-
-
[原创]破解NetKeeper本地密码读取
-
发表于: 2013-10-29 23:00
-
原文来自:【Tracy‘Blog】——www.purpleroc.com
有了在涉外混迹四年,写下的《校园网那些事》的经历后,写这篇文章似乎要比以前容易些。来重庆也有1个半月了,一直昏昏忽忽的,总提醒自己要打起精神来,却总打不起精神。可能是很久没什么能够刺激自己、给自己增加自信心吧,于是决定看看学校的客户端。
以前做过类似的事,于是,也就有些思维固定,不想再去做同类型的事了,属于眼高手低型。然而账号到期了,又想起了以前做过的事。那,来找找自信吧~~不过,这客户端比涉外的安腾高级了好几倍~~~~
其实,先前也看过这个客户端,不过,一直想的是能够实现linux下拨号上网。好了,废话不多说了,进入正文吧。
先说目的:从文件中还原出我们拨号时输入的账号、密码。那先从文件看起,看看是哪个文件保存了这些信息。
打开netkeeper的安装目录,看看每个文件是干嘛用的:
这个应该是没可以理解的。那,保存密码的文件应该是在bin或者是config文件夹中了(省去推论文字,没看懂的可以先看看《校园网那些事》……)。其实,我们对比刚安装好程序,和拨号一次之后文件夹中的内容就可以清楚的看到,在bin文件中多了一个Credit文件。那,它很有可能就是我们要找的文件了。
ok,我们拿出peid看看程序有没加壳,
提示没找到,不过,看区段就知道vmp的壳。我等菜鸟是没想过要去挑战它的。那,带壳运行来调试吧。
OD载入(忽略所有异常),直接对下断bp CreateFileA(分析见《校园网那些事》),F9跑起来,发现了类似如下call
0018785C 7266C4A4 つfr /CALL 到 CreateFileA 来自 AcLayers.7266C4A1
00187860 00187CA0 爘. |FileName = "\\.\Global\NPF_{C97F955E-E47F-4270-9432-764A2C7C41D3}"
我们暂且把它当作是vmp壳对程序自解压时的一些操作吧(知道的还麻烦告知一声),这也是为什么在我们确定了读取文件的位置后不能直接对地址下断,而必须每次都跑完对类似这些|FileName = "\\.\Global\NPF_文件的操作的原因。我理解为,因为程序还没解压完,你直接下断,会引起程序解压出错,而导致程序出错。
一直F9到FileName为C:\ChinaNetSn\时就要注意了。
一下下的摁F9,到出现读取Credit文件:
取消断点,Alt+F9返回用户代码区。我看到的是非常乱的数据:
没关系,CTRL+A分析一下。就出现了我们可爱的汇编代码了:
我们可以看到,刚才程序仅仅是访问Credit文件,而还没进行读取。一下是读取片段。
为了节省篇幅,直接复制代码吧:
0041B049 > \817C24 0C 8C1>cmp dword ptr ss:[esp+C],168C ; 文件完整性校验 0041B051 . 74 17 je short NetKeepe.0041B06A …… 0041B06A > \56 push esi ; /hObject 0041B06B . FF15 30425000 call dword ptr ds:[504230] ; \CloseHandle 0041B071 . 6A 00 push 0 0041B073 . 57 push edi 0041B074 . 8BCB mov ecx,ebx 0041B076 . E8 25000000 call NetKeepe.0041B0A0 ; 加解密入口
void encode(char *buffer, int len)
{
char *p;
while (len)
{
p = encode1(buffer);//位置交换
encode2(buffer, p);//解密
encode3(buffer);//顺序改回
len = len - 8;
buffer = buffer + 8;
}
}
最难的问题应该在于第二步了,为了偷懒,少写点代码,就直接用C语言嵌套asm来实现。
不过这样做的最困难的地方应该在于,保护现场以及,匹配好各传入参数。我们来对比一下C和反汇编的代码。
在反汇编代码中,进行第二步加密中 mov eax, dword ptr [ecx]前,push了以下参数:
00404256 |. 68 80755400 push NetKeepe.00547580 ; 要用到的pass
0040425B |. 52 push edx ; 放入地址
0040425C |. E8 DF000000 call NetKeepe.00404340 ; 解密第二步
00404340 /$ 51 push ecx
00404341 |. 8B4C24 08 mov ecx,dword ptr ss:[esp+8]
00404345 |. 53 push ebx
00404346 |. 55 push ebp
00404347 |. 56 push esi
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
