首页
社区
课程
招聘
[原创][原创] WVSC的Patch分析
发表于: 2020-12-4 18:10 3480

[原创][原创] WVSC的Patch分析

2020-12-4 18:10
3480

整理,记录下自己分析这个破解的过程和几个方法。

但是实际去安装,那补丁补了啥,安全软件报毒,你进调试器一看就奔溃了,文件VMP保护。好奇心驱使我还是想看看这个补丁怎么玩的,但是VMP是不想去碰的,

在gayhub上看到有Linux的补丁,心想这回没有VMP了吧?把补丁拉到IDA看到了UPX,心想还行,UPX咱是会ESP平衡的,就开始上手分析了,撸了各种ELF脱UPX的帖子发现完全不是一回事!
使用x64dbg分析前还是会先查壳,难道这个UPX是魔改的?(对Linux的壳没怎么了解过),直接上binwalk走了一遍:
图片描述

我说兄弟:你不讲武德,说好的UPX,你这是干啥!!!看到加密内容,瞬间就不想和它刚了!虽然我还是各种API跟踪,各种断点跑了几次。

想想原文件没有保护,可能直接分析更容易???自行分析的输入是知道补丁是wvsc文件,但是它不是以服务存在,从它的帮助输出应该是执行扫描任务的,那是有服务会调用它?怎么调用?会有啥参数呢 ?带着问题,想想可以通过加脚本来监控对它的调用:

图片描述

上面是脚本内容,主要是用脚本替换原来wvsc文件,在脚本中再根据调用参数执行wvsc.p文件,输出一条日志,这样不一会儿我就监控到了调用输出:
图片描述
从上面的信息可以看到调用参数为:/lic,但是wvsc的帮助输出里是没有这个信息的,这是隐藏功能,同时可以看到基本10分钟左右会执行一次,我手动执行一次这个命令,发现它没有啥输出:

图片描述

同时对比,我通过对补丁文件和原文件分析执行,发现授权状态是会发生变化的,这样感觉执行命令应该是生成了什么信息,保存到了哪儿?想到了lincense_info.json文件的路径,在路径上找到了新生成的wa_data.dat文件。 图片描述

所以从上面的过程整理下来:

知道了这些,感觉已经清楚了,而且windows环境比linux环境上好调试点(x64dbg好用),直接就转windows调试了,过程就不表了(没有任何保护,直接分析)
图片描述

你说你们VMP,UPX个啥???

看着大量的文件介绍关于各个版本的破解,总结就是:有破解文件wvsc,有lincense_info.json,安装替换就OK了!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

最后于 2021-1-12 10:13 被nevinhappy编辑 ,原因: 感谢大佬帮助编辑上来。
上传的附件:
收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//