软件逆向技术之API替换

本教程是通过对金盾视频播放器2017S(V17.4)专业版逆向的过程进行技术分享.

API替换技术与API HOOK原理差不多，但使用上面略有不同.

简单讲一下两者的区别:
API HOOK:是修改原API的内存地址，增加jmp语句跳转到新的API地址，然后再恢复原API内存地址，这样整个进程中所有调用原API都会被截获，这种办法弊端是有可能会被反HOOK检测到，从而导致软件异常.
举例说明，假如要HOOK函数GetLocalTime到你的my_GetLocalTime函数:
1.写一个DLL程序，同时定义my_GetLocalTime函数，参数与GetLocalTime相同:
void WINAPI my_GetLocalTime(LPSYSTEMTIME lpSystemTime)
{
}

2.在DLL加载的时候先保存原API的内存前7个字节，然后再修改原API GetLocalTime地址内存，汇编代码为:  
mov eax, my_GetLocalTime
jmp eax
上面是7个字节

3.在my_GetLocalTime中
void WINAPI my_GetLocalTime(LPSYSTEMTIME lpSystemTime)
{
    //将原API的7个字节恢复，然后这里就可以调用原API
    GetLocalTime(lpSystemTime);
    //为了保证下一次还进行HOOK,所以这里还需要把新的7个字节再写回到原API地址
}

API替换： 同样是截获API调用，但API替换是仅对调用API的地方做代码修改,使之CALL到新的函数
举例说明,假设程序有3处调用了GetLocalTime
地址1  : xxxxxx10 -   call GetLocalTime
地址2  : xxxxxx80 -   call GetLocalTime
地址3  : xxxxxxB0 -   call GetLocalTime

如果我们只想改变地址2的调用我们的my_GetLocalTime，也就是:
地址2  : xxxxxx80 -   call my_GetLocalTime
这样就仅仅是对原程序的patch,不需要动态的回写API内存地址数据,也就可以逃避反HOOK检测

重点来了，基于这个原理，我就分享一下对金盾视频播放器2017S(V17.4)专业版逆向过程:

很多人应该都知道金盾视频播放器的加密和播放过程，我简单介绍一下:

1.首先运行加密系统对一个视频文件进行加密，如图:


输入密码,其他使用缺省, 点击开始加密，这样视频就加密完成了.

2.用户用一个专门的播放器打开加密的视频文件，会显示如下界面:


3.加密系统根据用户的机器码创建一个播放密码。


4.用户输入播放密码就能够正确播放。
OK,软件使用介绍完了，下面进入正题.
PS : 本逆向是的前提是已知一对机器码和播放密码.

1.软件如何获取的机器码?


机器码分为4部分:

1)第1部分:4fd09
读取注册表：
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystem
    项名: SystemBiosVersion

比如我的机器:


把0x0000换成分号”;”,比如为 : LENOVO C 1370; 然后再转换为ASC II码,然后进行MD5，最后取前5个字符做为第1部分

代码位置:


2)   第2部分:f14c1
读磁盘序列号:
通过API CreateFileW打开"\.PhysicalDrive0"设备，然后调用DeviceIoControl, IoControlCode = SMART_RCV_DRIVE_DATA来获取磁盘数据信息,获取和数据长度是0x210,然后取出110000000xxxx01序列号：


    和第1步同样先转换到ASCII码，然后计算MD5,再取前5个字符.

代码位置:


3)第3部分:896e4
读取注册表：
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystem
    项名: VideoBiosVersion 和 VideoBIOSDate


然后把两部分加起来，用”;”分隔,同样是转换到ASCII码，然后计算MD5,再取前5个字符.

代码位置:



4)第4部分:00000
这部分是固定的为 00000, 确切的说如果绑定了网卡，这里是网卡的MD5

最后把4部分用 ”-“拼接就组成了机器码.

2.逆向方案?

因为播放器播放视频是一机一码，因为已知一组机器码和对应的播放密码，那么我们就使用模拟机器码的方案进行逆向，主要分2部分逆向工作.

1)拦截注册表API:
让每台机器获取的注册表和磁盘信息都一样，也就是返回固定的内容,也就是让3部分内容都返回我们给定的固定的内容.拦截的API是RegQueryValueExW,至于磁盘信息，则可以通过把DeviceIoControl的返回值判断部分爆逆向决的，也就是jne改为je/jmp,让其判断结果出错，这样程序就会用空指针数据进行MD5计算.

项名: SystemBiosVersion,值为：SystemBiosVersion （可以任意给定）

项名: VideoBiosVersion,值为：VideoBiosVersion（可以任意给定）
项名: VideoBIOSDate,值为：VideoBIOSDate（可以任意给定）

    把值设定为和项名一样的内容，这样便于我们跟踪调试,也可以给其他的值，只要是固定的就可以。

2 拦截MD5计算函数:
这部分是对于我们设定的3部分内容在计算MD5值的时候，把它变为要模拟机器码的MD5数值.

如果程序要计算 “SystemBiosVersion;”的MD5,那么我们就知道这是要计算第1部分机器码的MD5，此时只要我们返回模拟机器码的第1部分即可,其他部分也是同样的，如果不是我们的内容则要计算出正确的MD5.

3.代码分析
已经确定了逆向方案，就要仔细的进行代码跟踪分析，找到要爆破的位置.

1)   API RegQueryValueExW这个容易找到，前面也已经分析过,3个地址：
0088FC79   .  E8 1E49B8FF   call 专用播放.0041459C   ; RegQueryValueExW
00890041   .  E8 5645B8FF   call 专用播放.0041459C   ; RegQueryValueExW
008900A0   .  E8 F744B8FF   call 专用播放.0041459C   ; RegQueryValueExW

2)MD5函数位置，这个可以有几种办法
a)通过设定内存访问断点的方法，一步一步确定MD5的计算函数
b)直接根据MD5算法的特征来查找代码:



根据以上两个关键特征就可以很容易找到代码的位置,经过分析调用MD5计算的位置是:

0076B9DA  |.  8D55 EC       lea edx,[local.5]    // edx存放输出MD5值的地址(16字节)
0076B9DD  |.  8B45 FC       mov eax,[local.1]    // eax存储要计算MD5字符串的地址
0076B9E0  |.  E8 A7FEFFFF   call 专用播放.0076B88C  // 这个是计算MD5的函数

4.DLL补丁程序编写
建立一个DLL工程，我使用的是VC，任何版本都可以,写两个函数，

1)我们自己的RegQueryValueExW，代码如下:


在这个我们自己的函数里，判断机器码3个项名,然后返回固定的内容，否则调用系统的函数处理

2)我们自己的MD5函数，代码如下:


这部分就是模拟机器码的部分，判断要计算MD5的字符串内容，然后返回对应的机器码，因为只取前5个字符，所以我们只需要返回前3个字节即可,如果不是我们的内容则使用标准的MD5计算函数。

3)导出一个API,为了可以让程序加载，后面会用到:


5.DLL程序加载
补丁DLL程序写好了，如何加载到程序，这就要使用一个工具CFF Explorer



让程序导入我们的api函数，然后“Rebuild Import Table”和保存即可,这样程序就在运行的时候加载我们的DLL补丁程序。

6.函数替换和代码补丁
一般函数拦截或者替换可以通过API HOOK的办法，但这个金盾程序有反HOOK处理，所以不太好直接用，所以我们就使用对原程序打补丁的办法，直接改变call函数。

1)对3个call RegQueryValueExW的地方都修改为call我们的my_RegQueryValueExW

0088FC79   .  E8 5226770F   call apijindu.100022D0
00890041   .  E8 8A22770F   call apijindu.100022D0
008900A0   .  E8 2B22770F   call apijindu.100022D0

    这是其中一个代码的示例:


这里说一下，CALL地址的计算方法:CALL 偏移地址 = 目标地址-当前地址-5
举例:
0x00890000 CALL   原API
新API地址为:   0x001000AA
0x00890000   CALL   (0x001000AA - 0x00890000 - 5)

2)对DeviceIoControl调用函数返回值判断的修改,就是改75为74,也就是jne=>je


3)MD5函数的替换：
这个要复杂很多，因为原md5计算是内部的函数，也没有参数，输入和输出分别是eax和edx,所以我们没办法直接改变原来的call到我们自己的my_MD5函数

所以只能采取jmp跳转的办法,首先得找到一大片可以插入代码的内存地址,遗憾的是，没找到合适的位置，没办法，只能采取更暴力的办法，改写不会调用的代码内存，最后确定008904AA - 008904C5这部分代码不会调用,直接填充90(NOP)


然后写跳转和调用的补丁代码:

先跳转到我们的NOP位置



在NOP位置写我们的代码,最后要跳回到之前位置:



至此补丁全部完成，运行播放器，会看到已经完全模拟了机器码，输入正确的密码，视频成功播放。


通过这种办法，只要修改my_MD5部分就可以模拟任何机器码，是一个通杀的解决方案。
由于这是给一个朋友逆向的，所以不能公布程序源代码，此帖主要是分享一种API替换的一种技术.

本教程完,欢迎交流.

金盾视频播放器2017S破解.zip (362.61 KB, 下载次数: 33)

2014-11-5 17:36 上传

点击文件名下载附件

本教程由 codelive 在某站发布。

顶。谢谢老大给我们提供这么好的材料，我要好好学习下

感谢分享

支持恒大   

有教程，学习一下

我也来看看了哦

api替换这个思路不错 但是要写参数、、也是醉了

收藏待用吧，现在对我来说有点小高深了

[快捷回复]-感谢楼主热心分享！

学习下这保存了