多功能密码破解软件文章列表:

• 1、加密与破解单机软件 离线加、解密实现思想加密篇
• 2、123456仍旧是今年最容易破解的密码，而且居然有250万人使用
• 3、黑客向工业系统分发PLC 和 HMI 的密码破解工具，借此夺取PLC控制权
• 4、Samsung成为 2021 年最常用的密码之一：可在 7 秒内破解
• 5、破解软瘾生成密码

加密与破解单机软件 离线加、解密实现思想加密篇

前言：这里不是教你如何破解别人的软件，也不是教你编程。而是通过口语化的方式和各位讨论应用程序加解、密的思想和应对方法。 程序员其实都明白，无论什么语言其核心语法就那么几十条，掌握一门开发语言也不是非常难。程序即方法，一个工作如何实现，重要的是理清逻辑，方法会了，程序实现不过是用程序语法描述逻辑而已。就好像我多年前不会python，我用其他语言的思想一条一条百度python的对应语句，几天也就入门了。

言归正传，这篇文章就是讨论实现方法的——

Windows单机应用软件加密（授权）一直是软件行业的重要课题，通过网络授权目前是最安全的，但这不是本文讨论的内容。本文讨论的是单机软件没有网络，如何最大化防止破解，又如何被破解的？以我之矛攻我之盾，今天咱们就来左右手互博。

一、加密

最常见的就是：软件生成一个“机器码”也可能叫申请码，其实都是一回事，原理就是软件收集本机CPU、硬盘、主板、网卡等唯一信息算出来的一串字符。用户将这串机器码交给我们软件开发商，我们将“注册码”告诉用户，从而实现软件注册。

1、机器码

这里有个平衡点需要程序员掌握，你把所有硬件信息都拿出来生成机器码，后期可能会导致一个问题，用户升级电脑某个配件时，这个机器码就失效了。你对应以“机器码”生成的密钥（注册码）也失效了，还得给用户重新发放注册码，平白无故增加工作量。

所以也并不是硬件信息集成越多越好，你要考虑哪些配件被升级的可能性最大？ 按经验升级最频繁的顺序应该是：硬盘、cpu、内存、主板。由此可见最不经常升级的可能就是网卡（一般网卡还是板载的），似乎以网卡信息为机器码比较妥当，可是网卡Mac被人为修改的难度很低，所以安全性不高。 用什么硬件生成机器码，就需要您根据实际情况平衡了。

特别提醒一点，无论是用CPU、网卡还是硬盘ID去生成机器码，都需要注意，这些配件在电脑中并非唯一，尤其是服务器设备，CPU、网卡、硬盘可能会有很多，也有随时增加或卸下的可能，所以计算机器码的时候需要规避这个问题。比如：枚举所有同类设备取其第一个……否则这部分功能的稳定性可能会出现问题。

应用软件常见注册界面

2、注册码

所谓注册码其实就是一个可逆加密的过程，暂时放弃上面的机器码，假设你现在是某团购网的程序员，你要给用户手机下发一条5位数的美食消费码，你该怎么办？这5位数如何生成？如何确保消费者不会篡改其中一位而去白吃白喝？

这就是典型的加密及可逆化过程，例如——

5位数：34579 拆开后为：3 4 5 7=19 取结果最后一位，最后形成34579这个消费码。这就是算法和可逆（虽然商用算法可能更复杂、极度保密），但其原理就是这样。

回到咱们的注册码机制：当我们得到用户的机器码以后，就可以通过某种可逆算法为用户生产注册码了，到了这个阶段作为开发人员需要有个宏观思维，不能把目光局限于当前软件，多想想后期有了其他软件，是否也需要加密和授权措施？所以开发加解密模块时尽量照顾到以后的其他软件。我的密钥机制大体是以下结构生成的注册码——

【机器码 软件名 授权方式 授权值 授权时间 注册码有效期】

将上述内容进行AES DES加密后得出注册码。客户软件得到注册码后，首先逆向处理注册码，将其分解待用：

1、判断机器码是否匹配：不匹配则表示该注册码为伪造。

2、软件名是否匹配：不匹配则表示这个注册码不是本软件（当前版本）的。

3、授权方式：一般包括试用、永久授权、按次授权、按时间授权、工程测试等等

4、授权值：是对授权方式的补充，例如设置按时间授权，这里就得写个时间值。如果按次授权这里就要写数字。

5、授权时间：这里一般放一个毫秒级时间戳，主要防止用户提交完授权后，反复提交，比如：用户购买了按次授权的软件，你也给他了一个99次的注册码，他把软件用了几次，然后又用这个注册码重新注册一次，剩余次数又变成99次了。 授权时间的时间戳其实充当一个唯一ID的作用，一旦这个注册码使用了，就再也无效了。

6、注册码有效期：和上面授权时间异曲同工，主要限制用户应在多少时限内使用这个注册码，如果超过时限，则自动失效。

以上1-6的注册码验证逻辑都在客户软件内预置，最大限度保证了机器码本身的可靠性。

我的注册机原型界面

二、应用

经过上述步骤，假设应用软件已经被正式授权，可以正常使用了。软件启动按照预设逻辑，第一步读取授权文件、第二步检查授权文件的密钥是否正确。

一般软件商存储授权文件有三个地方：

1、最常见的是c盘users文件夹里当前用户的AppData下，在windows7以后这里几乎是所有应用软件存储临时文件的首选，优点是写入文件方便、没什么容量限制（C盘有多大你就写多大）。缺点是这里几乎是公开的秘密，授权文件写到这里和就在你软件目录下其实区别不大，都会很容易被人找到。

2、次之是注册表，在这里存软件信息的慢慢少了，因为注册表写入需要权限，容易被杀毒软件拦截，另外写入字符长度也有限制，不利于较长的加密串和软件信息。

3、加密狗：这个玩意现在用得比较少了，主要还是存储授权文件。优点是可以保证授权文件的安全（无论是移动、复制、编辑、覆盖）都会导致失效。缺点是加密狗太麻烦了，如果用加密狗还真不如用在线认证呢。

综上：单机加密无论最终采用什么形式，大体逻辑都是为软件运行的设备授权，然后把授权文件存在某个角落，软件每次启动根据预设的逻辑读取授权文件完成鉴权。

对于单机离线加密您还有什么更好的方案欢迎讨论。

欢迎浏览下一篇文章：看我又是如何破解上述加密手段的。

123456仍旧是今年最容易破解的密码，而且居然有250万人使用

每年都有相关单位提出今年最烂的密码排行榜前200名，除了连续数字最常有人使用也最常有人破解盗用之外，常用拼音及人名也是最容易被猜到的，因此有密码专家建议最好改变自己使用密码的习惯。

据调查“123456”是所有常见密码中最常使用的一种，因为有些强制要设置六位数密码的系统就干脆这样设置也简单省事，约有250万人使用。而“12345678”则是次之常用的密码，约有96万人使用。

去年的第一名的“12345”则是落到了第八名，但仍有18万人使用。常用密码前十名之中今年也有7个数字，3个字母组成的，另外“Picture1”及“senha”也挤进了前十名常用密码之列，而“senha”则是葡萄牙文中“密码”的意思。
而在台湾特殊的密码使用习惯则可能跟注音符号有关，例如像“ji32k7au4a83”，表面上看起来像是一组没有规则毫无意义的英数串，但是实际上是台湾的电脑键盘上注音符号输入法的“我的密码”输入顺序的位置。另外“我爱你”得“ji394su3”，及“密码”的“au4a83”也是在台湾常用的密码串。
因此有密码专家建议为了保障密码的安全性不易被破解，最好还是使用随机但自己记得住的词，这样才能降低遭破解盗用的风险，而不要使用跟自己相关的名字或是自己的兴趣嗜好有关容易让人猜到的关键词当密码。

黑客向工业系统分发PLC 和 HMI 的密码破解工具，借此夺取PLC控制权

Industrial engineers and operators are the target of a new campaign that leverages password cracking software to seize control of Programmable Logic Controllers (PLCs) and co-opt the machines to a botnet.

工业工程师和操作员是一项新活动的目标，该活动利用密码破解软件夺取可编程逻辑控制器 (PLC) 的控制权，并将机器加入僵尸网络。

The software "exploited a vulnerability in the firmware which allowed it to retrieve the password on command," Dragos security researcher Sam Hanson said. "Further, the software was a malware dropper, infecting the machine with the Sality malware and turning the host into a peer in Sality's peer-to-peer botnet."

Dragos安全研究员 Sam Hanson说，该软件“利用了固件中的一个漏洞，使其能够根据命令检索密码。此外，该软件是一个恶意软件植入程序，用Sality恶意软件感染机器，并将主机变成 Sality僵尸网络中的对等节点。”

The industrial cybersecurity firm said the password retrieval exploit embedded in the malware dropper is designed to recover the credential associated with Automation Direct DirectLOGIC 06 PLC.

这家工业网络安全公司表示，嵌入在恶意软件释放器中的密码检索漏洞旨在恢复与 Automation Direct DirectLOGIC 06 PLC相关的凭证。

The exploit, tracked as CVE-2022-2003 (CVSS score: 7.7), has been described as a case of cleartext transmission of sensitive data that could lead to information disclosure and unauthorized changes. The issue was addressed in firmware Version 2.72 released last month.

该漏洞被跟踪为 CVE-2022-2003（CVSS 分数：7.7），被描述为敏感数据的明文传输案例，可能导致信息泄露和未经授权的更改。该问题已在上个月发布的固件版本 2.72 中得到解决。

The infections culminate in the deployment of the Sality malware for carrying out tasks such as cryptocurrency mining and password cracking in a distributed fashion, while also taking steps to remain undetected by terminating security software running in the compromised workstations.

感染的终极目的是部署Sality恶意软件，以分布式方式执行加密货币挖掘和密码破解等任务，同时还采取措施通过终止受感染工作站中运行的安全软件来保持不被发现。

What's more, the artifact unearthed by Dragos functions drops a crypto-clipper payload that steals cryptocurrency during a transaction by substituting the original wallet address saved in the clipboard with the attacker's wallet address.

更重要的是，Dragos功能挖掘出的工件丢弃了一个加密剪辑器有效负载，该有效负载通过将保存在剪贴板中的原始钱包地址替换为攻击者的钱包地址来窃取交易期间的加密货币。

Automation Direct is not the only vendor impacted as the tool claim to encompass several PLCs, HMIs, human-machine interface (HMI), and project files spanning Omron, Siemens, ABB Codesys, Delta Automation, Fuji Electric, Mitsubishi Electric, Schneider Electric's Pro-face, Vigor PLC, Weintek, Rockwell Automation's Allen-Bradley, Panasonic, Fatek, IDEC Corporation, and LG.

Automation Direct 不是唯一受影响的供应商，因为该工具声称包含多个 PLC、HMI、人机界面 ( HMI ) 和 Omron、Siemens、ABB Codesys、Delta Automation、富士电机、三菱电机、施耐德电气 Pro 的项目文件-face、Vigor PLC、Weintek、罗克韦尔自动化的 Allen-Bradley、松下、Fatek、IDEC Corporation 和 LG。

This is far from the first time trojanized software has singled out operational technology (OT) networks. In October 2021, Mandiant disclosed how legitimate portable executable binaries are being compromised by a variety of malware such as Sality, Virut, and Ramnit, among others.

这远非木马软件第一次单独挑中运营技术 (OT) 网络。2021 年 10 月，Mandiant披露了合法的可移植可执行二进制文件如何被 Sality、Virut 和 Ramnit 等各种恶意软件破坏。

甚爱必大费，多藏必厚亡。知足不辱，知止不殆，可以长久。

——《道德经.第四十四章》

本文翻译自：

https://thehackernews.com/2022/07/hackers-distributing-password-cracking.html

如若转载，请注明原文地址

翻译水平有限 :(

有歧义的地方，请以原文为准 ：

Samsung成为 2021 年最常用的密码之一：可在 7 秒内破解

IT之家 11 月 21 日消息，密码管理解决方案公司 Nordpass 最近进行的一项研究确定，至少在 30 个国家 / 地区中，“Samsung”，或者说“samsung”，是最常用的密码之一。这使全球数百万用户的安全受到威胁。

使用最喜欢的智能手机 / 电视 / 家用电器品牌的名称，比如“Samsung”，作为密码虽然不算最糟糕的威胁，但这种趋势在过去几年中越来越流行。“samsung”密码在 2019 年排名第 198 位，但它的排名也不断上升，在 2020 年排名第 189 位，在 2021 年排名第 78 位，在去年突破了前 100 名。

使用最多的密码是“password”，据说被近 500 万用户选中。其他经常使用的密码是“123456”、“123456789”和 “guest”。至于“samsung”，事实证明，它不是网络上无数用户采用的唯一基于品牌的密码。其他品牌，如 Tiffany，Nike 和 Adidas，也很受欢迎。一些汽车爱好者被发现使用“kia”和“mini”等密码。

无论人们使用大写的“Samsung”还是小写的“samsung”作为密码，似乎都不会对安全产生多大的区别影响。根据最近的报告，一个简单和可预测的密码可以在不到 1 秒内被解密。而将小写字母和大写字母与数字相结合，也会产生不同的结果。一个结合了所有这些元素的 7 位数密码可能需要 7 秒左右的时间来破解，而一个 8 位数的密码则需要 7 分钟左右。

IT之家获悉，该研究公司发现，由于它们很短，而且只由数字或字母组成，没有任何大写字母，大多数常用的密码可以在 1 秒钟之内被破解。

当创建新账户时，不管是会员账户还是其他账户，都不应该使用“Samsung”或“samsung”作为密码，这将是明智的想法，因为这很最容易被预测和破解。

破解软瘾生成密码

《软瘾》作者：朱迪斯·莱特

​

​ 前面我们一起共读学习了《软瘾》的第一节“正确认识软瘾”。在这一节中，我们了解了软瘾的本质是满足我们表面的欲望，阻碍了更深层次的需求。它会用一种肤浅的快感或成就感，让我们忽视自己的感受和精神世界。

通过前面的共读，相信很多书友已经进行了自我检测，发现了自己身上存在的一些软瘾。那么，软瘾究竟是从哪儿来的呢？接下来，我们将开始学习本书的第二节“破解软瘾的生成密码”。

错误的观念导致软瘾

俗话说：三岁看老。成年人的很多行为习惯，其实是从小养成的。软瘾也不例外。大多数软瘾都可以追溯到我们的童年，在那个时候，软瘾是我们为了应对这个世界而习得的行为或态度。

想想看，当我们还是个孩子的时候，出现想哭、害怕、生气，甚至开心的情绪时，往往会被大人阻止，不让自己尽情地表达，这个时候，大多数孩子会用压抑来应对各种情绪。压抑的方法有很多种，比如吃糖、看书、幻想等等，这就是软瘾的开始。那个时候，这些习惯会给你带来一种安全感，让你觉得舒服一些。

这原本无关对错。毕竟那个时候，我们只是个孩子，缺乏可以调用的资源，所以只好借助各种软瘾来适应各种艰难的局面。然而，尽管后来我们成年了，有其他资源可以用来应对类似的困难，但是童年那些习惯已经根深蒂固，所以，这时我们会习惯性的认为童年的那些方法依然有效。

可问题是，童年时代的很多想法和观点都非常局限，所以很容易形成错误的观念，这样一来，偏颇的想法就出现了，而这些偏颇的想法反过来又滋生了软瘾。

所以，现在我们不妨回想一下自己某些行为的历史原因。比如，小时候，当你发现父母关系紧张时，你会采取什么样的方式来应对？是不是会无视或者沉溺于幻想之中？亦或是用取悦的态度来避免冲突？

那么现如今，当你和家人的关系不和谐，或者感到孤独，或者遇到了过分的要求时，是不是也会下意识地采用这些应对措施呢？

如果这些反应是你有意识地选择的，那么它们并没有问题。可是一旦它们成为低效的、习惯性的、无意识的反应，那么它们就成了一种软瘾的触发点。

情绪的变化加剧软瘾

除此之外，很多软瘾还与无意识关注有关。也就是说，表面上看，这种关注是积极的，但实际上并不真诚。比如，当你穿了一件新衣服，或者换了一个新发型，问身边的人：我今天怎么样？那个人抬头看了你一眼，随口说了一句：“真不错。”但实际上他根本没有发现你今天和昨天有什么不同。而这就是无意识关注。

我们可以回想一下，在自己的成长过程中，父母是不是经常对你无意识关注？你画了一幅画，父母瞟了一眼说：“画的挺好。”然后又去忙自己的事了。如果你想引起父母真正的关注，就会通过一些消极方式，比如，自暴自弃、消极攻击、拖拖拉拉等行为让他们与你建立起联系。而这些行为，时间一长，就变成了一种软瘾。

所以，每次软瘾发作时，如果你能注意到自己当时的感受，就会发现引发软瘾的因素。比如，当某件事发生时，你会突然产生看电视、上网、幻想或吃东西的欲望。通过跟踪自己的行为轨迹，就可以找出软瘾的导火索，然后解决这个问题。

在书中，有一个叫罗莎的女职员，特别喜欢在乘电梯的时候打量别人，并在心里琢磨：这个人怎么这么胖？看她那破烂的外套！她为什么不去理个？等等。

尽管罗莎在产生这些想法时会获得一种优越感，但她心里明白，自己对别人的批判使她更加暴躁和孤独。

后来，罗莎意识自己之所以总在心里批判别人，是因为内心深处有着潜在的不安和恐惧，所以她需要通过贬低别人来掩盖自己的自卑感。而最终，她明白了，一旦自己开始消极地批判别人，就意味着自己缺乏安全感了，对生活感到恐惧了。接下来，她就会想办法让自己勇敢起来。

在这个案例当中，罗莎把她的软瘾变成了一种暗示，可以帮助她审视自己的感受，找出当前的问题所在。

破解软瘾密码的两个方法

其实，我们也可以像罗莎一样，找到破解自己的软瘾密码。在书中，作者为我们提供了两种十分容易操作的方法。

第一个方法是把软瘾拟人化，并给它们写一封分手信。在信中，要先承认软瘾对自己生活所产生的消极影响，并用幽默和同情来解释为什么要和它们分手。比如你要戒烟，可以这样写：

亲爱的香烟女士：感谢你多年来为我提供的安慰和灵感。第一次和你“约会”的时候，我还是个孩子。你是我克服恐惧的方式，还帮我和别人建立联系，比如向别人借打火机。这些年来，你一直在安慰我。现在，我再也承受不起这段“感情” 了。不仅因为你变得越来越贵，而且因为你真的不适合我。我咳嗽得太频繁了，耐力也变差了，口气也变得很难闻。但别为我担心，我正在寻找其他方法来安慰自己。爱你很久了，现在该说再见了。

当你认真写下这封“分手信”后，你就会发现自己为什么会被这些东西所吸引，并能够确定它们背后的积极意图，然后摆脱它们。

第二个方法是把软瘾翻译成感受。如果你仔细观察就会发现，我们的各种软瘾——无论是暴饮暴食，还是总是生闷气，都与潜在的感受有关。比如，每当你对一个新工作任务感到焦虑时，就会不停地查看邮件；每当你缺乏安全感的时候，就会想发火。这种时候，就可以把这个软瘾翻译为焦虑或者缺乏安全感。接着，你可以想想，能做些什么来照顾自己的感受，安慰自己，而不是投向软瘾的怀抱。最后，我们需要记住的是，自己和自己的感受都是弥足珍贵的，他们值得我们好好对待。