首页
社区
课程
招聘
[原创]wubi-shell-crack
发表于: 2012-8-31 18:30 27355

[原创]wubi-shell-crack

2012-8-31 18:30
27355
1、 分析环境
硬件:CPU: Pentium(R) Dual-Core CPU  E5300@2.60GHZ  ,内存: 2G
    操作系统:  Microsoft Windows XP Professional 2002  Service Pack 3
    分析的软件:威步CodeMeter保护的WupiCalculator.exe。
    分析工具:
OllyICE v1.10[汉化第二版],LordPE(LordPE Deluxe by youda),
Import REConstructor v1.7c,ResHacker V3.5,UltraEdit v 9.0.1.0,
CFFExplorer v7.2.0.1
2、 待分析程序
分析程序WupiCalculator.exe,程序的默认安装路径为
“C:\Documents and Settings\All Users\Documents\WIBU-SYSTEMS\Software Protection\C++\WupiCalculatorIndex\Protected\CodeMeter\WupiCalculator.exe”,该程序通过AxProtector和Ixprotector来进行保护。
AxProtector版本为8.0。
加密时采用的工程文件的默认安装路径为:C:\Documents and Settings\All Users\Documents\WIBU-SYSTEMS\Software Protection\C++\WupiCalculatorIndex\WupiCalculator-CodeMeter.WibuAxProject,该工程文件的主要的保护选项设置如图1,图2,图3,图4所示:

图 1

图 2


图 3


图 4

3、 分析过程
1. 保护前后程序的区段结构对比
原始程序的区段如图5所示。

图 5
被保护后程序的区段如图6所示。

图 6
2. 寻找OEP

程序用OD载入后报错,换了几个版本的OD均报错,报错的情况如图7所示。



图 7

     用LordPE查看PE结构,没有发现异常。
     用CFFExplorer查看PE文件结构,发现数据目录不能正常显示,原来被保护后的PE文件中的IMAGE_OPTIONAL_HEADER中的NumberofRvaAndSizes字段,修改为2200C4E7,如图8所示,该字段表示数据目录的项数,这个字段从WindowsNT发布以来一直是16,用CFFExplorer把这个字段修改为0x10,如图9所示。然后进行保存。
此时保存后的文件可以用OD打开。



图 8


图 9

直接运行修改后的程序报错,如图10所示,应该是有自校验功能。

图 10

    用OD打开程序后,用HideOD插件将该插件提供的所有选项选中,然后重新启动程序,采用单步跟踪的方法,,在005186A3处的代码修改为jmp,如图11所示。


图 11

    继续跟踪来到0051873A处,将代码修改为jmp,如图12所示。

图 12

    直接运行,如图13所示。



图 13

    单击确定后继续运行出错,如图14所示。



图 14

    重新载入,单步跟踪来到005139DC处,修改为jmp。


图 15

    后台检测功能会开新线程,为了避免在CreatehThread处下段点会被检测到,因此在call CreateRemoteThread处下断点,如图16所示。


图 16

    继续运行中断后,堆栈数据如图17所示。


图 17

    来到地址00514DC0处,005CCCBC地址存放校验值,将005CCCBC地址处的值修改为800000,如图18所示,这样可以跳过校验。


图 18
    在OD中利用"Alt+M"打开内存映射,在区段__wibu00处下断点,如图19所示,下段后的结果如图20所示。


图 19

图 20

    直接运行来到OEP处,如图21所示。


图 21

    用lordpe完整转存,如图22所示,名称为dump.exe


图 22

3. 修复IAT
    用Import Rec附加到WupiCalculator.exe进程,OEP处填入0002096B,依次单击AutoSearch和GetImports按钮,获取到的IAT如图23所示,从图中可以看出部分IAT被加密了。


图 23

    重新载入程序,在地址0043B000处下硬件访问断点,如图24所示。


图 24

    在硬件断点第二次中断后,数据窗口的数据如图25所示。

图 25

    此时的EIP为0052A575,此地址的函数开头地址为00529FB0。
    重新载入程序,在00529Fb0处下断点,分析IAT的处理过程。经过多次调试后,找到处理IAT加密的地方。
    将0052A525处修改为jmp,禁止该处断点后,继续运行,如图26所示。

    在地址0052A8BB处会将空的数据修改为005160B0,将0052A8B9处修改为jmp,如图27所示,此时已经避开IAT加密。


图 26


图 27

    在函数的末尾0052A905处下断点,如图28所示。运行到此处时,还原图26和27处的magic jmp的修改,并去掉0052A905的断点。
    注:修复输入表完毕后需要恢复修复IAT部分的代码中的断点,否则会被后面的自校验检测到。


图 28

    继续在内存镜像的第一个区段处下断点,来到OEP处,用Import  Rec获取输入表,如图29所示。单击Fix Dump按钮来修复脱壳后的数据。


图 29

4. 修复代码替换

运行修复输入表后的程序会出错,如图30所示。


图 30

运行出错地址。
00509E95   .  8B46 4C       mov     eax, dword ptr [esi+4C]

    通过跟踪加壳后的程序和脱壳后的程序,出错的地方为0040101078,如图31所示。
通过反复跟踪加壳后的程序,壳代码中自己实现了GetProcAddress函数,此处为对InitCommonCtrolsEx的调用,分析其他调用输入表函数的地方,没有进行替换,只替换了此处。可以将00401077和00401078处的汇编语句先用NOP填充,然后修改为
call    dword ptr [43B028],
修改后用OD保存修改,文件名称为dumped_fixcode.exe。


图 31


图 32

5. 修复加密的资源
    运行程序继续出错。
    通过单步跟踪的方法来对比加壳后的程序和脱壳后的程序,来到地址00407768处,如图33所示。
    加壳后程序对话框资源0x66的的内存地址为00C0A6F0,如图34所示,脱壳后的程序的对话框资源地址为004DC620,如图35所示,该地址处的数据为加密后的资源数据。


图 33



图 34


图 35

    用LordPE查看加壳后程序的对话框102资源大小为0x66E,如图36所示。

图 36

用解密后的数据替换加密后的数据。
用LordPe部分转存加壳后程序内存中的102对话框的资源数据,如图37所示。将转存的数据保存为102dlg.dmp


图 37

脱壳后程序的对话框资源102的文件偏移为0x00DC620,大小为0x66E,如图38所示。


图 38

    用UltraEdit打开102dlg.dmp和脱壳后的程序,用102dlg.dmp中的数据替换掉脱壳后的程序从偏移0x00DC620到偏移0x000DCC8D处的数据,将脱壳后的程序保存为dumped_fixcode_fixres.exe。

    此时可以用ResHacker打开修复好资源对话框102资源的程序,可以正确查看对话框资源,如图39所示。

图 39

附注:bp  FindResourceW [esp + C]==05寻找对话框的Handle,LoadResource后就会返回对话框资源在内存中的位置。其他的资源可以利用上面的方法进行修复。

6. 处理浮点数错误
    运行修复资源后的程序,报浮点数错误,如图40所示。

    R6002错误原因:程序启动阶段___tmainCRTStartup函数中调用了__cinit函数,在这个函数的第一个判断是校验浮点运算初始化函数指针所处的section是否为可写,如果可写的话就跳过浮点运算初始化函数。该函数指针一般位于.rdata段。脱壳后程序的区段如图41所示,此处段名称修改为__wibu01。修改__wibu01区段的标志,将可写属性去掉,如图42所示,保存可执行文件。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (37)
雪    币: 50161
活跃值: (20635)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2
厉害~
拿德国的东西下手了。帖子中还缺很图片。等完成了再设精华。
2012-8-31 18:43
0
雪    币: 41
活跃值: (194)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
3

图 40

图 41



图 42
    运行可执行文件继续报错,如图43所示。此时可以用upx壳压缩一下,这里利用CFFExplorer自带的upx工具,如图44所示,文件保存为dumped_fixcode_fixres_upx.exe。由UPX临时将__wibu01区段改为可写,压缩后的程序可以正常运行,如图45所示。但是单击On按钮后程序会直接退出。


图 43


图 44


图 45

7. 处理按钮的代码
    下面继续用OD调试用UPX加壳后的程序。
    载入dumped_fixcode_fixres_upx.exe,停在EP处,单步跟踪来到00616591,如图46所示。
在OD的命令行插件处下hr esp断点,如图47所示。单击运行程序会中断在006166F3处,此时取消硬件断点,在00616700处下断点,执行完该语句会停在OEP处,如图48所示。


图 46


图 47



图 48

    查找On按钮的处理事件的方法;采用查找特征码的方法,在OD中快捷键"Ctrl+S"调出查找命令序列,在其中输入"call            dword ptr [ebp+14]",如图49所示。


图 49

    在所有查找到的地方采用F2快捷键下断点。如图50所示(部分截图)。


图 50

    单击On按钮后,程序中断在00407AEB处,在此处跟进,即为On按钮的代码。可以同时单步跟踪加壳后的程序和此处的程序,找到处理license等和加密锁相关的函数。

    将dumped_fixcode_fixres.exe程序中的__wibu01区段的可写属性加上,然后用OD载入,并修改On按钮处钮处理license相关的调用全部修改为Nop,并且修改相关的跳转。下面图中为一系列的修改,这个可以根据调试加壳后程序的运行情况来修改。



图 51



图 52



图 53

图 54

图 55


图 56


图 57

图 58

图 59


图 60

图 61


图 62

    保存后dumped_fixcode_fixres_on.exe,修改__wibu01的节属性后采用upx加壳,运行效果如图63所示。


图 63

    处理+按钮的代码,去掉license和修改相关跳转,对加壳后的程序调试过程中得到加密后的代码,直接粘贴到脱壳后的程序里面去。
    +按钮的代码地址为0x00402CE0,给dumped_fixcode_fixres_on.exe区段__wibu01的添加可写属性后继续用OD进行修改,修改如下面一系列图表示所示。

图 64


图 65


图 66


图 67


图 68


图 69


图 70

    通过调试可知地址00402B50处的代码运行时解密,运行后加密。


图 71
    将文件保存为dumped_fixcode_fixres_on_+.exe。

    继续跟踪加壳后的程序,地址00402D4E处下断点后,用LordPE部分转存地址00402B50,大小为16A的代码部分的数据,如图72所示,保存为00402b50.dmp。

图 72

    用UltraEdit 修改dumped_fixcode_fixres_on_+.exe程序的代码,地址偏移为00002B50,如图73所示,大小为16A,结束偏移为00002CBA,采用00402b50.dmp的代码替换。


图 73
    =按钮的代码地址为00403050,之前的00402B50的地址处的代码已经解密。
用OD打开dumped_fixcode_fixres_on_+.exe,继续处理=按钮的代码


图 74
  


图 75



图 76
xx
图 77


图 78


图 79

修改完后可以将程序保存为dumped_fixcode_fixres_on_+=.exe,修改__wibu01区段标志后,继续用upx加壳后保存为dumped_fixcode_fixres_on_+=upx.exe。
现在就可以拔掉加密锁,无限制使用加法运算了。其他的算法如减法,乘法等可以采用相同的方法来去掉,实现完整破解。

四:总结
优点:
AxProtector和Ixprotector两种方式保护后的程序可以使程序的授权粒度细化到函数级别,修改数据目录项会使OD载入程序出错,反调试部分会对函数下断点及部分代码下断点的情况进行检查,资源加密,代码替换,浮点运算给分析过程带来不少的麻烦,函数运行时解密,运行后加密的方式,需要对加密后的函数一个一个进行转储,增加了分析的时间。
在没有加密锁的情况下无法进行脱壳。
缺点:
HideOD插件可以屏蔽一部分反调试手段,没有进行检查。
相对于基于代码移植的保护,CodeMeter这种基于授权的保护方式,无论在软件层面使用什么样的保护方法,代码总会在PC机的内存中出现,让分析人员有机可乘。
2012-8-31 19:03
0
雪    币: 41
活跃值: (194)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
4
贴图太费劲了。。。。
有没有word文档直接发布到互联网上面的工具啊?
2012-8-31 19:08
0
雪    币: 50161
活跃值: (20635)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
5
目前的论坛系统不支持word直接帖上来。
以后论坛升级,可能有这方面的功能。

这么多的图确实辛苦。
2012-8-31 19:20
0
雪    币: 1844
活跃值: (35)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
6
没接触过,收下一份。。。
2012-8-31 19:21
0
雪    币: 50161
活跃值: (20635)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
7
威步这产品的授权功能做的相当不错。
2012-8-31 19:25
0
雪    币: 0
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
mark
这个学习一下,膜拜
2012-8-31 19:37
0
雪    币: 693
活跃值: (108)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
9
very good!希望lz能提供文档下载。
2012-8-31 20:23
0
雪    币: 1015
活跃值: (235)
能力值: ( LV12,RANK:440 )
在线值:
发帖
回帖
粉丝
10
前排站位,膜拜大牛。
2012-8-31 21:59
0
雪    币: 1592
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
之前想试试,但是手头上缺dotnet环境,就没看了。
2012-8-31 22:48
0
雪    币: 5477
活跃值: (3864)
能力值: ( LV13,RANK:283 )
在线值:
发帖
回帖
粉丝
12
这个是本地程序'不是'dotnet'干掉威步
2012-9-1 01:24
0
雪    币: 463
活跃值: (127)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
OEP是VC8.0呢……
和.net好像没关系……

非常不错的脱壳并去狗教程。东西不错。
2012-9-1 02:31
0
雪    币: 5477
活跃值: (3864)
能力值: ( LV13,RANK:283 )
在线值:
发帖
回帖
粉丝
14
楼上的睡的好晚'个人觉的还是算法移植的加密锁配和虚拟机强度大
加密锁的外壳还是很容易被搞
2012-9-1 08:57
0
雪    币: 1919
活跃值: (901)
能力值: ( LV9,RANK:490 )
在线值:
发帖
回帖
粉丝
15
这东西好,收藏慢慢学习之。。。
2012-9-1 17:35
0
雪    币: 219
活跃值: (848)
能力值: (RANK:290 )
在线值:
发帖
回帖
粉丝
16
mark 这么好的文章
2012-9-1 18:33
0
雪    币: 19
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
好文还是支持一下,还没做过相关的研究~
2012-9-3 09:48
0
雪    币: 296
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
没狗不能研究啊。。
2012-9-3 13:30
0
雪    币: 27
活跃值: (127)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
19
写得非常好,有机会慢慢学习。
2012-9-4 16:28
0
雪    币: 130
活跃值: (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
学习,mark
2012-9-21 09:26
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
关注,很厉害呀,谢谢分享。
2012-10-2 09:59
0
雪    币: 291
活跃值: (48)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
22
赶紧跟上步伐
2012-10-15 15:06
0
雪    币: 32
活跃值: (32)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
牛人。难得一见的好文。
2013-1-25 11:00
0
雪    币: 2434
活跃值: (1427)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
24
建议同时把现成的 WORD 或是 PDF 作为附件上传,方便珍藏。
2013-1-25 14:51
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
Zenix ..

   This is steven from Taiwan,  send me messages...
2013-2-21 14:48
0
游客
登录 | 注册 方可回帖
返回
//