码迷,mamicode.com
首页 > 其他好文 > 详细

某过期不给用一例逆向过程记录

时间:2014-08-24 15:23:44      阅读:378      评论:0      收藏:0      [点我收藏+]

标签:style   blog   http   color   os   使用   io   文件   ar   

?

某过期不给用一例逆向过程记录

目录

某过期不给用一例逆向过程记录????1

1、目标功能受限????1

2、看看PE信息:????1

3、查看未注册或受限时显示方式。????1

4、直接载入,看看入口点。????1

5、接下来,首选字符串查找法。????1

6、看看过期后会咋样????1

7、同步骤5查找字符串????1

8、暂停程序回溯堆栈????1

9、以上就是去掉时间检测的逆向。????1

10、后记????1

11、其他????1

?

?

SQL浏览器3.5.7

1、目标功能受限

如下图:只有30天过期后不能用的限制,必须购买使用,或者不用扔到垃圾筐里。

?

bubuko.com,布布扣

2、看看PE信息:

?

bubuko.com,布布扣

bubuko.com,布布扣 bubuko.com,布布扣

?

Oep大,节区清晰,但额外信息显示有压缩迹象,有可能加了壳,另外有个debug区???也太大了,难道把什么都包括进去了。

?

3、查看未注册或受限时显示方式。

直接用OllyDbg打开也行。欢迎界面显示剩余天数,猜测字符串格式为"Trial version, %d days remaining"。注意,这块地方的剩余天数肯定是计算得来,然后写上去。所以猜测流程肯定是这样:每次打开时,先检查是否注册,未注册,获取本机时间,和第一次记录的比较,再把结果展示。现在根据方法,我们有4种方法来找到关键过程语句:一是最简单的查找字符串,二是下界面显示文件的API(标准控件,SetWindowText或SetDlgItemText;GDI或DX界面的写文字方法,没遇到过,可能需要去查下),个人觉得这个离关键语句近,而且带字符串,可条件断点;三是加载资源的LoadResource,LoadString等,四是这个界面出现[F12]暂停回溯堆栈,

bubuko.com,布布扣

4、直接载入,看看入口点。

一切OK,没有可疑的地方。

bubuko.com,布布扣

5、接下来,首选字符串查找法。

序模块-cpu窗口-右键菜单-查找-所有被引用的字符串(自带的貌似只能是"push 立即数"或"move 寄存器 立即数"形式,常是SetWindowText(xx, "string")这种写法,资源形式动态的了,可能setWindowText(xx, pszString/arrayString) 这种写法),并开始[Ctrl+F]打字搜索"Trial version"就行了,不必全部,再[Ctrl+L],嗯,只有一处。

?

bubuko.com,布布扣

?

双击目标或者焦点在目标上时回车,到CPU窗口定位,很快发现其他关键信息:"注册给"字符串。两个之前都有可以跳过的跳转。

bubuko.com,布布扣

我这里第一处跳:MOV EBX,EAX改为MOV BL,1

第二处跳修改;JNZ 00AE618D改为JMP 00AE618D

右键菜单-编辑-复制所有修改到可执行文件-弹窗后再右键菜单-保存文件...-改名保存

6、看看过期后会咋样

我们先把系统时间调整到30天后,然后打开之前修改的文件。提示已经过期,并且是以第二个弹窗:给出三个选择,一个是购买,一个是注册,一个是关闭程序。除了第二个再弹窗,其他都会结束程序。

这里有一点不好,OllyDbg打开重命名的可执行程序,原程序信息缓存不能用。

bubuko.com,布布扣 bubuko.com,布布扣

7、同步骤5查找字符串

这个对话框和前一个有很大不同,这个显示都是固定不变的。找到字符串位置了可能看不到关键跳转,也许这个地方是关键跳转的下一级调用或者回调。

很明显这些文字都是静态显示,没有条件判断。

bubuko.com,布布扣

bubuko.com,布布扣

USER32.dll模块里

回调类似带有这样的lpDialogFunc对话框。

?

非模态对话框

HWND CreateDialogParam(HINSTANCE hInstance, LPCTSTR lpTemplateName, HWND hWndParent, DLGPROC lpDialogFunc, LPARAM dwInitParam);

HWND CreateDialogIndirectParam(HINSTANCE hInstance, LPCDLGTEMPLATE lpTemplate, HWND hWndParent, DLGPROC lpDialogFunc, LPARAM lParamInit);

模态对话框

int DialogBoxIndirectParam( HINSTANCE hInstance, LPCDLGTEMPLATE hDialogTemplate, HWND hWndParent, DLGPROC lpDialogFunc, LPARAM dwInitParam);

int DialogBoxParam(HINSTANCE hInstance, LPCTSTR lpTemplateName, HWND hWndParent, DLGPROC lpDialogFunc, PARAM dwInitParam);

?

以上两个非模态对话框或两个模态对话框的创建不管是ASCII还是UNICODE版都会调用CreateDialogIndirectParamAorW或DialogBoxIndirectParamAorW,全都调用CreateWindowEx。

HWND CreateWindowEx(DWORD dwExStyle, LPCTSTR lpClassName, LPCTSTR lpWindowName, DWORD dwStyle, int x, int y, int nWidth, int nHeight, HWND hWndParent, HMENU hMenu, HINSTANCE hInstance, LPVOID lpParam );

我们在已经导入的创建对话框函数上打断点,结果无反应。再在CreateWindowEx上打断,不过比可能较多,因为控件等窗口比仅一个对话框来的多。所以可先在USER32.CreateWindowEx下个[Shift+F2]条件断点UNICODE[[ESP+8]] == "Register."。因为CreateWindowEx有导入。

还有可能按钮标题可能后添加上去的,如调用

BOOL USER32.SetWindowTextW(hWnd,Text),它会调用SendMessage。

LRESULT WINAPI SendMessage( _In_ HWND hWnd, _In_ UINT Msg, _In_ WPARAM wParam, _In_ LPARAM lParam);

#define WM_SETTEXT 0x000C

user32.TranslateMessage BOOL WINAPI TranslateMessage( _In_ const MSG *lpMsg);

typedef struct tagMSG {

HWND hwnd;

UINT message;

WPARAM wParam;

LPARAM lParam;

DWORD time;

POINT pt;

} MSG, *PMSG, *LPMSG;

?

如上,可能很慢定位。

8、暂停程序回溯堆栈

此外还可以通过出现注册对话框,按[F12]暂停,回溯调用堆栈。我们在第三个回溯找到了关键调用,这个调用阻塞了后面,即按钮后做出什么处理。

bubuko.com,布布扣

其实在前面我们查找字符串时已经可以看到的,就是往下滚动看看就看到和这个图一样的东西。

?

bubuko.com,布布扣

和前面一个预想的差不多,我们从[Alt+K]调用堆栈窗口,双击进入发起调用这个过程的地方,点击调用从。我们是断在这个proc_012ED3C4过程里的,从调用堆栈窗口看,CALL 012ED3C4是在过程proc_012EF64C里被调用的。

?

bubuko.com,布布扣

调用图如下,流程由堆栈记录,call(push),retn(pop),可在CPU窗口右下角堆栈里查看:

bubuko.com,布布扣bubuko.com,布布扣

bubuko.com,布布扣

?

来到上一级调用后,看到有个跳转可以跳过,我们直接改为jmp跳,此为第三处检测跳。[F9]运行直接跳过弹窗来到主界面,限制就破除了。

?

9、以上就是去掉时间检测的逆向。

前面有注册窗口,我们还可以进行注册码逆向。这个比修改文件难,需要分析算法。

先这样。

10、后记

最后,我的OllyDbg有问题啊,第一次修改两处保存运行没问题,第二次修改两处就有问题,老是异常,找了好久,跟踪发现没有运行第二次修改,而在开始就崩溃了,不可能啊,郁闷好久。

bubuko.com,布布扣

bubuko.com,布布扣

由图也可以看出,前面debug节如此大就是包含了调试信息。

每次老以为修改处毛病,所以修改一处保存一下,不过文件较大比较辛苦。后来不时fc命令比较下,并且在ollydbg右键菜单-查找-所有修改:发现好多处,多了6、7处我未做的修改。靠坑爹啊。。。。

我记得某人说过ollydbg保存会有问题。

bubuko.com,布布扣

?

11、其他

判断文件存在很多方法CreateFile,FindFirstFile,FindNextFile,GetFileAttributesEx等。

BOOL kernel32.GetFileAttributesExW(FileName,InfoLevel,pFileinfo){

CALL ntdll.RtlDosPathNameToNtPathName_U

CALL ntdll.NtQueryFullAttributesFile

}

?

?

?

?

某过期不给用一例逆向过程记录

标签:style   blog   http   color   os   使用   io   文件   ar   

原文地址:http://www.cnblogs.com/Fang3s/p/3932787.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!