分享
 
 
 

软件解密技术研究

王朝vc·作者佚名  2006-01-08
窄屏简体版  字體: |||超大  

软件解密技术研究

----Windows PE 文件脱壳

通过设置Hook,动态跟踪堆栈,对加过壳的可执行文件进行解密还原。

当然,要解密,至少先要----得到一个被加密过的“正版” 软件。

然后----编写简单的Debugger。

仅需要拦截LoadLibray/GetModuleHandle/GetProcAddress,在这三个Hook中执行记录Library文件名,Procedure(导入函数)名。自己按ImportTable结构伪造一个ImportTable,并存储额外的相关信息。

为每个导入函数生成一个Hook函数体,该函数(我们的Hook) 从堆栈中取得返回地址(即调用该函数的call指令的下一条指令的地址) ,对返回地址的前一条指令(即调用该函数的call指令)进行译码,一般是如下可能的形式:

call jump_thunk

call [thunk_fun]

call reg ;为简单,先忽略此形式

call [reg] ;为简单,先忽略此形式

call [reg + thunk_offset] ;为简单,先忽略此形式

其它奇奇怪怪的形式完全忽略不考虑,如

push offset ret_address

push fun_address

ret

ret_address:

或:

push offset ret_address

jmp fun_address

ret_address:

关键的难点在这里,很有可能在此处出现问题,因为反向译码有可能把一个地址错误的当成指令译码了(不过这种情况很少) 。如果忽略这些问题,则这一个难点就OK了。

称返回地址的前一条指令,即调用该函数的call指令,为caller_entry。

caller_entry指令的bin code为:op XXXXXXXX,其中XXXXXXXX为转向地址。我们的hook code都做些什幺工作呢?

1. 读出caller_entry及其附近一些bin code并写入我们的crack文件,为其后进一步分析用,当然该指令中XXXXXXXX会被记录下来。

2. 由于动态自动跟踪不可能跟踪到所有调用Import Function的地方,但几乎可以跟踪到对至少一个Import Function的一次调用。所以改动XXXXXXXX(即jump_thunk或fun_thunk的值)可能不太实际,于是只有----

3. 对 jump jump_thunk,我们走到jump_thunk,这里一般是

”call [fun_thunk]” 的形式。

4. 把fun_thunk写入我们的Crack文件,为进一步分析使用。

5. 在这样的过程中我们需要用户尽量遍历“该正版软件”所有的操作路径(如点文件>存储/另存,编辑>复制/粘贴...

6. 用户点击Debugger的“遍历结束” 按钮,就可以把整个PE Image Dump出来。

然后,点击Debugger的“分析&破解” ,即可分析我们生成的Crack文件。

分析过程中的主要操作是:

1. 修改 Dump出来的内存,主要是PE Header和Section Table。

2. 走到fun_thunk,把[fun_thunk] 改为我们的hook地址。

该脱壳软件的特点(区别与其它脱壳软件)基本上只有一点:其它脱壳软件都是想办法取得残留的ImportAddressTable或ImportNameTable,从其中做文章。

而该软件是从程序的运行中获得实际的thunk地址,并自己构造ImportTable。

其实一切都很简单!

后记:

本人一年前作“软件加密技术及实现” 为毕业论文,工作一年来,因专注于工作,几乎已经废弃了加密的研究。

不久前有朋友说:“你就会加密,你怎知你加密的不能被别人破解?” 于是又老毛病大发,连做梦都想:用什幺办法可以使别人不能破解?想来想去,总不能找到完全之策。最后终于想到了一个:“地址加密” 方法,即把ImportFunction的地址加密,调用ImportFunciton时,先解密地址再跳转到ImportFunciton,具体实现如下:

写一个Hook Code,把ImportAddressTable中的地址填为该Hook Code的地址,于是对应与每一个ImportAddressTableEntry,都有一个Hook Code的副本,该Hook Code对加密过的地址进行解密,然后再跳转过去。该Hook Code让它(cracker) 总不能从 PE Image中得到任何ImportFunction的地址。

我自以为此方法完美无缺,然而不久我又想到了破解方法,即此文所描述的。

于是,很快,我又找到了另外一种方法来对付这种破解----

在HookCode开始,把返回地址(即文中所说的call_entry) 加密,然后为被调函数(即该ImportFunction) 建立一个新的StackFrame,再把call_entry之前传来的参数拷贝到新的这个StackFrame中。然后调用ImportFuncion。

然而此方法也有问题----我实际上不知道被调函数有几个参数。

所以我为它创建StackFrame时,只能把该StackFrame建得足够大,可以容纳参数最多的函数----如我假设它至少有100个参数,于是这会浪费较多的堆栈区,幸好这里不会有递归调用,否则堆栈有可能溢出。这个问题暂时得到了解决。

然而又出现了另外一个问题----当被调函数返回,我不知道它到底跳过了几个参数(ImportFunction一般是stdcall,跳过参数区的责任由被调者完成) 。即被调函数返回后,ESP的值与调用前不同。

幸好,函数调用不会改变ESI,EDI,EBX,EBP的值,我只要选用这其中的一个寄存器,如EBP,然后用他存储调用前的ESP(当然要先把它存入堆栈而后在恢复)。再调用ImportFunction,待它返回后,

ParamSize =(StackFrameSize – (EBP – ESP)) 就是被调者跳过的参数区的尺寸。

然而又有问题:此刻怎幺返回?我必须跳过参数区呀! 如果我可以生成一条指令ret ParamSize----(ParamSize必须是立即数) ,就可以了。

但又有问题----这样的代码是不可重入的!

没办法了吗?当然有,这样的代码可以完成ret ParamSize的功能:

add ESP, ParamSize

jmp [ESP – ParamSize] ;此刻,该返回地址已经解密.

一切OK!!

此加密方法,征求破解!!

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有