首页
论坛
专栏
课程

[旧帖] [原创]记对程序监控大师的破解体会 0.00元

2011-8-6 09:08 1487

[旧帖] [原创]记对程序监控大师的破解体会 0.00元

2011-8-6 09:08
1487
【文章标题】: 记对程序监控大师的破解体会
【文章作者】: 冷夜/nightx
【作者邮箱】: lengyeasu@163.com
【作者主页】: http://nightx.info/
【作者QQ号】: 648274142
【软件名称】: 程序监控大师
【软件大小】: 499,200 字节
【下载地址】: 自己搜索下载
【加壳方式】: ASPack 2.12 -> Alexey Solodovnikov
【保护方式】: 加壳,重启验证注册码
【编写语言】: Delphi
【使用工具】: Ollyice,Peid,Keymake
【操作平台】: Windows
【软件介绍】: 对系统中的程序运行进行监控,防止未经授权的程序运
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  首先Peid查一下壳,加的是ASPack 2.12 -> Alexey Solodovnikov。手工用ESP定律很简单。这里不这样做。
  为了入门者学习更多,我以脚本的方法脱壳。
  编写OD的脚本我整理了一些注释。
  -------
  var//定义变量
  sto//单步,相当于F8
  mov addr,esp//将ESP寄存器地址存入addr中
  bphws addr,"r" //下硬件访问断点
  bphws addr, "x"  //下硬件执行断点
  bphwc addr //取消断点
  run//相当于F9
  MSG "Something Find!It might be OEP!"//提示信息
  cmt eip,"..."//在EIP处加注释
  rtu //ALT+F9返回
  rtr //执行到返回,相当与CTRL+F9
  ret  //结束脚本
  sti //F7跟进
  esto//SHIFT+F9忽略异常
  findop eip, #FF630C#//查找特征码"FF630C"
  bp addr //下F2断点
  bc addr//取消断点
  repl eip, #0F85????????#, #0F84????????#, 10//修改当前指令
  MSGYN "。。。"//提示一些信息,YN对话框
  cmp $RESULT, 0//比较是否点"否"或"取消"
  je end//如果点"否"或"取消",就来到end处,end是自己定义的一个函数模块
  gpa "GetModuleHandleA", "kernel32.dll"//找特征API函数
  mov addr, $RESULT //把找到的地址放变量addr中
  add addr,5//addr=addr+5
  find eip, #0F84????????# //查找特征码,"?"为通配符
  -------
  下面就分析一下脱壳过程:单步一次,一次ESP定律,单步三次即可。
  这样编写脚本就很简单,如下:
  -------
  //////////////////////////////////////////////////
  /// ASPack 2.12 -> Alexey Solodovnikov脱壳脚本 ///
  /// by 冷夜 ///
  ///http://nightx.info ///
  /// 2011.8.5 ///
  //////////////////////////////////////////////////
  var addr//定义地址变量
  sto//单步,相当于F8
  mov addr,esp//将ESP寄存器地址存入addr中
  bphws addr,"r" //下硬件访问断点
  run//相当于F9
  bphwc addr //取消断点
  sto//单步,相当于F8
  sto
  sto
  cmt eip,"此处为OEP,脱了吧..."//在EIP处加注释
  MSG "Something Find!It might be OEP!"//提示信息
  ret  //结束脚本
  -------
  这里写脚本只是为了给入门者一点编写脚本的例子。至于这个简单的壳制作脚本自然是花哨了。
  OK,编写完后测试一下。按照我们的要求到达OEP,如图1,

直接用OD插件DUMP出来即可。脱壳后的文件保存为unpack.exe  运行一下,软件是重启验证型的。
  载入Ollyice中,查找一下字符串,软件很简单,找到了“未购买用户”这一串。双击进入下面代码区域:
  -------
  004D9413  |. /75 07                  jnz     short 004D941C
  004D9415  |. |C605 F0F54D00 01       mov     byte ptr [4DF5F0], 1
  004D941C  |> \8BC3                   mov     eax, ebx
  004D941E  |.  E8 59A8F2FF            call    00403C7C
  004D9423  |.  803D F0F54D00 00       cmp     byte ptr [4DF5F0], 0
  004D942A  |.  75 27                  jnz     short 004D9453
  004D942C  |.  8D55 E8                lea     edx, dword ptr [ebp-18]
  004D942F  |.  A1 ECF54D00            mov     eax, dword ptr [4DF5EC]
  004D9434  |.  E8 1B8AF6FF            call    00441E54
  004D9439  |.  8D45 E8                lea     eax, dword ptr [ebp-18]
  004D943C  |.  BA E8944D00            mov     edx, 004D94E8                             ;   - 未购买用户
  004D9441  |.  E8 82B8F2FF            call    00404CC8
  004D9446  |.  8B55 E8                mov     edx, dword ptr [ebp-18]
  004D9449  |.  A1 ECF54D00            mov     eax, dword ptr [4DF5EC]
  004D944E  |.  E8 318AF6FF            call    00441E84
  004D9453  |>  33C0                   xor     eax, eax
  004D9455  |.  5A                     pop     edx
  004D9456  |.  59                     pop     ecx
  004D9457  |.  59                     pop     ecx
  004D9458  |.  64:8910                mov     dword ptr fs:[eax], edx
  004D945B  |.  68 7D944D00            push    004D947D
  004D9460  |>  8D45 E8                lea     eax, dword ptr [ebp-18]
  004D9463  |.  E8 A0B5F2FF            call    00404A08
  004D9468  |.  8D45 EC                lea     eax, dword ptr [ebp-14]
  004D946B  |.  BA 05000000            mov     edx, 5
  004D9470  |.  E8 B7B5F2FF            call    00404A2C
  004D9475  \.  C3                     retn
  004D9476   .^ E9 95AFF2FF            jmp     00404410
  004D947B   .^ EB E3                  jmp     short 004D9460
  -------
  字符串参考还有部分是
  -------
  004D97DC  /.  55                     push    ebp
  004D97DD  |.  8BEC                   mov     ebp, esp
  004D97DF  |.  6A 00                  push    0
  004D97E1  |.  33C0                   xor     eax, eax
  004D97E3  |.  55                     push    ebp
  004D97E4  |.  68 59984D00            push    004D9859
  004D97E9  |.  64:FF30                push    dword ptr fs:[eax]
  004D97EC  |.  64:8920                mov     dword ptr fs:[eax], esp
  004D97EF  |.  803D F0F54D00 01       cmp     byte ptr [4DF5F0], 1
  004D97F6  |.  75 3C                  jnz     short 004D9834
  004D97F8  |.  8D45 FC                lea     eax, dword ptr [ebp-4]
  004D97FB  |.  8B0D F4F54D00          mov     ecx, dword ptr [4DF5F4]
  004D9801  |.  BA 6C984D00            mov     edx, 004D986C                             ;  本软件已注册给:
  004D9806  |.  E8 01B5F2FF            call    00404D0C
  004D980B  |.  8B55 FC                mov     edx, dword ptr [ebp-4]
  004D980E  |.  A1 7CD24D00            mov     eax, dword ptr [4DD27C]
  004D9813  |.  8B00                   mov     eax, dword ptr [eax]
  004D9815  |.  8B80 20030000          mov     eax, dword ptr [eax+320]
  004D981B  |.  E8 6486F6FF            call    00441E84
  004D9820  |.  A1 7CD24D00            mov     eax, dword ptr [4DD27C]
  004D9825  |.  8B00                   mov     eax, dword ptr [eax]
  004D9827  |.  8B80 20030000          mov     eax, dword ptr [eax+320]
  004D982D  |.  B2 01                  mov     dl, 1
  004D982F  |.  E8 4085F6FF            call    00441D74
  004D9834  |>  A1 7CD24D00            mov     eax, dword ptr [4DD27C]
  004D9839  |.  8B00                   mov     eax, dword ptr [eax]
  004D983B  |.  8B10                   mov     edx, dword ptr [eax]
  004D983D  |.  FF92 E8000000          call    near dword ptr [edx+E8]
  004D9843  |.  33C0                   xor     eax, eax
  004D9845  |.  5A                     pop     edx
  004D9846  |.  59                     pop     ecx
  004D9847  |.  59                     pop     ecx
  004D9848  |.  64:8910                mov     dword ptr fs:[eax], edx
  004D984B  |.  68 60984D00            push    004D9860
  004D9850  |>  8D45 FC                lea     eax, dword ptr [ebp-4]
  004D9853  |.  E8 B0B1F2FF            call    00404A08
  004D9858  \.  C3                     retn
  -------
  想来这部分就是软件判断注册成功后跳转的部分了。我们先不管这。在“未购买用户”部分有一个跳转:
  004D942A  |.  75 27                  jnz     short 004D9453
  上方有个Call:
  004D941E  |.  E8 59A8F2FF            call    00403C7C
  在这个Call按下F2下普通断点运行一下,堆栈里就会发现注册码了。如图2。

  这样破解追码就OK了。我们要做的当然不止这些。下面再做个补丁。
  在断点上面有一处
  004D940D  |.  58                     pop     eax              
  在这里下断点后运行。程序中断。此时寄存器EDX中就存放了真正的注册码。如图3。

  这样就可以用KeyMake制作一个内存注册机。
  设置注册机信息:
  1.添加程序。添加 中断地址 004D940D 次数 1 指令 58 长度 1
  2.注册码选择内存方式--勾选寄存器--选择EDX
  3.最后修改一下用户信息。选择一种方式生成即可。
  运行一下。如图4,成功得到真码。

文章还没完。既然用KeyMake可以编写。那我们自己也可以编写一下获取注册码:
  C语言的代码如下;
  ------
  #include <windows.h>
  void main()
  {
      PROCESS_INFORMATION pi;
      STARTUPINFO si;
      DEBUG_EVENT devent;
      CONTEXT Regs;
      Regs.ContextFlags = CONTEXT_FULL | CONTEXT_DEBUG_REGISTERS | CONTEXT_CONTROL;
      ZeroMemory(&pi, sizeof(pi));
      ZeroMemory(&si, sizeof(si));
      si.cb = sizeof(si);
      LPVOID breakAddr = (LPVOID)0x004D940D;  //这是断点地址,就是用工具生成注册机时要填的那个地址
      BYTE firstByte = 0x58;      //同样是生成注册机时要填的那个第一字节
      BYTE bp = 0xCC;
      DWORD real;
      BYTE buf[64];
      int nCount = 0;
      DWORD way;
      //用调试方式创建需要破解的程序进程,此处进程为Cxjk.exe
      if(CreateProcess("Cxjk.exe", NULL, NULL, NULL, FALSE,
          DEBUG_ONLY_THIS_PROCESS | DEBUG_PROCESS, NULL, NULL, &si, &pi))
      {
          //调试循环体
          while(TRUE)
          {
              //等待调试事件
              if(WaitForDebugEvent(&devent, INFINITE))
              {
                  way = DBG_EXCEPTION_NOT_HANDLED;
                  switch(devent.dwDebugEventCode)
                  {
                  case EXIT_PROCESS_DEBUG_EVENT:  //进程退出事件
                      //return;
                      break;
                  case EXCEPTION_DEBUG_EVENT:     //异常事件
                      {
                          if(devent.u.Exception.ExceptionRecord.ExceptionCode == EXCEPTION_BREAKPOINT)
                          {
                              nCount++;
                              //创建进程后会产生第一次异常中断,此时可以设置断点
                              if(nCount == 1)
                              {
                                  //读取第一个字节进行效验
                                  ReadProcessMemory(pi.hProcess, breakAddr, buf, 1, &real);
                                  if(buf[0] == firstByte)               
                                  {
                                      //设置断点
                                      DWORD oldProtect;
                                      VirtualProtectEx(pi.hProcess, breakAddr, 1, PAGE_READWRITE, &oldProtect);
                                      WriteProcessMemory(pi.hProcess, breakAddr, &bp, 1, &real);
                                      VirtualProtectEx(pi.hProcess, breakAddr, 1, oldProtect, NULL);
                                  }
                                  way = DBG_CONTINUE;
                              }
                              //如果是在断点处暂停,就可以读取内存中的注册码
                              else if(devent.u.Exception.ExceptionRecord.ExceptionAddress == breakAddr)
                              {
                                  GetThreadContext(pi.hThread, &Regs);
                                  ReadProcessMemory(pi.hProcess, (char *)Regs.Edx, buf, 64, &real);  //从寄存器Edx中读取注册码
                                  MessageBox(NULL, (char *)buf, "注册机 By 冷夜 http://nightx.info/     ", 0);
                                  //去除断点
                                  DWORD oldProtect;
                                  VirtualProtectEx(pi.hProcess, breakAddr, 1, PAGE_READWRITE, &oldProtect);
                                  WriteProcessMemory(pi.hProcess, breakAddr, &firstByte, 1, NULL);
                                  VirtualProtectEx(pi.hProcess, breakAddr, 1, oldProtect, NULL);
                                  //回到断点处继续执行
                                  Regs.Eip = (DWORD)breakAddr;
                                  SetThreadContext(pi.hThread, &Regs);
                                  way = DBG_CONTINUE;
                              }
                          }
                          break;
                      }
                  }
                  ContinueDebugEvent(pi.dwProcessId, pi.dwThreadId, way);
              }
          }
      }
      else
          MessageBox(NULL, "请将注册机和要破解程序放在同一目录", NULL, 0);
  }
  -------
  声明一下,代码不是我写的,是东拼西凑借鉴程序员的代码得到的。呵呵。运行一下。也成功。
  用户名:冷夜 注册码;是29ACF5B22A1B6323A3A72075DB4447407E1C5D9FBAE52D13
  
--------------------------------------------------------------------------------
【经验总结】
  软件还是很简单的。重要的只是思路而已。希望文章能对初学者有所帮助。
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于冷夜/nightx, 转载请注明作者并保持文章的完整, 谢谢!

                                                       2011年08月05日 08:26:48


2020安全开发者峰会(2020 SDC)议题征集 中国.北京 7月!

上传的附件:
  • 1.jpg (21.57kb,172次下载)
  • 2.jpg (37.70kb,174次下载)
  • 3.jpg (21.43kb,174次下载)
  • 4.jpg (11.95kb,173次下载)
最新回复 (12)
zengde 2011-8-6 09:13
2
0
进来学习
loongzyd 10 2011-8-6 09:15
3
0
顶楼主一个
落叶飞飞 2011-8-6 09:23
4
0
标记一下,留着有用
老公 2011-8-6 09:35
5
0
恩,好,值得借鉴
qczhjj 2011-8-6 10:40
6
0
看不懂也要顶
nightx 2011-8-6 16:03
7
0
呵呵,谢谢各位支持。
haohaoailu 2011-8-11 12:34
8
0
mask下..................
babalove 2011-8-11 13:05
9
0
支持 学习loader代码
pachelbel 2011-8-13 15:00
10
0
分析的很详细  
我也想早点转正啊00.
飞机草 2011-8-13 15:15
11
0
这个不错,学习了
resetinglm 2011-8-13 15:57
12
0
学习了。我还没学到那一步呢
z许 2011-8-13 16:05
13
0
楼主起点好高啊。。。。。学习学习了。。。。
游客
登录 | 注册 方可回帖
返回