首页
社区
课程
招聘
[原创] 还原精灵密码算法分析
发表于: 2006-5-31 14:47 18049

[原创] 还原精灵密码算法分析

2006-5-31 14:47
18049

【文章标题】 : 还原精灵密码算法分析
【调试环境】 : WINXP OllyDbg1.10  PEID 0.94
【软件名称】 : 还原精灵
【破解目的】 : 研究算法分析
【加密方式】 : 加壳,未知壳
【文章作者】 : figo
【作者声明】 : 只为研究算法分析,没有其他目的. 请勿用与恶意破坏等非法用途,
否则给自己或他人带来严重后果,概与本人无关.失误之处恳请批评指正,
或有更好的方法或者技巧,欢迎互相交流. 版主若觉此帖违规,请删除,勿封我ID.

【破解过程】 :

还原精灵是一款很优秀的软件,它能够记录下一切对硬盘的写操作,
不论您对硬盘进行拷贝还是移动删除甚至是格式化分区等操作,只要一重新启动,
一切都会恢复到这个操作之前的状态,所以被广泛应用在学校机房和网吧等公共场合的
电脑上.        但是装还原精灵的用户如果忘记了密码就成麻烦事了,想卸掉要密码,想删也删不掉.
记得网上有一种能删除还原精灵的软件,是风般的男人(我也不知道他的真名,呵呵)编写的.
我个人是极不赞成用这种方法,因为这软件太 "野蛮" 了,它在取得 RING0 后,直接用硬盘 IO 把
原来的 BOOT 扇区强制写入物理 0 磁道 1 扇区.对 5.5 以上的版本会造成系统崩溃,
因为还原精灵为了与 NT/2000/XP 兼容,会替换一些驱动程序.
希望本文能对那些想卸载还原精灵而又忘记密码的用户带来帮助.

还原精灵早期版本密码加密算法很简单,甚至不加密直接明码比较.
5.5 版本加密算法是: 密文 = 密码 XOR A5A5A5A5A5A5A5A5H
6.0 版本的加密算法比较复杂,下面来分析一下

该程序加了壳,是弱壳,用OD 手动脱了
入口点是 004318A4.
下面列出程序一些关键代码片段(用 OD 分析的),至于怎么跟踪得来,由于篇幅关系暂不讨论
本文只讨论密码算法和解密器的编写.

0040160E      .  E8 B9F70200   call    <jmp.&MFC42.#6334_CWnd::UpdateData>
00401613      .  8D86 18020000 lea     eax, [esi+218]
00401619      .  8BCE          mov     ecx, esi
0040161B      .  50            push    eax                                       
0040161C      .  E8 EF010000   call    00401810        ;  --------> 验证密码子程序
00401621      .  85C0          test    eax, eax
00401623      .  0F85 D6000000 jnz     004016FF        ; ----------> 关键跳转
00401629      .  8D4C24 0C     lea     ecx, [esp+C]
0040162D      .  E8 4CF70200   call    <jmp.&MFC42.#540_CString::CString>
00401632      .  8D4C24 08     lea     ecx, [esp+8]

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
跟进 CALL 00401810
代码如下:
00401839  |.  E8 A0F50200   call    <jmp.&MFC42.#2915_CString::GetBu>
0040183E  |.  8BCB          mov     ecx, ebx
00401840  |.  8BF0          mov     esi, eax
00401842  |.  8BC1          mov     eax, ecx
00401844  |.  8D7C24 10     lea     edi, [esp+10]
00401848  |.  C1E9 02       shr     ecx, 2
0040184B  |.  F3:A5         rep     movs dword ptr es:[edi], dword p>
0040184D  |.  8BC8          mov     ecx, eax
0040184F  |.  83E1 03       and     ecx, 3
00401852  |.  F3:A4         rep     movs byte ptr es:[edi], byte ptr>
00401854  |.  8D4C24 10     lea     ecx, [esp+10]
00401858  |.  51            push    ecx
00401859  |.  E8 02490100   call    00416160  

注意这个CALL,入栈的是密码原文地址.
把它步过,看看各个寄存器和密码原文有何变化.
我们可以看到密码原文变成密文.

把这个CALL 置断点,重新来过

跟进这个CALL

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

00416160  /$  8B4424 04     mov     eax, [esp+4]
00416164  |.  6A 20         push    20                 ;  Arg3 = 00000020
00416166  |.  50            push    eax                ;  Arg2 = 密码原文
00416167  |.  68 80254400   push    00442580           ;  Arg1 = 00442580 ASCII "NJYZ-RG-60-TT-60"
0041616C  |.  E8 1FFFFFFF   call    00416090           ;  -----------------------> 转换密文子程序
00416171  |.  83C4 0C       add     esp, 0C
00416174  \.  C3            retn

注意这个CALL 的3个参数
第一个参数是指向一个字符串 "NJYZ-RG-60-TT-60"
第二个参数是指向密码原文
第三个参数是一个常数 00000020H
不难猜出这个CALL 是一个明文转换密文的子程序

跟进去看看,下面这段代码就是密码转换算法

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

00416090  /$  55            push    ebp
00416091  |.  8BEC          mov     ebp, esp
00416093  |.  8B45 10       mov     eax, [ebp+10]
00416096  |.  53            push    ebx
00416097  |.  56            push    esi
00416098  |.  57            push    edi
00416099  |.  85C0          test    eax, eax
0041609B  |.  7E 5D         jle     short 004160FA
0041609D  |.  60            pushad
0041609E  |.  8B75 08       mov     esi, [ebp+8]
004160A1  |.  8B7D 0C       mov     edi, [ebp+C]
004160A4  |.  57            push    edi
004160A5  |.  8B1F          mov     ebx, [edi]
004160A7  |.  8B4F 04       mov     ecx, [edi+4]
004160AA  |.  33C0          xor     eax, eax
004160AC  |.  BA B979379E   mov     edx, 9E3779B9
004160B1  |.  66:BF 2000    mov     di, 20
这时候各个寄存器:
ESI 指向字符串 "NJYZ-RG-60-TT-60"
EDX 常数 9E3779B9         
EBX 密码明文前4个字节
ECX 密码明文后4个字节
DI  常数 0020H

大家应该可以下面的代码看出:
密码密文是把明文和字符串"NJYZ-RG-60-TT-60"和常数 9E3779B9 进行加密
其中密码的前4字节和字符串"NJYZ-RG-"加密
密码的后4字节和字符串"60-TT-60"加密
而且密码的前后4字节在每次加密循环都相互加密

004160B5  |>  03C2          /add     eax, edx    ;--------------->加密循环
004160B7  |.  8BE9          |mov     ebp, ecx
004160B9  |.  C1E5 04       |shl     ebp, 4
004160BC  |.  03DD          |add     ebx, ebp
004160BE  |.  8B2E          |mov     ebp, [esi]
004160C0  |.  33E9          |xor     ebp, ecx
004160C2  |.  03DD          |add     ebx, ebp
004160C4  |.  8BE9          |mov     ebp, ecx
004160C6  |.  C1ED 05       |shr     ebp, 5
004160C9  |.  33E8          |xor     ebp, eax
004160CB  |.  03DD          |add     ebx, ebp
004160CD  |.  035E 04       |add     ebx, [esi+4]

004160D0  |.  8BEB          |mov     ebp, ebx
004160D2  |.  C1E5 04       |shl     ebp, 4
004160D5  |.  03CD          |add     ecx, ebp
004160D7  |.  8B6E 08       |mov     ebp, [esi+8]
004160DA  |.  33EB          |xor     ebp, ebx
004160DC  |.  03CD          |add     ecx, ebp
004160DE  |.  8BEB          |mov     ebp, ebx
004160E0  |.  C1ED 05       |shr     ebp, 5
004160E3  |.  33E8          |xor     ebp, eax
004160E5  |.  03CD          |add     ecx, ebp
004160E7  |.  034E 0C       |add     ecx, [esi+C]
004160EA  |.  66:4F         |dec     di
004160EC  |.^ 75 C7         \jnz     short 004160B5    ;------------>加密循环

004160EE  |.  5F            pop     edi
004160EF  |.  891F          mov     [edi], ebx
004160F1  |.  894F 04       mov     [edi+4], ecx

想解出密码,我们得把密文解密 20H 次,如果直接用汇编代码逆运算是算不出来的,引用 《C 语言程序设计》中的
一句话 "超出人的大脑能直接思考的范围 ",而且碰到 shr 之类的语句就郁闷了,因为你无法知道前一个值是什么.
记得《C 语言程序设计》 有提到过用伪代码描述算法,我们不妨把汇编算法用 C 伪代码描述.

密码算法 C 伪代码:

a = 密码的前4个字节
b = 密码的后4个字节
n = 20H
k = 9E3779B9H

-------------------
c = b << 4
a = a + c
c = b ^ "NJYZ"
a = a + c
c = b >> 5             =============================> 密码的前4个字节加密
c = c ^ (k * n)
a = a + c
a = a + "-RG-"

--------------------

-----------------------------------------------------------------------------

--------------------

c = a << 4
b = b + c
c = a ^ "60-T"
b = b +c
c = a >> 5         =================================> 密码的后4个字节加密
c = c ^ (k * n)
b = b + c
b = b + "T-60"

---------------------

循环加密 20H 次

经过上面的分析,大家应该对还原精灵的加密算法比较熟悉了吧!
接下来讨论一下解密器的制作:
可以看出前后4个字节的加密算法一样的,我们可以遍一个解密子程序
先解出密码的后4个字节,再解出密码的前4个字节,如此循环20H次.
下面是我自己写的还原密码破解程序的源代码,在 VC++ 6.0 下编译通过(控制台程序)

#include "windows.h"
#include "stdio.h"

unsigned long esi0 = 0x5a594a4e;  // "NJYZ"
unsigned long esi4 = 0x2d47522d;  // "-RG-"
unsigned long esi8 = 0x542d3036;  // "60-T"
unsigned long esic = 0x30362d54;  // "T-60"
unsigned long edx0 = 0x9e3779b9;  
//加密常量要仔细填,不然不但算不出密码,而且也很难找出错误.

void sub(unsigned long *a, unsigned long *b, unsigned long *a1, unsigned long
  *b1, unsigned long c1);

void main()
{

  printf("\n\t\t\t 还原精灵 6.0 密码读取程序 \n\n\n");
  printf("\t\t\t\t\t by FIGO \n\n\n");
  printf("\t\t\t 仅供学习交流使用,请勿用于非法目的\n\n\n\n");

  long hmov = 0;
  unsigned long *pwd;
  char str1[20];
  char *p1;
  unsigned long *p2;
  pwd = (unsigned long*)str1;
  unsigned long tmp1, tmp2, tmp3, i;

  HANDLE hFile;
  hFile = CreateFile("\\\\.\\PhysicalDrive0", GENERIC_ALL, FILE_SHARE_READ |
    FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0, NULL);

  PBYTE pBuffer = (PBYTE)malloc(512);

  DWORD dwLen;
  hmov = SetFilePointer(hFile, 0x00000e00, (long*)(&hmov), FILE_BEGIN);
  ReadFile(hFile, pBuffer, 512, &dwLen, NULL);

  p1 = (char*)pBuffer + 0x4f;
  p2 = (unsigned long*)p1;
  tmp1 =  *p2;
  p2++;
  tmp2 =  *p2;

  for (i = 0x20; i >= 1; i--)
  {
    tmp3 = i * edx0;
    sub(&tmp2, &tmp1, &esi8, &esic, tmp3);
    sub(&tmp1, &tmp2, &esi0, &esi4, tmp3);

  }

  *pwd = tmp1;
  pwd = pwd++;
  *pwd = tmp2;
  pwd++;

  *pwd = 0;

  printf("\t\t\t password is : %s \n\n\n\n\n\n\n\n\n\n\n\n\n\n ", str1);

  CloseHandle(hFile);

  free(pBuffer);

}

void sub(unsigned long *a, unsigned long *b, unsigned long *a1,
unsigned long *b1, unsigned long c1)
{

  unsigned long higt, low, esi1, esi2, ebp0, edx1;
  edx1 = c1;
  higt =  *a;
  low =  *b;
  esi1 =  *a1;
  esi2 =  *b1;
  ebp0 = low << 4;
  higt = higt - ebp0;
  ebp0 = low ^ esi1;
  higt = higt - ebp0;
  ebp0 = low >> 5;
  ebp0 = ebp0 ^ edx1;
  higt = higt - ebp0;
  higt = higt - esi2;

  *a = higt;

}

至于还原精灵6.0 以上版本及还原精灵网络版6.x的算法也是一样(至少目前为止),
只是加密的字符串不一样.
例如:
解还原精灵网络版 6.02(目前应该算是最新版吧)的密码,只要将上面的代码中的
字符串 "NJYZ-RG-60-TT-60" 替换为 "NJZY-NetCard-V60" 即可.

实际上解还原精灵6.0密码可以直接用内存注册机来解,在 0041616C 出中断,
EAX 指向密码地址(一定要先结束掉还原精灵的进程),网络版的无此BUG.

还原精灵各个版本一般都是把密码的明文或密文写在 0 磁道 8 扇区
偏移量为 04FH,该扇区并没有什么特殊保护,可以直接用 CreateFile 进行读写.

为了便于理解,我把程序写成控制台程序(界面很简陋),大家有兴趣的话可以利用上面的代码,
自己编个破解程序(记得把 FIGO 替换成自己的名字就行了 (^_^) ).

无论你对这篇文章有何看法,都非常感谢你有耐心看到这里.

由于权限不够不能上传附件,想要还原精灵 6.0 和 网络还原精灵 6.02
的密码读取程序源代码和实例请和我联系.
QQ :382174647

终于可以上传附件了!


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 8
支持
分享
最新回复 (49)
雪    币: 214
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
2
好文,先顶个
2006-5-31 15:15
0
雪    币: 222
活跃值: (100)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
3
顶哦
学习
2006-5-31 15:25
0
雪    币: 222
活跃值: (100)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
4
由于权限不够不能上传附件,想要还原精灵 6.0 和 网络还原精灵 6.02
的密码读取程序源代码和实例请和我联系.

---------------------
有精华了就可以传文件了!!
2006-5-31 15:29
0
雪    币: 1829
活跃值: (1377)
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
5
不错不错不错
2006-5-31 15:35
0
雪    币: 253
活跃值: (25)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
6
支持
2006-5-31 15:36
0
雪    币: 338
活跃值: (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
好文..值得学习一下
2006-5-31 16:31
0
雪    币: 152
活跃值: (14)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
8
第一次发表文章,谢谢大家支持啊 !
2006-5-31 16:50
0
雪    币: 417
活跃值: (475)
能力值: ( LV9,RANK:1250 )
在线值:
发帖
回帖
粉丝
9
学习好文。
2006-5-31 17:34
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
楼主好文章啊,下载学习!!!
2006-5-31 21:24
0
雪    币: 179
活跃值: (131)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
11
学习了
2006-5-31 21:42
0
雪    币: 3689
活跃值: (4247)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
12
好文章,正在找老兄QQ。
2006-5-31 22:26
0
雪    币: 389
活跃值: (912)
能力值: ( LV9,RANK:770 )
在线值:
发帖
回帖
粉丝
13
最初由 figo 发布
【文章标题】 : 还原精灵密码算法分析
【调试环境】 : WINXP OllyDbg1.10 PEID 0.94
【软件名称】 : 还原精灵
【破解目的】 : 研究算法分析
【加密方式】 : 加壳,未知壳
........ 为了便于理解,我把程序写成控制台程序(界面很简陋),大家有兴趣的话可以利用上面的代码,
自己编个破解程序(记得把 FIGO 替换成自己的名字就行了 (^_^) ).

2006-5-31 23:42
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
超级强文!学习!
2006-5-31 23:49
0
雪    币: 5895
活跃值: (2717)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
0040161C      .  E8 EF010000   call    00401810        ;  --------> 验证密码子程序
00401621      .  85C0          test    eax, eax
00401623      .  0F85 D6000000 jnz     004016FF        ; ----------> 关键跳转
00401629      .  8D4C24 0C     lea     ecx, [esp+C]
0040162D      .  E8 4CF70200   call    <jmp.&MFC42.#540_CString::CString>
00401632      .  8D4C24 08     lea     ecx, [esp+8]

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
跟进 CALL 004016FF   ??
是跟进call    00401810        吧
2006-6-1 08:10
0
雪    币: 247
活跃值: (135)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
16
写的真不错。
连我都看懂了的说。
好久都没看懂过破文了。。
2006-6-1 12:30
0
雪    币: 152
活跃值: (14)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
17
哦,谢谢十五楼的兄弟提醒,笔误,现在已改正。
2006-6-1 17:00
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
还原精灵。。任何一个版本。。。。要是不记得密码。。或起动不了。。只要

清零磁道就可以了。。
2006-6-1 17:19
0
雪    币: 750
活跃值: (228)
能力值: ( LV9,RANK:780 )
在线值:
发帖
回帖
粉丝
19
我还是个新手,能教教我吗?
2006-6-1 17:59
0
雪    币: 3689
活跃值: (4247)
能力值: (RANK:215 )
在线值:
发帖
回帖
粉丝
20
对象不是网络还原精灵吧,好象是网络还原大师。
2006-6-1 22:02
0
雪    币: 50
活跃值: (145)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
21
这个软件网吧用的挺多的吧
2006-6-1 23:45
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
好,真的很好..我要了
2006-6-2 07:18
0
雪    币: 194
活跃值: (25)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
23
blowfish ,no Pbox
2006-6-2 08:19
0
雪    币: 138
活跃值: (108)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
24
好家伙!!!
被你抢先了!
去年的时候我跟过,本来还指望着写个东西拿来卖呢!
嗨!看来不成了!
哪个时候我还跟过匹配码的算法!

而且我知道这个软件的一个大漏洞!
只能说还原精灵这保护这方面做的太烂了!
不过对兄弟你的共享精神,深表佩服,值得我学习啊!
加我QQ我们聊聊 !我叫流火!
2006-6-2 12:03
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
以前虽然看过类似的原理,但还是顶一下
2006-6-2 13:10
0
游客
登录 | 注册 方可回帖
返回
//