吾爱汇编

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 3804|回复: 14

[原创逆向图文] 网络验证的攻与防 攻篇(二)

  [复制链接]
xu2611 发表于 2016-10-19 13:01 | 显示全部楼层 |阅读模式

本帖最后由 xu2611 于 2016-10-19 13:08 编辑

攻篇(一)地址:https://www.52hb.com/thread-28589-1-1.html
攻篇(一)所有的网络验证是某可9.5版,关键API没有带VMP标记,所以加壳的时候关键API并没有被VM,这次我把示例程序换成9.1版,关键API是带VMP标记的,这篇主讲VM后的程序怎么处理
先讲一讲VM后的程序如何定位API头部,易语言的VMP标记是在API头部以下的,所以一般的加壳并没有VM掉API的头部
打个比方,如果你现在正想破一个某可9.1版的程序,你先找一份某可9.1版的原程序,生成一个示例程序,然后对照程序用OD跟踪出未加壳的头部地址
我的示例程序ks_IdCheck函数的头部在408FF3处,如下图
10191.jpg
看箭头所指地方,是VMP的标记字符串,字符串上面是一个JMP,然后把头部到VMP标记以面的JMP之前的二进制代码复制一下
55 8B EC 81 EC 94 00 00 00 C7 45 FC 00 00 00 00 C7 45 F8 00 00 00 00 68 0C 00 00 00 E8 64 2D 01
00 83 C4 04 89 45 F4 8B D8 C7 03 00 00 00 00 C7 43 04 00 00 00 00 C7 43 08 00 00 00 00 C7 45 F0
00 00 00 00 C7 45 EC 00 00 00 00 C7 45 E8 00 00 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00
C7 45 DC 00 00 00 00 C7 45 D8 00 00 00 00 C7 45 D4 00 00 00 00 C7 45 D0 00 00 00 00 C7 45 CC 00
00 00 00 68 10 00 00 00 E8 F8 2C 01 00 83 C4 04 89 45 C8 8B D8 C7 03 00 00 00 00 C7 43 04 00 00
00 00 C7 43 08 00 00 00 00 C7 43 0C 00 00 00 00 C7 45 C4 00 00 00 00 68 08 00 00 00 E8 C4 2C 01
00 83 C4 04 89 45 C0 8B F8 BE 78 51 4A 00 AD AB AD AB
由于每次用原程序重新生成程序的时候,图片中CALL的地址基本都会不一样,所以上面的二进制要改一下才能用在别的程序,怎么改呢?把CALL后面的地址用OD的通配符??代替,就变成了下面的二进制代码、
55 8B EC 81 EC 94 00 00 00 C7 45 FC 00 00 00 00 C7 45 F8 00 00 00 00 68 0C 00 00 00 E8 ?? ?? ??
?? 83 C4 04 89 45 F4 8B D8 C7 03 00 00 00 00 C7 43 04 00 00 00 00 C7 43 08 00 00 00 00 C7 45 F0
00 00 00 00 C7 45 EC 00 00 00 00 C7 45 E8 00 00 00 00 C7 45 E4 00 00 00 00 C7 45 E0 00 00 00 00
C7 45 DC 00 00 00 00 C7 45 D8 00 00 00 00 C7 45 D4 00 00 00 00 C7 45 D0 00 00 00 00 C7 45 CC 00
00 00 00 68 10 00 00 00 E8  ??  ?? ?? ?? 83 C4 04 89 45 C8 8B D8 C7 03 00 00 00 00 C7 43 04 00 00
00 00 C7 43 08 00 00 00 00 C7 43 0C 00 00 00 00 C7 45 C4 00 00 00 00 68 08 00 00 00 E8 ?? ?? ??
?? 83 C4 04 89 45 C0 8B F8 BE 78 51 4A 00 AD AB AD AB
然后在易语言的401000处开始,用上面的二进制代码查找,就可以找到VM后的ks_IdCheck函数头部,这种方法也就是所谓的特征码定位,用这种方法,只要你网络验证的同版本的原程序,基本就可以把API的头部查找出来
ks_IdCheck函数的HOOK在攻篇(一)中有兴趣的去看攻篇(一)
下面我们解决第二个关键函数ks_GetData
用OD跟踪,ks_GetData函数头部在41508A处,下面我们看一看这个函数的说明
10192.jpg
此函数根据不同的输入整数返回不同的信息,我的例子就写了一个输入整数为4,返回的是用户绑定信息,我们假设此信息是文本:123456
则我们的HOOK程序的写法如下图
10193.jpg
如果要返回别的信息,你们可以自己改写一下就行了,所有要用到程序和原代码都打包好了
下载地址为:链接: http://pan.baidu.com/s/1b8XA26 密码: xxsa
压缩包里的程序没有加VMP壳,你们可以自己加一下VMP壳比较一下未VM与VM后函数内部的变化,上面的特征码定位方法大家自己动手操作一下更容易懂
对照例子,只要你手上有某可同版本的原代码,解决ks_IdCheck与ks_GetData是没有问题的。压缩包里有HOOK原代码,也有注入程序源代码,怎么HOOK大家可以参照一下我的写法,别光看帖子,要接合原代码






补充内容 (2016-10-29 14:41):
攻篇三传送门:https://www.52hb.com/thread-28868-1-1.html

评分

参与人数 22HB +38 THX +10 收起 理由
lies + 1
sjtkxy + 1 + 1
花盗睡鼠 + 1 [吾爱汇编论坛52HB.COM]-学破解防破解,知进攻懂防守!
24567 + 1
zxjzzh + 1 [吾爱汇编论坛52HB.COM]-软件反汇编逆向分析,软件安全必不可少!
禽大师 + 1
一路走来不容易 + 2
消逝的过去 + 1
冷亦飞 + 1
liugu0hai + 1 [吾爱汇编论坛52HB.COM]-感谢楼主热心分享,小小评分不成敬意!
叶落花开 + 1
jaunic + 2
mengzhisuoliu + 1
xiangyouxinshen + 1 [快捷评语] - 2017,让我们17学破解!
巅峰一挥 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
张家湾 + 1 [快捷评语] - 分享精神,是最值得尊敬的!
TT94186 + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
moon + 1 + 1 分享精神,是最值得尊敬的!
列明 + 1 分享精神,是最值得尊敬的!
mxx852 + 1 + 1 评分=感恩!简单却充满爱!感谢您的作品!
hpoon + 1 分享精神,是最值得尊敬的!
Shark恒 + 20 + 1 吃水不忘打井人,给个评分懂感恩!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
顾冷 发表于 2016-10-20 10:03 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
列明 发表于 2016-10-20 13:27 | 显示全部楼层

貌似没热回复,怎麽回事,看了教程就要標記一下,我看了,,,,,呃,,,,,雖然沒學會
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
TT94186 发表于 2016-10-20 19:42 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
Cser2 发表于 2016-10-31 13:54 | 显示全部楼层

HOOK处 接受参数数据 发送到中转服务器 再接受API返回数据就是中转API了
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
MJL399062763 发表于 2017-2-2 12:07 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
张家湾 发表于 2017-4-8 15:46 | 显示全部楼层

学习下谢谢分享
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
头像被屏蔽
DNA 发表于 2017-5-15 13:44 | 显示全部楼层

提示: 作者被禁止或删除 内容自动屏蔽
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
巅峰一挥 发表于 2017-5-15 18:12 | 显示全部楼层

分享精神,是最值得尊敬的!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
头像被屏蔽
别管我了行 发表于 2022-4-14 12:17 | 显示全部楼层

提示: 作者被禁止或删除 内容自动屏蔽
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编(www.52hb.com)所讨论的技术及相关工具仅限用于研究学习,皆在提高软件产品的安全性,严禁用于不良动机。任何个人、团体、组织不得将其用于非法目的,否则,一切后果自行承担。吾爱汇编不承担任何因为技术滥用所产生的连带责任。吾爱汇编内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@sina.com
站长QQ:1140549900


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编 ( 京公网安备11011502005403号 , 京ICP备20003498号-6 )|网站地图

Powered by Discuz!

吾爱汇编 www.52hb.com

快速回复 返回顶部 返回列表