset aInfo_nfo ; "info.nfo"
.text:004012CB                 push    offset ExistingFileName ; lpString1
.text:004012D0                 call    lstrcatA
.text:004012D5                 push    offset aAdvaapi32_dll ; "advaapi32.dll"
.text:004012DA                 push    offset LibFileName ; lpString1
.text:004012DF                 call    lstrcatA
.text:004012E4                 push    offset LibFileName ; lpFileName
.text:004012E9                 call    DeleteFileA
.text:004012EE                 push    0               ; bFailIfExists
.text:004012F0                 push    offset LibFileName ; lpNewFileName
.text:004012F5                 push    offset ExistingFileName ; lpExistingFileName
.text:004012FA                 call    CopyFileA
.text:004012FF                 or      eax, eax
.text:00401301                 jnz     short loc_401305
.text:00401303                 jmp     short loc_401322
.text:00401305 ; ---------------------------------------------------------------------------
.text:00401305
.text:00401305 loc_401305:                             ; CODE XREF: sub_401282+7Fj
.text:00401305                 push    2               ; dwFileAttributes
.text:00401307                 push    offset LibFileName ; lpFileName
.text:0040130C                 call    SetFileAttributesA
.text:00401311                 push    offset LibFileName ; lpLibFileName
.text:00401316                 call    LoadLibraryA
.text:0040131B                 mov     hModule, eax
.text:00401320
.text:00401320 locret_401320:                          ; CODE XREF: sub_401282+Dj
.text:00401320                 leave
.text:00401321                 retn
.text:00401322 ; ---------------------------------------------------------------------------
.text:00401322
.text:00401322 loc_401322:                             ; CODE XREF: sub_401282+81j
.text:00401322                 push    10h             ; uType
.text:00401324                 push    offset aCrackme1ByVC_0 ; "CRACKME #1 BY V!CTOR - UNREGISTERED"
.text:00401329                 push    offset aT       ; "??
.text:0040132E                 push    0               ; hWnd
.text:00401330                 call    MessageBoxA
.text:00401335                 leave
.text:00401336                 retn
.text:00401336 sub_401282      endp

No way.. attached nfo file was dll..
Anyway, try to analyze this code, you can see that it makes advaapi32.dll and copy data from info.nfo, and set hidden-file attribute.
(Here is a analysis code blow)

void __cdecl sub_401282()
{
  if ( !hModule )
  {
    ExistingFileName[GetModuleFileNameA(hInstance, ExistingFileName, 0x200u) - 12] = 0;
    lstrcpyA(LibFileName, ExistingFileName);
    lstrcatA(ExistingFileName, "info.nfo");
    lstrcatA(LibFileName, "advaapi32.dll");
    DeleteFileA(LibFileName);
    if ( CopyFileA(ExistingFileName, LibFileName, 0) )
    {
      SetFileAttributesA(LibFileName, 2u);
      hModule = LoadLibraryA(LibFileName);
    }
    else
    {
      MessageBoxA(0, "??, "CRACKME #1 BY V!CTOR - UNREGISTERED", 0x10u);
    }
  }
}

So, it imports one strange function(CHK)..
Let's see the function in DLL file..

There's nothing interesting. It saves arguments to global variables.
But, when it works?

push    offset ProcName ; "CHK"
push    hModule ; hModule
call    GetProcAddress
push    offset byte_403200 ; Put Serial
push    offset String ; Put Name
call    eax ; return function's address from GetProcAddress

But, still we don't know where it checks serial..
When I search the whole codes there is only one place which call success message.
The fake check routine.

But we have dll file also.
When DLL file attach or detach from main module, program calls entry function, and this is only one remainder place that program can check the serial.
As might have been expected, I can find success message in a DLL string list.

Anyway, pick out serial check routine below...

If convert it to C code..

BOOL __stdcall DllEntryPoint(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpReserved)
{
  BOOL result; // eax@2
  char *p2; // edi@5
  char *p; // esi@5

  if ( fdwReason == 1 ) 
  {
    result = 1;
  }
  else
  {
    if ( !fdwReason && buf1 )
    {
      p = buf1;
      p2 = buf2;
      while ( *p )
      {
        if ( (*p2 + *(p2+1)) != *p + 35 )
          return MessageBoxA(0, "You are not regestered yet", "CRACKME #1 BY VCTOR", 0x10u);
        ++p;
        p2 += 2;
      }
      result = MessageBoxA(
                 0,
                 "Congratulations, you are registered now!\r\n\r\n淃醴",
                 "CRACKME #1 BY VCTOR - REGISTERED",
                 0);
    }
  }
  return result;
}

Anyway, we know how to check..
Make a keygen is your work.
(Or, just use my one)

Ohh.. One more..
Even if you enter a collect serial, it'll show you that your wrong.. (maybe it's a bug or point)
So, you can know that your serial is wrong or right, when you close a program..^^

crackme

No Comment No Trackback

OneDword.exe (serial check - not so good method)

Posted at 2008/08/15 06:33 // in Note/Crack Me // by drDorothy

OneDword.exe

입력한 시리얼값에 xor 한 값의 주소로 이동해서 실행되는 대책없는 크랙미.. ㅡ_ㅡ..
Go to the other memory address by input serial with XOR operation.

한국어판 [펼치기]

말도 안되는 대책없이 점프하는 크랙미 ㅡ_ㅡ..
아래쪽 오른쪽의 박스를 보면..
dword_4030B9 의 값과 입력 스트링을 XOR 연산을 해서 점프를 하는 해괴한 문장이 보인다..
결국.. 시리얼 잘못 입력하면 프로그램이 크래쉬로 죽어버리는 말도안되는 상황.. ㅡ_ㅡ..
dword_4030B9의 값은 D8 95 E1 CD 이다..
저것과 입력한 XOR 값이 적당한 위치로 가게 만들면 되는 것이다..

대충 보면 MessageBoxA에 값을 전달하는 과정들이 얽혀 있다.
일단 MessageBoxA는 인자 4개를 필요로 한다..

int __stdcall MessageBoxA(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType)

그럼 일단 hWnd는 찾았고.. 점프해 오는 위치에 따라 넘어오는 인자값이 달라 지는데..

xor eax, eax
push    0
cmp eax, 1

이 부분때문에 push 구문을 못 건진다.. (0x40113A 로 그냥 점프를 하면 uType이 없다..)
결국 이건 올바른 정답이 아니라는 말이다..

어디선가 PUSH 상수 를 해주는 부분이 있어야 한다는 말인데..
아무리 text영역을 찾아봐도 없다 ㅡ_ㅡ..

그래서 0x400000 부분부터 하나하나 읽다보니 발견 ㅡ_ㅡ;;

00400260 6A 00    PUSH 0
00400262 -E9 D30E0000    JMP OneDword.0040113A

나원참 ㅡ_ㅡ.. 이렇게 대책없는 위치에 있으면 어쩌라는거야 ㅡ_ㅡ..
아무튼 400260 으로 점프하게 되면 push 0 을 수행한 다음.. 0x40113A으로 점프해서

.text:0040113A                 push    offset Caption  ; "OneDword by V!ctor"
.text:0040113F                 nop
.text:00401140                 push    offset aThisIsRightPas ; "This is right password!!!!!"
.text:00401145
.text:00401145 loc_401145:                             ; CODE XREF: .text:00401137j
.text:00401145                 push    hWnd
.text:0040114B                 call    MessageBoxA
.text:00401150                 retn

push 4개를 올바로 수행한 다음 종료한다..
결국 우리가 수행해야할 코드는 0x40113A 으로 이동하는 무언가를 해야한다..

그럼 선택권은 2가지.. JMP를 하던가.. CALL을 하던가..
아무튼 최종적으로 dword_4030B9에 저장되어야 할 값은 JMP문이던가 CALL문이여야 한다..

그럼 간단하게.. dword_4030B9에서 JMP 0x400260 또는 CALL 0x400260를 하는 코드를 넣으면 되는데..
계산이 귀찮은 관계로.. OllyDbg로 해당 위치에서 더블클릭후 위의 값을 입력한다..

그럼 옆의 헥사 값이 나오는데..
JMP의 경우 E9 A2 D1 FF 가 되고..
CALL의 경우 E8 A2 D1 FF가 된다..

이제 입력해야할 값을 만들어야 하는데.. XOR연산이니 간단히..

0xE9A2D1FF ^ 0xD895E1CD = 0x31373032 (ascii : 1702)
0xE8A2D1FF ^ 0xD895E1CD = 0x30373032 (ascii : 0702)

결국 답은 1702 또는 0702 가 된다..

English ver. [Show]

When you see a left bottom box, it try to do some strange calculation which is XOR operation with dword_4030B9 and input string, and go to that address.

It means when you enter a wrong serial, you'll go to wrong address, and it will be crash.
Anyway, what we have to do is save a collect code in dword_4030B9.

At first, MessageBoxA needs 4 arguments.

int __stdcall MessageBoxA(HWND hWnd, LPCSTR lpText, LPCSTR lpCaption, UINT uType)

You can see that hWnd doesn't matter, so it defends on jump position, and position wil change arguments.

xor eax, eax
push    0
cmp eax, 1

However, because of this section, we can't go to the 0x401124 or 0x401126.
Why? When we go that position, cmp result is -1, so you have to keep going, and it will display error message.
Moreover, If you jump to the 0x40113A there is no PUSH operation. (We needs uType)

Therefore, We have to find something like PUSH xxxx and display collect message, but there is only one collect message and it doesn't have any reference, so we should come to 0x41140 again.

But..!!
I can't find that kind code in text section, so I try to read from 0x400000, and I find it at 0x400260.

00400260 6A 00    PUSH 0
00400262 -E9 D30E0000    JMP OneDword.0040113A

Go to 0x400260, and do push 0, and jump to 0x40113A.

.text:0040113A                 push    offset Caption  ; "OneDword by V!ctor"
.text:0040113F                 nop
.text:00401140                 push    offset aThisIsRightPas ; "This is right password!!!!!"
.text:00401145
.text:00401145 loc_401145:                             ; CODE XREF: .text:00401137j
.text:00401145                 push    hWnd
.text:0040114B                 call    MessageBoxA
.text:00401150                 retn

Now, we can find all four push arguments, and it will terminate normally.
So, we should do go to 0x40113A.

Here is two choice.
Using JMP op, or CALL op.
Anyway, dword_4030B9 have to contain JMP code or CALL code.
dword_4030B9 is JMP 0x400260 or CALL 0x400260.

With an OllyDbg double click the dword_4030B9 section, and enter JMP 0x400260 or CALL 0x400260.
And then you can see a hex code.
If you enter JMP code, it is E9 A2 D1 FF,
If you enter CALL code, it is E8 A2 D1 FF.

So, calculate a serial with XOR..

0xE9A2D1FF ^ 0xD895E1CD = 0x31373032 (ascii : 1702)
0xE8A2D1FF ^ 0xD895E1CD = 0x30373032 (ascii : 0702)

Serial is 1702 or 0702.

crackme

No Comment No Trackback

hackereh@.exe (Serial check by input name)

Posted at 2008/08/13 15:45 // in Note/Crack Me // by drDorothy

영작하기 귀찮내 ㅡ_ㅡ..

hackereh@.exe

한국어판 [보이기]

자기 전에 하나 더 사뿐히 풀어보는 센스..
머.. 뉴비용을 선택했더니 너무 쉬워서 금방금방 풀리는 맛도 좋내..ㅋ
아무튼 이것도 공략(?) 첨부..

...

.text:004011FA                 push    1Eh             ; cchMax
.text:004011FC                 push    offset byte_4062A0 ; lpString
.text:00401201                 push    3E9h            ; nIDDlgItem
.text:00401206                 push    [ebp+hWnd]      ; hDlg
.text:00401209                 call    GetDlgItemTextA
.text:0040120E                 cmp     eax, 1
.text:00401211                 jb      loc_4012A7      ; 입력한 값이 없다면 에러메세지
.text:00401217                 cmp     eax, 18h
.text:0040121A                 ja      short loc_401293 ; 이름은 24글자 이상 쓸 수 없다
.text:0040121C                 mov     ebx, eax        ; ebx에 이름 길이 저장
.text:0040121E                 xor     ecx, ecx
.text:00401220                 xor     eax, eax
.text:00401222                 mov     edi, offset byte_4062A0 ; 입력한 문자열 위치
.text:00401227                 mov     edx, 0DEADC0DEh
.text:0040122C
.text:0040122C loc_40122C:                             ; CODE XREF: sub_4011F2+50j
.text:0040122C                 movsx   eax, byte ptr [ecx+edi] ; 한글자를 읽어와서
.text:00401230                 add     eax, edx        ; 0xDEADC0DE 를 더한다음
.text:00401232                 imul    eax, 666h       ; 0x6660을 곱해주고
.text:00401238                 add     edx, eax        ; edx의 값을 바꿔준 다음
.text:0040123A                 sub     eax, 777h       ; eax의 결과 자체는 0x777을 뺀다음
.text:0040123F                 inc     ecx             ; 다음 글자로 넘어간다
.text:00401240                 cmp     ecx, ebx
.text:00401242                 jnz     short loc_40122C ; 다 끝나면 아래로 이동
.text:00401244                 mov     ebx, eax        ; 삽질했던 eax를 ebx에 저장후
.text:00401246                 xor     eax, eax        ; eax는 초기화 시키고
.text:00401248                 push    ebx
.text:00401249                 push    offset aU       ; "%u"
.text:0040124E                 push    offset String1  ; LPSTR
.text:00401253                 call    wsprintfA       ; 아까 삽질한 값을 %u형식으로 표현한 문장을
                                                       ; string1에 저장
.text:00401258                 add     esp, 0Ch
.text:0040125B                 push    1Eh             ; cchMax
.text:0040125D                 push    offset String2  ; lpString
.text:00401262                 push    3EAh            ; nIDDlgItem
.text:00401267                 push    [ebp+hWnd]      ; hDlg
.text:0040126A                 call    GetDlgItemTextA
.text:0040126F                 cmp     eax, 1
.text:00401272                 jb      short loc_4012A7 ; 입력된게 없다면 에러
.text:00401274                 xor     ecx, ecx
.text:00401276                 mov     ecx, offset String2
.text:0040127B                 push    ecx             ; lpString2
.text:0040127C                 push    offset String1  ; lpString1
.text:00401281                 call    lstrcmpA        ; 결국은 위에서 삽질한 값을 %u 형식으로
                                                       ; 표현한게 시리얼 값임
.text:00401286                 jnz     short loc_4012D3
.text:00401288                 jmp     short loc_4012BD
.text:0040128A ; ---------------------------------------------------------------------------

...

이번 크랙미는 숫자놀이를 좀 해야하는 관계로..
키젠을 굳이 만들려면 위에 해석해 둔것에 따라 C로 주르륵~

#include 

int main(void)
{
	char name[25], *p = name;
	int t2, t1 = 0xDEADC0DE;

	printf("name : ");
	scanf("%s", name);

	while (*p != '\0')
		t1 += (t2 = 0x666 * (t1 + *p++));

	printf("serial : %u\n", t2-0x777);

	return 0;
}

English version [show]

This crackme need a name and serial. It check input name and calculate serial from input name.
Therefore, the serial defends on input name.
Basically, before check your serial, it should get your input string, so we have to find something like GetDlgItemText.
In this program, there are two GetDlgItemTextA functions.
Let's Start at first GetDlgItemText function.

...

.text:004011FA                 push    1Eh             ; cchMax
.text:004011FC                 push    offset byte_4062A0 ; lpString
.text:00401201                 push    3E9h            ; nIDDlgItem
.text:00401206                 push    [ebp+hWnd]      ; hDlg
.text:00401209                 call    GetDlgItemTextA
.text:0040120E                 cmp     eax, 1
.text:00401211                 jb      loc_4012A7      ; Check input string length
.text:00401217                 cmp     eax, 18h
.text:0040121A                 ja      short loc_401293 ; maximum length is 24
.text:0040121C                 mov     ebx, eax        ; save length at ebx
.text:0040121E                 xor     ecx, ecx
.text:00401220                 xor     eax, eax
.text:00401222                 mov     edi, offset byte_4062A0 ; input buffer
.text:00401227                 mov     edx, 0DEADC0DEh
.text:0040122C
.text:0040122C loc_40122C:                             ; CODE XREF: sub_4011F2+50j
.text:0040122C                 movsx   eax, byte ptr [ecx+edi] ; read one character
.text:00401230                 add     eax, edx        ; add 0xDEADC0DE
.text:00401232                 imul    eax, 666h       ; multiply 0x6660
.text:00401238                 add     edx, eax        ; change edx
.text:0040123A                 sub     eax, 777h       ; eax minus 0x777
.text:0040123F                 inc     ecx             ; next character
.text:00401240                 cmp     ecx, ebx
.text:00401242                 jnz     short loc_40122C ; after finish it
.text:00401244                 mov     ebx, eax        ; save a result(eax) at ebx
.text:00401246                 xor     eax, eax        ; clear eax
.text:00401248                 push    ebx
.text:00401249                 push    offset aU       ; "%u"
.text:0040124E                 push    offset String1  ; LPSTR
.text:00401253                 call    wsprintfA       ; convert a result to %u format
                                                       ; and save at string1
.text:00401258                 add     esp, 0Ch
.text:0040125B                 push    1Eh             ; cchMax
.text:0040125D                 push    offset String2  ; lpString
.text:00401262                 push    3EAh            ; nIDDlgItem
.text:00401267                 push    [ebp+hWnd]      ; hDlg
.text:0040126A                 call    GetDlgItemTextA
.text:0040126F                 cmp     eax, 1
.text:00401272                 jb      short loc_4012A7 ; check a length
.text:00401274                 xor     ecx, ecx
.text:00401276                 mov     ecx, offset String2
.text:0040127B                 push    ecx             ; lpString2
.text:0040127C                 push    offset String1  ; lpString1
.text:00401281                 call    lstrcmpA        ; It means %u format is a serial key
.text:00401286                 jnz     short loc_4012D3
.text:00401288                 jmp     short loc_4012BD
.text:0040128A ; ---------------------------------------------------------------------------

...

Very easy serial check algorithm.
Anyway, we need some mathematical calculation, so let's make a keygen from our analysis code.

#include 

int main(void)
{
	char name[25], *p = name;
	int t2, t1 = 0xDEADC0DE;

	printf("name : ");
	scanf("%s", name);

	while (*p != '\0')
		t1 += (t2 = 0x666 * (t1 + *p++));

	printf("serial : %u\n", t2-0x777);

	return 0;
}

crackme