-
-
揭Security Folder的底[原创]
-
发表于:
2005-8-16 17:14
12409
-
目标:Security Folder 1.42
工具:OD,PEID, IMPREC, LORDPE, DEPENDENCE
任务:1,解决软件使用口令。 2,戳破谎言,侦察其保护文件方法。
行动:
1,大概了解。
引用下该文件说明 “Security Folder采用了与此不同的全新的方法,我认为该方法比上面两种方法显然效果更好。如果没有登陆软件,即使对电脑硬盘进行全面搜索,也无法搜索到所创建的文件夹及其内容。一般的人是根本无法破解的。” 当然了,最后我们会看到它的真面目。使用方法略,看帮助。
2,脱壳。
首先,用peid侦察下,发现是aspack212的壳(用peid查只是做的到心里有数)
OD载入,顺利得到oep为14c4(简单壳,代码略)。
用IMPREC对import进行修复,得到1.15m大小的脱壳后程序x.exe(起名是个人爱好)
运行x,出错了,弹出“无法定位程序输入点 RtlRestroreLastWin32Error 于动态连接库 kernel32.dll 上。”,这句话可能大家经常遇到,下面我们来进行手工修复。在x上单击右键选择 View Dependenice(当然假定你装了vc)就是用DEPENDECNCE打开x,这里可以看到引入的dll,发现有2个dll变红,kernel32和oleaut32,这说明,import里对这两个dll的函数可能有错,点击发红的dll,在右上栏中寻找RtlRestoreLastWin32Error,果然,前边的i字母变红,表示有错误,当然有错误了,因为该函数根本就不在kernel32中嘛,他在ntdll里,当然了我们在oleaut32里也找到2个出错函数分别是hint为0x00b的VariantC和hint为0x000的一个未知函数,注意hint值是关键分别在2个dll的导出表(右下)查出错函数的hint,结果RtlRestoreLastWin32Error对应的是SetFileAttributesW,VariantC对应的是VariantCopyInd,至于那个未知,先不用管,因为lordpe查出它根本不占位置,估计imprec的错吧,接着,就打开lordpe对其进行修复,替换为正确的函数,有个小插曲就是VariantCopyInd比VariantC长,改变不了函数,我们索性把它和hint为0的那个函数一起删掉,希望不影响什么功能!运行,ok。
脱壳总结:壳到容易脱,修复到是费了我点时间,至于为什么会出错,对于RtlRestoreLastWin32Error来说,我猜想是kernel32的版本问题,98或me下的朋友可以查一下hint0x306是什么,对于VariantC我认为是import表太小的原因,有可能是imprec修复的时候出的错,因为根本就没有VariantC这个函数。
3,破解口令。
我们先运行软件,随便输入密码,哈哈,太好了,有出错提示,这样就 有突破口了,用w32dasm载入,我们主要用它的字符串查找,因为OD对中文支持不太好。“密码错误!你没有登陆本软件的权限!”就是它,双击
:0040A095 BA02000000 mov edx, 00000002
:0040A09A E8710F0B00 call 004BB010
:0040A09F 59 pop ecx
:0040A0A0 84C9 test cl, cl //关键比较
:0040A0A2 7425 je 0040A0C9 //关键跳
:0040A0A4 6A40 push 00000040
* Possible StringData Ref from Data Obj ->"登录"
|
:0040A0A6 B90D194C00 mov ecx, 004C190D
* Possible StringData Ref from Data Obj ->"密码错误!
你没有登录本软件的权限!"
|
:0040A0AB BAEB184C00 mov edx, 004C18EB //来到这
呵呵,理论上把je改成jne就爆破了,但是我们不知足,需要找出密码,进而写出看密码器。但是我们今天主要任务是搞清它是怎样隐藏文件的,看清他的嘴脸,所以,这步我们推后!
4,窥视其保护方法。
根据其帮助,大概意思就是可以“创建一个使别人发现不了的安全文件夹”,注意引号,提取下就是创建文件夹!CreateDirectoryA!就是它,下断!跑起软件,随便创建一个安全文件夹,yeah!感谢上帝,感谢od,看下他的参数,一目了然,所谓的安全文件夹居然是……
0012FC28 00E338FC |Path = "C:\recycled\ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ALL"
由于软件的无耻,使的这重要的一环到此结束!真相大白了!
总结:没什么好说的了!
5,解决3的残留问题,写看密码器。
在其所谓安全文件夹里发现一个ps.ini的文件,大家可以自己看,其中ps的值不知道什么意思,尝试改变密码后发现有变,相信它就是加密过的密码!
对于ini文件,GetPrivateProfileStringA是个不错的断点,果然,断下来了,
后边就是密码的还原,简单算法,不说了,给出看密码的东东
#include <iostream.h>
#include <windows.h>
void main()
{
char s[10];
GetPrivateProfileString("SFolder", "PS", "0", s, 10, "C:\\recycled\\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ \\ps\\ps.ini");
for(int i=0; i<10, s[i]!=0x00; i++)
{
s[i]+=(i+1);
}
cout<<s<<endl;
}
总结:我是大菜鸟,有错的地方再所难免,希望各位老大不吝赐教!
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!