[原创]再次说下sense4加密锁-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]再次说下sense4加密锁

发表于: 2005-6-5 18:49 31277

[原创]再次说下sense4加密锁

kingday

2005-6-5 18:49

31277

自从上次我发表‘15个日夜破解sense4锁’以来，我不断收到很多朋友的留言和来信。大致都是来交流、咨询破解方式和心得的（也有个别人索要破解成品，对这部分人我只能表示抱歉没有给你们任何回复），由于本人时间和经历有限，不能一一答复，再次表示歉意。所以在这里我想再次把心得说一下。当然与上次的会有所重复。其实我觉得上次已经基本把思路说清楚了，只是没有深入....
不过这次我还是不会把细节说清楚。在这里请大家不要问我理由（我不说大家都应该知道）

1.分析
至于深思4锁的特性就不用介绍了，请不了解的朋友访问www.sense4.com.cn
破解一个软件，首先应该是看其readme等文档，然后先运行下看有什么限制，分析是否加壳，如果是硬件加密莫过于看看是什么硬件了。sense4锁加密的也不过于这样分析。
只是sense4的储存数据区太大，所存放的‘重要数据’够多够复杂。这就给破解带来了非常大的难度。首先如果没有锁在手上，你几乎是无法运行起来调试的。换句话说你是无法在无锁的情况下破解的。插句题外话－－对hasp有经验的人都应该知道，即使有hasp锁，对软件来爆破，不但很累，想爆破完美也是非常难的。而换种方式，通过改写驱动来拦截hasp狗内的所有单元数据。再写个模拟，在运行软件需要hasp数据的时候，由模拟服务程序返回读取出来的数据给软件。这样就’简单‘多了。至少可以确保是完美的。用句我的以为破解朋友的话说：hasp4 is shit.

2.打印读取锁日志log文件
既然hasp可以如此做，sense4的数据量那么大，爆破很难，那就不如模拟了。怎么模拟呢。先从软件进行调试分析，得出哪些地址需要调用sense4得数据。这些数据是如何调用的。要那些参数。收集好了后就可以开始写个全新的程序，用这个程序来替换掉软件中的同名文件（sense4加密的程序，基本都有个sense4.dll文件，这个文件是一个锁数据读取中心）。同时要注意，在这个新的文件里要做好一个输出管道，也就是说不管是软件进锁前调用参数，还是从锁内读取的数据，还有偏移地址统统都打印出来形成文件。我这个文件称为读锁日志－－log文件。这里有一点需要注意，为了确保log文件是完全的，就必须尽可能的把软件的所有功能都一次使用完。得到这个log文件后，最重要的一步就完成了。下一步就是分析并写模拟了。

3.分析log文件
给我发邮件和QQ留言的朋友问，获得了这个log文件有什么用啊，如何分析啊，如何。。。。。
问这些问题的朋友，请看看我说的这个log文件是由3部分组成的。
1。偏移地址
2。调用读锁参数
3。读锁后的数据
既然有了这3个’重要‘数据，下一步我想应该是不难的了。
这3个部分告诉了我们什么？
1）那个地方需要调用锁
2）调用锁的参数是什么
3）调用锁返回的数据是什么。
好了，这个清楚后，就应该分析这些数据之间的关系了。这部分是比较难，但是总是有办法的。一般来说加密者不外乎以下几种加密方式
a）把一些常量放锁内
b）把重要变量放锁内
c）把重要数据处理过程、函数放锁内
至于a)应该是很容易的。步多说了
b)有点难度。但是这些变量大凡都是有规律的。你可以从这些log文件中把规律找出来。呵呵，需要你的时间，精力，尤其是你的能力。
c)看起来应该是最难的了。一个算法，怕怕。但是不要惊惶。从我做过的两套（不好意思，还不算多，经验积累还不能说多）sense锁加密的程序来看，里面的算法都不算复杂（可能是加密者怕算法太复杂影响软件运行速度，效率吧）。大家想必都做过跟踪出注册码算法吧。当然这个与c)还有很大区别。因为我们无法跟踪到里面的算法汇编语句。怎么办，还是一样要多分析log文件找出规律。累吗，当然累。如果你想成功就应该坚持。。。。

4.写模拟文件
来问我的朋友中有人问我：‘你是如何爆破的，下了什么断点’。这里我再告诉你一下，我没有能力爆破sense4（除非加密者只用几个简单的标志变量来跳转）。我想目前还没有人能爆破吧，至少从我分析理论上很难。
好了。既然数据分析的差不多了，规律找出来了，写模拟文件应该是‘很简单’的事情。针对上面的a)b)c)
a)把常量值直接放模拟文件中，让程序调用
b)写成一个函数把分析出来的规律写成函数体做数据返回。
c)其实如b)一样。只是这里‘更’着重算法。
还有朋友问我，这样的模拟文件如何写啊。我想这个问题太没什么意思了。首先你既然要想做一个cracker，至少要先做好一个coder吧（当然progamer要求有点高）

5.睡大觉
既然模拟文件都做好了，想必你也累了很长时间了吧。胜利了，当然要补回睡眠了，快去睡一觉再说吧。

好了，献丑了。我知道我说的有点乱，也不够详细。但是抱歉，我水平有限。如果还有朋友愿意和我一起交流，最好还是在坛子里吧。让大家都能看到，一起回答，一起交流这样比较好。
上面说的难免有错误，请朋友们指正!!

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#软件保护

收藏・9

免费・7

支持

最新回复 (23)
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 2 楼衰...NB 硬件复制不知道有人解.... 2005-6-5 21:38 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 3 楼牛人... 狗是越忽悠越热... 2005-6-5 21:41 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 4 楼脱的狗越涮就好吃... 2005-6-5 21:50 0
Spring.W 雪币： 302 活跃值： (410) 能力值： ( LV12，RANK：410 ) 在线值：发帖 48 回帖 166 粉丝 2 关注私信	Spring.W 10 5 楼这种方法对于动态使用Sense4.DLL的软件有用，可对于静态连接狗的.LIB的软件就无能为力了，因为静态使用狗的软件不会去调用Sense4.DLL。 2005-6-5 22:41 0
dalao 雪币： 1866 活跃值： (95) 能力值： ( LV4，RANK：50 ) 在线值：发帖 34 回帖 260 粉丝 5 关注私信	dalao 1 6 楼最初由 Spring.W 发布这种方法对于动态使用Sense4.DLL的软件有用，可对于静态连接狗的.LIB的软件就无能为力了，因为静态使用狗的软件不会去调用Sense4.DLL。静态的一样可以!不过麻烦点罢了!! 2005-6-6 00:04 0
liyangsj 雪币： 328 活跃值： (925) 能力值： ( LV9，RANK：1010 ) 在线值：发帖 34 回帖 195 粉丝 0 关注私信	liyangsj 25 7 楼经验啊,学习了. 2005-6-6 06:48 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 8 楼虽然讲得不太详细，便总的思想都出来了，有心学习的朋友可走不少弯路。支持 2005-6-6 10:42 0
lee 雪币： 255 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 45 回帖 225 粉丝 0 关注私信	lee 3 9 楼支持一下！！！！！！ 2005-6-6 10:49 0
laoqian 雪币： 332 活跃值： (479) 能力值： ( LV9，RANK：330 ) 在线值：发帖 43 回帖 805 粉丝 30 关注私信	laoqian 8 10 楼首先你既然要想做一个cracker，至少要先做好一个coder吧（当然progamer要求有点高）这是破解的最低要求，也是最高境界吧！惭愧，离coder还差很远呢.... 2005-6-6 12:04 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 11 楼调试+逆向+编码 == 楼主强人！ 2005-6-6 12:47 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 12 楼最初由 Spring.W 发布这种方法对于动态使用Sense4.DLL的软件有用，可对于静态连接狗的.LIB的软件就无能为力了，因为静态使用狗的软件不会去调用Sense4.DLL。 FK硬件的说,,牛.... ... 2005-6-6 15:28 0
kingday 雪币： 26 活跃值： (189) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 173 粉丝 6 关注私信	kingday 1 13 楼最初由 Spring.W 发布这种方法对于动态使用Sense4.DLL的软件有用，可对于静态连接狗的.LIB的软件就无能为力了，因为静态使用狗的软件不会去调用Sense4.DLL。对于关于.lib的我没有研究过（没有接触到此类加密的），所以是否适用，在此不敢妄说。但是我想总是有办法的。 2005-6-7 09:31 0
haibin1013 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	haibin1013 14 楼我也这样解过一个sense4的狗。深有体会，最难的一部其实就是分析狗中的数据推出算法. 2005-6-7 22:28 0
haibin1013 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	haibin1013 15 楼深思的读狗函数一般很有规率总是先调用一个函数 S4VerifyPin 效验一下用户PIN 码。 DWORD WINAPI S4VerifyPin( IN SENSE4_CONTEXT s4Ctx, IN LPBYTE lpPin, IN DWORD dwPinLen, IN DWORD dwPinType ); 此时dwPinType 肯定是 S4_USER_PIN 0x000000a1 那么 dwPinLen 肯定是 8 隔不远有一个函数调用 DWORD WINAPI S4Execute( IN SENSE4_CONTEXT s4Ctx, IN LPCSTR lpszFileID, IN LPVOID lpInBuffer, IN DWORD dwInbufferSize, OUT LPVOID lpOutBuffer, IN DWORD dwOutBufferSize, OUT LPDWORD lpBytesReturned );的调用其中第一个参数与上面的函数的第一个参数一样。近过跟踪很快就可以找到所有读狗的地址 2005-6-7 22:41 0
machine 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	machine 16 楼问一个很菜的问题，怎么得到log文件??? 2005-9-3 14:12 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 17 楼支持一下！！！！！！ 2005-9-3 14:46 0
阿杰雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	阿杰 18 楼学习中 ` 薛了 ~ 2005-9-3 16:24 0
987654321 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	987654321 19 楼水平低不明白继续学习 2005-9-3 20:23 0
loucm 雪币： 238 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 0 关注私信	loucm 20 楼有收获，我是菜鸟，我学习一下！ 2005-9-6 16:14 0
蚂蚁雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 1 关注私信	蚂蚁 21 楼学习！学习！学习！在学习 2005-9-6 17:10 0
ynwtjhvtk 雪币： 209 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 41 粉丝 0 关注私信	ynwtjhvtk 22 楼学习中、、、、、、、、！ 2005-9-6 19:35 0
acguy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	acguy 23 楼自已写一个狗的硬件驱动。从这里截获所有的I/O。 sense4的usb驱动很简单，只有4个ioctl 命令。 2005-10-10 12:04 0
kingday 雪币： 26 活跃值： (189) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 173 粉丝 6 关注私信	kingday 1 24 楼最初由 haibin1013 发布深思的读狗函数一般很有规率总是先调用一个函数 S4VerifyPin 效验一下用户PIN 码。 DWORD WINAPI S4VerifyPin( IN SENSE4_CONTEXT *s4Ctx, IN LPBYTE lpPin, ........ 刚看到这个关于静态库lib调用加密的回帖。我大致说一下我的解决方案不管对动态库dll还是静态库lib的加密调用都必须调用S4函数 S4Verfypin是校验用户口令。 S4Execute是执行锁内可执行文件函数。在这两个函数调用前一般还应该有一个S4ChangeDIR（改变目录）函数其实找到这些函数的调用地址可以说都非常简单，最重要的也不是得到这些函数的调用地址，而应该是S4Execute函数的指针输入参数和输出指针所有元素值。对于动态dll调用改写dll即可（我在上文提到过），对于静态Lib调用可以采用dll注入、APIhook等方式来拦截和打印读锁日志。如何dll注入，APIhook这个我一句话说不清楚，大家可以google参考一些技术文档上面我只说了做模拟的大概思想，其实可以做模拟，就能做复制。模拟只是把狗内算法复原形成硬盘文件和数据供软件调用。你只要把这些复原的算法重新写到新狗里就是复制锁了。因为这里有一个很好的锁‘bug’可以利用：开发商指令与被加密软件无关，而用户指令可以随便修改（改成对应的S4VerifyPin函数的就行了）。 2006-1-10 15:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

kingday

发帖

173

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 2 楼衰...NB 硬件复制不知道有人解.... 2005-6-5 21:38 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 3 楼牛人... 狗是越忽悠越热... 2005-6-5 21:41 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 4 楼脱的狗越涮就好吃... 2005-6-5 21:50 0
Spring.W 雪币： 302 活跃值： (410) 能力值： ( LV12，RANK：410 ) 在线值：发帖 48 回帖 166 粉丝 2 关注私信	Spring.W 10 5 楼这种方法对于动态使用Sense4.DLL的软件有用，可对于静态连接狗的.LIB的软件就无能为力了，因为静态使用狗的软件不会去调用Sense4.DLL。 2005-6-5 22:41 0
dalao 雪币： 1866 活跃值： (95) 能力值： ( LV4，RANK：50 ) 在线值：发帖 34 回帖 260 粉丝 5 关注私信	dalao 1 6 楼最初由 Spring.W 发布这种方法对于动态使用Sense4.DLL的软件有用，可对于静态连接狗的.LIB的软件就无能为力了，因为静态使用狗的软件不会去调用Sense4.DLL。静态的一样可以!不过麻烦点罢了!! 2005-6-6 00:04 0
liyangsj 雪币： 328 活跃值： (925) 能力值： ( LV9，RANK：1010 ) 在线值：发帖 34 回帖 195 粉丝 0 关注私信	liyangsj 25 7 楼经验啊,学习了. 2005-6-6 06:48 0
采臣·宁雪币： 161 活跃值： (231) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 1343 粉丝 6 关注私信	采臣·宁 1 8 楼虽然讲得不太详细，便总的思想都出来了，有心学习的朋友可走不少弯路。支持 2005-6-6 10:42 0
lee 雪币： 255 活跃值： (175) 能力值： ( LV8，RANK：130 ) 在线值：发帖 45 回帖 225 粉丝 0 关注私信	lee 3 9 楼支持一下！！！！！！ 2005-6-6 10:49 0
laoqian 雪币： 332 活跃值： (479) 能力值： ( LV9，RANK：330 ) 在线值：发帖 43 回帖 805 粉丝 30 关注私信	laoqian 8 10 楼首先你既然要想做一个cracker，至少要先做好一个coder吧（当然progamer要求有点高）这是破解的最低要求，也是最高境界吧！惭愧，离coder还差很远呢.... 2005-6-6 12:04 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 11 楼调试+逆向+编码 == 楼主强人！ 2005-6-6 12:47 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 12 楼最初由 Spring.W 发布这种方法对于动态使用Sense4.DLL的软件有用，可对于静态连接狗的.LIB的软件就无能为力了，因为静态使用狗的软件不会去调用Sense4.DLL。 FK硬件的说,,牛.... ... 2005-6-6 15:28 0
kingday 雪币： 26 活跃值： (189) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 173 粉丝 6 关注私信	kingday 1 13 楼最初由 Spring.W 发布这种方法对于动态使用Sense4.DLL的软件有用，可对于静态连接狗的.LIB的软件就无能为力了，因为静态使用狗的软件不会去调用Sense4.DLL。对于关于.lib的我没有研究过（没有接触到此类加密的），所以是否适用，在此不敢妄说。但是我想总是有办法的。 2005-6-7 09:31 0
haibin1013 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	haibin1013 14 楼我也这样解过一个sense4的狗。深有体会，最难的一部其实就是分析狗中的数据推出算法. 2005-6-7 22:28 0
haibin1013 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	haibin1013 15 楼深思的读狗函数一般很有规率总是先调用一个函数 S4VerifyPin 效验一下用户PIN 码。 DWORD WINAPI S4VerifyPin( IN SENSE4_CONTEXT s4Ctx, IN LPBYTE lpPin, IN DWORD dwPinLen, IN DWORD dwPinType ); 此时dwPinType 肯定是 S4_USER_PIN 0x000000a1 那么 dwPinLen 肯定是 8 隔不远有一个函数调用 DWORD WINAPI S4Execute( IN SENSE4_CONTEXT s4Ctx, IN LPCSTR lpszFileID, IN LPVOID lpInBuffer, IN DWORD dwInbufferSize, OUT LPVOID lpOutBuffer, IN DWORD dwOutBufferSize, OUT LPDWORD lpBytesReturned );的调用其中第一个参数与上面的函数的第一个参数一样。近过跟踪很快就可以找到所有读狗的地址 2005-6-7 22:41 0
machine 雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	machine 16 楼问一个很菜的问题，怎么得到log文件??? 2005-9-3 14:12 0
pendan2001 雪币： 61 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 25 回帖 1180 粉丝 0 关注私信	pendan2001 4 17 楼支持一下！！！！！！ 2005-9-3 14:46 0
阿杰雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	阿杰 18 楼学习中 ` 薛了 ~ 2005-9-3 16:24 0
987654321 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 58 粉丝 0 关注私信	987654321 19 楼水平低不明白继续学习 2005-9-3 20:23 0
loucm 雪币： 238 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 0 关注私信	loucm 20 楼有收获，我是菜鸟，我学习一下！ 2005-9-6 16:14 0
蚂蚁雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 41 粉丝 1 关注私信	蚂蚁 21 楼学习！学习！学习！在学习 2005-9-6 17:10 0
ynwtjhvtk 雪币： 209 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 41 粉丝 0 关注私信	ynwtjhvtk 22 楼学习中、、、、、、、、！ 2005-9-6 19:35 0
acguy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	acguy 23 楼自已写一个狗的硬件驱动。从这里截获所有的I/O。 sense4的usb驱动很简单，只有4个ioctl 命令。 2005-10-10 12:04 0
kingday 雪币： 26 活跃值： (189) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 173 粉丝 6 关注私信	kingday 1 24 楼最初由 haibin1013 发布深思的读狗函数一般很有规率总是先调用一个函数 S4VerifyPin 效验一下用户PIN 码。 DWORD WINAPI S4VerifyPin( IN SENSE4_CONTEXT *s4Ctx, IN LPBYTE lpPin, ........ 刚看到这个关于静态库lib调用加密的回帖。我大致说一下我的解决方案不管对动态库dll还是静态库lib的加密调用都必须调用S4函数 S4Verfypin是校验用户口令。 S4Execute是执行锁内可执行文件函数。在这两个函数调用前一般还应该有一个S4ChangeDIR（改变目录）函数其实找到这些函数的调用地址可以说都非常简单，最重要的也不是得到这些函数的调用地址，而应该是S4Execute函数的指针输入参数和输出指针所有元素值。对于动态dll调用改写dll即可（我在上文提到过），对于静态Lib调用可以采用dll注入、APIhook等方式来拦截和打印读锁日志。如何dll注入，APIhook这个我一句话说不清楚，大家可以google参考一些技术文档上面我只说了做模拟的大概思想，其实可以做模拟，就能做复制。模拟只是把狗内算法复原形成硬盘文件和数据供软件调用。你只要把这些复原的算法重新写到新狗里就是复制锁了。因为这里有一个很好的锁‘bug’可以利用：开发商指令与被加密软件无关，而用户指令可以随便修改（改成对应的S4VerifyPin函数的就行了）。 2006-1-10 15:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复