蓝翔近日由于黑掉了谷歌，又受到美国国家安全局的关注，所做事件在纽约时报曝光。顿时声名雀鹤。其实我一点都不感到意外。做为蓝翔的一名工作人员，知道很多东西，基于国家安全保密原则我不能透露，只说我知道的几点。

1、蓝翔没有你们看广告以为那么简单。

2、蓝翔确实有军方背景，一直和清华、哈工大、国防科大、上海交大、蓝翔五个学校承担了一个重大的国防科研项目，科研方向保密。这个项目不是随便可以参与的，清华是实力、哈工大是国防科工委的老大，国防科大是军校老大，所以才能直接进入，蓝翔是秘密基地，上海交大本来没份的，但因为校友的关系（就不用具体问谁了吧）加入了进来。我们主要负责电子干扰，网络超限战科研部分。这个不方面说得太细。北京大学、还有北京理工曾经申请加入进来，被拒绝。

3、蓝翔有八个专业：数控、其实是高达控制专业。厨师、其实是化学武器制造与防御。汽修、其实是高达与重型战争机械制造。挖掘机、其实是异型高达进阶。美容发，其实是伪装与战略忽悠。电焊，其实是激光武器与高能粒子武器设计。无线电，磁电声光波探测与预警系统。计算机，不做解释。

4、计算机很强，但其实不是蓝翔的王牌专业，蓝翔的四大王牌是数控、汽修、挖掘、电焊，计算机排五到七位，但在国内高校里已经无敌了，顺便说一个银河计算机其实是我们造的，为了保密，我们送给了国防科大。

5、据我所知，中国最好的坦克就是汽修专业秘密的研制的，但出于国家安全考虑，科研成果也算在了其它高等院校头上。电焊主要干的是卫星和火箭焊接，在这方面的水平，略逊于哈工大。为此，上面的人发了很多脾气，电焊系的老师压力很大，去年就有两个跳槽了，一个去了英国的帝国理工做教授，一个去了台 湾，大陆方面曾经派人截杀，一个上将勃然大怒说，去台湾的那个人相当于五个师，但受到美国情报局干扰，未果。

6、国家考虑过让蓝翔加入985行列，但中央军委不同意，国之利器，不可轻易示人。蓝翔也有很多老师不同意，对于蓝翔这样私密以及水准的学校，成为985，跟湖南大学、重庆大学、华南理工这样的鱼腩学校摆在一起是一种赤裸裸的羞辱。

7、这次黑客门倒是个意外，是源于计算机的一个老师和学生（这个学生是西北工业大学的研究生，来这进修了两年，名叫邢**，选派来的）因情感问题吵架，这两人爱上了同一个女生。老师威胁学生不让他考试及格，学生求情，老师鄙视他道你要是能黑掉谷歌，我就让你及格。结果…

8、中国有很多东西是不能往外说的，尤其是牵涉到国家安全。

9、言尽于此，再多说就要被喝茶了。

10、另外我曾经在校长室遇见过一个人，讲阿拉伯语，疑似本 拉登

11、我们的外部口号是：不想当黑客的厨师，不是好司机。内部口号是：我运即国运，国之安危系于南翔一校。

12、这两天看到南有上交，北有南翔的说法，我们很多同事都感到深深的羞辱，这两个学校从来就不是一个档次，南翔的眼光，只偶尔瞟一瞟剑桥、牛津、哈佛、耶鲁。不知道还有其它大学。当有人说道南有上交，北有南翔时，我们一个教导主任，眼泪都流了出来，苦涩地道：算了，算了，谁叫我们一直潜伏成一个技校呢……南慕容，北乔峰，南上交，北南翔，也就这差距了嘛！

在填写GetMessage()的参数的时候，按照VS2008显示的参数进行填写。GetMessage(&msg,hwnd,0,0)

写好回调后编译，运行，结果点退出之后窗体消失，程序并不退出，打开任务管理器发现CPU飙满。

baidu到一篇和我遇到问题一样，没有解决。

OD载入调试，在GetMessage下断，发现返回-1，加了一句GetLastError()返回0×578,窗体指针无效，豁然开朗。

原来是GetMessage()的第二个参数应该添NULL表示接受所有窗口的消息，我添的是hwnd，DestroyWindow后句柄就无效了，因此GetMessage()返回-1并且进入死循环了。改成NULL就可以正常接收到PostQuitMessage()的消息了！

在输入用户名和序列号的地方随便输入，弹出错误对话框。

用lordPE查看输入表发现user32模块中有GetDlgItemTextA，直接OD加载对其下断，运行回到程序领空：

004012B5  |.  6A 0B         |push    0B                              ; /Count = B (11.)
004012B7  |.  68 8E214000   |push    0040218E                        ; |Buffer = serial.0040218E
004012BC  |.  68 E8030000   |push    3E8                             ; |ControlID = 3E8 (1000.)
004012C1  |.  FF75 08       |push    dword ptr [ebp+8]               ; |hWnd
004012C4  |.  E8 07020000   |call    <jmp.&USER32.GetDlgItemTextA>   ; \GetDlgItemTextA    得到用户名

004012C9  |.  83F8 01       |cmp     eax, 1                          ;  判断得到用户名是否为空
004012CC  |.  C745 10 EB030>|mov     dword ptr [ebp+10], 3EB
004012D3  |.^ 72 CC         \jb      short 004012A1
004012D5  |.  6A 0B         push    0B                               ; /Count = B (11.)
004012D7  |.  68 7E214000   push    0040217E                         ; |Buffer = serial.0040217E
004012DC  |.  68 E9030000   push    3E9                              ; |ControlID = 3E9 (1001.)
004012E1  |.  FF75 08       push    dword ptr [ebp+8]                ; |hWnd
004012E4  |.  E8 E7010000   call    <jmp.&USER32.GetDlgItemTextA>    ; \GetDlgItemTextA    得到序列号
004012E9  |.  B8 01000000   mov     eax, 1
004012EE  |.  EB 07         jmp     short 004012F7
004012F0  |>  B8 00000000   mov     eax, 0
004012F5  |.^ EB 8D         jmp     short 00401284
004012F7  |>  50            push    eax                              ; /Result
004012F8  |.  FF75 08       push    dword ptr [ebp+8]                ; |hWnd
004012FB  |.  E8 B2010000   call    <jmp.&USER32.EndDialog>          ; \EndDialog    关闭输入对话框
00401300  |.  B8 01000000   mov     eax, 1
00401305  \.^ E9 7AFFFFFF   jmp     00401284

继续跟来到这里

00401228   .  68 8E214000   push    0040218E                         ;  ASCII “lingdux”
0040122D   .  E8 4C010000   call    0040137E                         ;  用户名算法call
00401232   .  50            push    eax                              ;  保存用户名加密后的值
00401233   .  68 7E214000   push    0040217E                         ;  ASCII “123456″
00401238   .  E8 9B010000   call    004013D8                         ;  序列号的算法call
0040123D   .  83C4 04       add     esp, 4
00401240   .  58            pop     eax                              ;  从堆栈中取出之前保存的用户名加密后的结果
00401241   .  3BC3          cmp     eax, ebx                         ;  序列号算完保存在ebx中，与用户名比较
00401243   .  74 07         je      short 0040124C

nop掉这处je就可以爆破了，然后分析两个算法call

第一个call    0040137E是加密用户名的，跟进去分析。。

0040137E  /$  8B7424 04     mov     esi, dword ptr [esp+4]
00401382  |.  56            push    esi
00401383  |>  8A06          /mov     al, byte ptr [esi]
00401385  |.  84C0          |test    al, al                 ;  检测是不是到了字符串结尾
00401387  |.  74 13         |je      short 0040139C
00401389  |.  3C 41         |cmp     al, 41                 ;  小于字符A跳
0040138B  |.  72 1F         |jb      short 004013AC
0040138D  |.  3C 5A         |cmp     al, 5A                 ;  大于字符Z跳
0040138F  |.  73 03         |jnb     short 00401394
00401391  |.  46            |inc     esi
00401392  |.^ EB EF         |jmp     short 00401383
00401394  |>  E8 39000000   |call    004013D2               ;  小写字母转换成大写字母call
00401399  |.  46            |inc     esi                    ;  serial.0040218E
0040139A  |.^ EB E7         \jmp     short 00401383         ;  如果字符串中有小写字母转换为大写，如果有数字则直接跳出
0040139C  |>  5E            pop     esi
0040139D  |.  E8 20000000   call    004013C2                ;  求字母asc码值的和call
004013A2  |.  81F7 78560000 xor     edi, 5678               ;  结果和5678异或
004013A8  |.  8BC7          mov     eax, edi                ;  结果保存在eax中作为返回值
004013AA  |.  EB 15         jmp     short 004013C1
004013AC  |>  5E            pop     esi
004013AD  |.  6A 30         push    30                      ; /Style = MB_OK|MB_ICONEXCLAMATION|MB_APPLMODAL
004013AF  |.  68 60214000   push    00402160                ; |Title = “Error!  ”
004013B4  |.  68 69214000   push    00402169                ; |Text = “Incorrect!,Try Again”
004013B9  |.  FF75 08       push    dword ptr [ebp+8]       ; |hOwner
004013BC  |.  E8 79000000   call    <jmp.&USER32.MessageBox>; \MessageBoxA
004013C1  \>  C3            retn

004013C2  /$  33FF          xor     edi, edi
004013C4  |.  33DB          xor     ebx, ebx
004013C6  |>  8A1E          /mov     bl, byte ptr [esi]
004013C8  |.  84DB          |test    bl, bl                 ;  检测是否到字符串尾
004013CA  |.  74 05         |je      short 004013D1
004013CC  |.  03FB          |add     edi, ebx               ;  循环加和到edi中
004013CE  |.  46            |inc     esi
004013CF  |.^ EB F5         \jmp     short 004013C6
004013D1  \>  C3            retn

004013D2  /$  2C 20         sub     al, 20                  ;  小写字母asc值加0×20就是对应的大写
004013D4  |.  8806          mov     byte ptr [esi], al
004013D6  \.  C3            retn

用户名中不能有数字，小写字母均转换成大写并所有字母的数值加和与0×5678异或得出的值用来做比较

下面分析序列号加密。。

004013D8  /$  33C0          xor     eax, eax
004013DA  |.  33FF          xor     edi, edi
004013DC  |.  33DB          xor     ebx, ebx
004013DE  |.  8B7424 04     mov     esi, dword ptr [esp+4]
004013E2  |>  B0 0A         /mov     al, 0A
004013E4  |.  8A1E          |mov     bl, byte ptr [esi]
004013E6  |.  84DB          |test    bl, bl                 ;  判断是否到字符串结尾
004013E8  |.  74 0B         |je      short 004013F5
004013EA  |.  80EB 30       |sub     bl, 30                 ;  数字的asc减0×30相当于把字符转换成值
004013ED  |.  0FAFF8        |imul    edi, eax               ;  edi用于保存结果，每次相加前edi乘以0×0A，相当于进位
004013F0  |.  03FB          |add     edi, ebx               ;  和数值相加
004013F2  |.  46            |inc     esi
004013F3  |.^ EB ED         \jmp     short 004013E2
004013F5  |>  81F7 34120000 xor     edi, 1234               ;  执行循环后结果和0×1234异或
004013FB  |.  8BDF          mov     ebx, edi                ;  最终结果保存在ebx中
004013FD  \.  C3            retn

 序列号的加密方法就是：把输入的字符串转换成一个数然后和0×1324异或

由于异或是可逆的，非常容易写出算法注册机。

char name[256];
 cin>>name;
 CharUpper(name);
 int s=0;
 int i=0;
 while(name[i])
 {
  s+=name[i];
  i++;
 }
 s^=0×5678;
 s^=0×1234;
 cout<<s<<endl;

上面代码编译执行，输入用户名就输出序列号了～！～

今天在小熊看到一段关闭360托盘程序的代码，是delphi的，作者是9908006

翻译成了C的编译了一下,测试可以关闭仅有托盘状态的360。

大小仅1K～！～

测试在Windows xp sp3下有效

下载地址：http://www.lingdux.com/upload/k360.rar

连法：七五式改+荒咬+荒咬+九伤+下A+大蛇雉～！