用PEBrowse对.Net程序进行动态调试
tankaiha[NE365]@www.vxer.cn
2006.04.25

    本文主要讲了通过在.Net平台下动态调试应用程序来破解程序的一些思路和方法，研究的对象是Code Library .Net(Access)，版本号13.8.2294.11793。
一、    调试工具的选择
我通常在.Net平台下使用的动态调试方法有两种：一是用ildasm将程序反汇编，然后进行必要修改(如去除强名称)，再用ilasm汇编为带debug信息的，然后用Framework SDK自带的GuiDebug进行调试。但是这种方法我用的还不多，因为我机上没有1.1版本的SDK，而现在更多的程序是1.1的，所以我更喜欢用第二种：用第三方调试软件(类似win32下的Ollydbg)来直接调试，这里使用的是PEBrowse Professional Interactive。具体使用方法结合例子在后面再说。

二、    静态分析
    拿到一个程序我们首先要做的就是静态分析，看看有没有敏感信息，以便找到关键代码。用Reflector打开后，发现程序已经混淆，代码直接是看不到的。现在的.Net程序基本都做过混淆，在名称混淆方面做的比较变态的是把名称混淆为不可打印字符，这样很多反汇编程序出来的代码都会出错，即使不出错也分不清谁跟谁了！只能用ildasm直接反汇编成il代码了。之后打开CodeLib.il，发现流程也混淆了，跟踪一个函数发现两三句指令就是一个跳转，非常不爽。
    先来看看有没有什么明文的敏感信息吧，通过搜索il文件，我们发现了“User”“Keycode”两个关键字段，代表什么显而易见，就是开机要我们输入的用户名和密码。然后不管你输入对错都是弹出“感谢注册”的对话框，这种形式通常注册信息被保存在文件或者注册表中，果然，我们在文件中发现了“Software\VB and VBA Program Settings\fishCodeLib”字段，这是信息保存的位置。
    但是还有一些字符串没有搜到，比如第一个窗口中的“This is an unresigered copy”。仔细看一下，代码中有很多bytearray，比如：
ldstr      bytearray (46 D8 57 DF 55 E6 5C ED 06 F4 4C FB 53 02 FD 08
                  3B 10 45 17 F4 1D 46 25 3C 2C 3D 33 2D 3A 2C 41
                  2B 48 32 4F 30 56 1E 5D 28 64 18 6B 14 72 CD 78
                  0D 80 16 87 14 8E 1A 95 CC 9B )
ldc.i4     0x6e66d7f2
call string xed3d7768b7546353.x7846ebd83ad1c299::_bc22ed13a5229081(string, int32)
    看来字符串都被加了密。写个il程序解码，代码就用程序中的_bc22ed13a5229081(string,int32)，具体代码见附件。解码后得到这段字符串正是“This is an unresigered copy”。同理我们可以将其它的相关字符串统统解码。

三、    静态流程分析
首先在il文件中静态跟一下流程，但是经过混淆的代码看起来实在是痛苦，鼠标的滚轮没少受折磨。搜一下文件中的“Keycode”，发现太多地方使用了，没有办法一下确定哪一处是关键点。（这么多关键点，看来爆破是没折了！）但至少我们发现一个关键信息：
bool CodeLib.x83a1ac2c48984168::x6ae105ff7a55905e
是判断是否注册的关键变量，根据吗，看下面的代码：

--------------------------------------------------------------------------------

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课