小试Watch法分析kiTo's kiTo KGNmeAGAiN
发表于:
2006-8-14 20:46
5698
小试Watch法分析kiTo's kiTo KGNmeAGAiN
小试Watch法分析kiTo's kiTo KGNmeAGAiN
=========================================================
Watch分析法即以程序变量为分析对象,搞清楚程序的整个框架。
与一般的过程(代码)分析方法有所不同。
下面随手下载了一个crackme做示范
=========================================================
该crackme作者是这么说的:
kiTo's kiTo KGNmeAGAiN
Download kiToKGNmeAGAiN.zip, 106 kb
Browse contents of kiToKGNmeAGAiN.zip
Keygen this little baby and submit your solution.
Difficulty: 2 - Needs a little brain (or luck)
Platform: Windows
Language: Assembler
Published: 06. Aug, 2006
Downloads: 9
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
眼睛不小心在这个上面晃了一下:
Difficulty: 2 - Needs a little brain (or luck)
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
首先分析程序大体是如何执行是不可避免的。
==========================================================
运行程序,看到的是一个常规界面的CRACKME。
用OD加载发现开头就有个CALL,按ENTER进去,首先是一个GetVersion(),以后会用到。
输入at eip回到入口点
向下几行,看到:
00401018 |. 68 33104000 PUSH kiToKGNm.00401033 ; |DlgProc = kiToKGNm.00401033
于是输入:
at 00401033
进入消息处理函数
(这个地址居然就在ExitProcess()下面。)
凭经验判断这个00401033函数的主干是一大堆case,于是看到很多jnz,验证了猜想。
-------------------------------------
看待这个JNZ(前者),预测它是关键的case,后者是爆破点。
按下F9运行,输入name、serial,果然在这里停了下来。
0040105B |. 817D 10 EC030>CMP [ARG.3],3EC
00401062 |. 75 3E JNZ SHORT kiToKGNm.004010A2
00401064 |. FF75 08 PUSH [ARG.1]
00401067 |. E8 9F000000 CALL kiToKGNm.0040110B
0040106C |. 0BC0 OR EAX,EAX
0040106E |. 75 16 JNZ SHORT kiToKGNm.00401086
00401070 |. 6A 40 PUSH 40 ; /Style = MB_OK|MB_ICONASTERISK|MB_APPLMODAL
00401072 |. 68 4B304000 PUSH kiToKGNm.0040304B ; |Title = "kiTo - KgnMe AGAiN!"
00401077 |. 68 03304000 PUSH kiToKGNm.00403003 ; |Text = "Bra, om du inte har gjort en keygen \xE4n, s\xE5 \xE4r det den \xE4nda l\xF6sningen ;)"
0040107C |. FF75 08 PUSH [ARG.1] ; |hOwner
0040107F |. E8 8E090000 CALL <JMP.&user32.MessageBoxA> ; \MessageBoxA
一路F8知道爆破点前面:
0040106C |. 0BC0 OR EAX,EAX
0040106E |. 75 16 JNZ SHORT kiToKGNm.00401086 ;爆破点
看看这里的EAX是怎么出来的。
就在这条语句上面有个CALL:
00401067 |. E8 9F000000 CALL kiToKGNm.0040110B
按下ENTER进去:
在这个函数的最后,发现了我们最喜欢的东西:
004011BB |. 68 6A334000 PUSH kiToKGNm.0040336A ; /String2 = "123456"
004011C0 |. 68 38334000 PUSH kiToKGNm.00403338 ; |String1 = "B150-2E4"
004011C5 |. E8 24080000 CALL <JMP.&kernel32.lstrcmpA> ; \lstrcmpA
004011CA |. C9 LEAVE
004011CB \. C2 0400 RETN 4
拿这个“B150-2E4”试试,果真是注册码。
===============================================================
下面就是要分析这个B150-2E4是怎么来的。
程序的EP处的那个CALL最先被怀疑。
它调用了GetVersion,
GetVersion结束后,其实只是变动了eax的值,在写注册机的时候可以照样画葫芦,不用管他。
PUSH 4031A8:
DS:[4031A8]这个值存储的是GetVersion返回的EAX的十六进制的ANSI串。
接下来的这行:
004010C7 |. 83C4 0C ADD ESP,0C
wprintf是__cdecl的函数,需要自己平衡堆栈。
下去直到这里:
004010CA |. 68 DA314000 PUSH kiToKGNm.004031DA ; ASCII "NTE0MDA4Mjg="
004010CF |. 6A 08 PUSH 8
004010D1 |. 68 A8314000 PUSH kiToKGNm.004031A8 ; ASCII "51400828"
004010D6 E8 C5070000 CALL kiToKGNm.004018A0
CALL kiToKGNm.004018A0是一大堆运算,处理结果只和进栈的字符串、数字有关(大概是某加密算法),若是分析程序框架,可以暂时不去管它。
这个函数的末尾,又是一次这个算法。
004010F9 |. 68 3E324000 PUSH kiToKGNm.0040323E
004010FE |. 6A 10 PUSH 10
00401100 |. 68 0C324000 PUSH kiToKGNm.0040320C ; ASCII "51400828NTE0MDA4Mjg="
00401105 |. E8 96070000 CALL kiToKGNm.004018A0
到此才分析完程序一开头的这个CALL
=========================================
回到爆破点附近
00401064 |. FF75 08 PUSH [ARG.1]
这个ARG.1因该是WndProc(消息处理函数)的 hwnd(窗口句柄)参数。
00401064 |. FF75 08 PUSH [ARG.1]
00401067 |. E8 9F000000 CALL kiToKGNm.0040110B
按下F4运行到这个CALL的地方。输入Name,Serial
Press Enter进入kiToKGNm.0040110B函数。
00401115 |. 6A 32 PUSH 32 ; /Count = 32 (50.)
00401117 |. 68 70324000 PUSH kiToKGNm.00403270 ; |Buffer = kiToKGNm.00403270
0040111C |. 68 E9030000 PUSH 3E9 ; |ControlID = 3E9 (1001.)
00401121 |. FF75 08 PUSH [ARG.1] ; |hWnd
00401124 |. E8 E3080000 CALL <JMP.&user32.GetDlgItemTextA> ; \GetDlgItemTextA
~~~~~~~~~~~~~~~~
在kiToKGNm.00403270这个地方存放NAME。
接下去第3次调用到CALL kiToKGNm.004018A0函数。
计算出字符串放在 4032A2。
接着是几个字符串cat、len操作
直到这里:
00401161 |. A3 A0314000 MOV DWORD PTR DS:[4031A0],EAX
看上去应该是第一次访问DWORD PTR DS:[4031A0],不管他
下去之后就生成了注册码。
到此,初步分析完成
====================================================================================================
下面精确分析。
这趟分析,须搞清楚每个用到的地址(变量、函数)对应的是什么。是“变量分析法”的关键!
(不要看简短的几行,这几行上花费的时间不会比上面的短。)
~~~~~~~~~~~~~~~
函数部分:
004010AB 程序一开始的CALL
004018A0 把该函数命名成f1,声明: __stdcall f1(IN LPTSTR strin,IN DWORD ncode,OUT LPTSTR strout);凭经验应该是把strin以ncode为密钥加密成strout字符串
0040110B __stdcall f2(HWND hWin) 以该CRACKME的窗口句柄为输入参数,生成明码SERIAL,经过strcmp和输入进行比较。是关键函数!
(须注意:这里的参数――窗口句柄经过观察和试验,只是用来作为其中GetDlgItemxxxx的参数,并不参与注册码运算!)
004017A8 __stdcall f3(void) 访问了6个数据段变量,无堆栈变量
004017E8 __stdcall f4(LPTSTR str1,DWORD ncode),其中调用004011D0进行运算
00401848 __stdcall f5(void)
其中很多函数调用的:
004011D0 是个大头,也是这个程序加密算法的关键,其中用了很多的lea代替add、mul做运算。此函数的细节,这里篇幅有限,不予列举。
(这个函数十分有趣,它虽然无堆栈输入,却自行读取堆栈内容,作为密钥。这给写注册机带来了干扰。我已经仔细的学习过,得到了许多防crack的技巧。建议大家仔细研究。)
变量部分: (有些是不断变动的,按程序执行的时间先后顺序排列)
类型声明:
字符串型: 403000,4031A8,4031DA,40320C,40323E,403270,4032A2,4032D4
DWORD型: 4031A0,403400
====================004010AB 中===============
403000 "%X"
4031A8 GetVersion函数返回的EAX转化成的16进制ANSI串。
4031DA 4031A8的数值以08h为密钥由函数f1()加密
40320C =ansi字符串cat(4031A8,4031DA)
40323E 以上面的40320C为原文,10h==16d为密钥f1()加密生成报文
===================0040110B 中================
4032D4 =0(从下文可以得知该0是作为sz字符串结束的'\0')
403270 输入的名字
4032A2 输入的名字经过以 名字长度为密钥的f1()运算后得出的字符串
4032D4 == 字符串 PTR [4032A2] (嘻嘻,这样表示应该看得懂吧^_^)
40323E 仍旧是上述得40323E,内容没有变化
4032D4 = ansi字符串cat(4032A2,40323E)
4031A0 =字符串4032D4的长度
===================其他函数中=================
403400 =0
403404 =0
4033F0 =67452301H
4033F4 =EFCDAB89H
4033F8 =98BADCFEH
4033FC =10325476H
……………
时间紧迫,快要吃饭了就不多列举
这个crackme没有什么trick,既不存在花指令,也没有多线程,只是一个字“长”。(当然,和某些共享软件的注册算法比起来是简练多了。)
这里还是要提一句,它的核心函数之一: 004011D0 构思十分巧妙,它独特的获取密钥方式(不破坏堆栈的条件下,从先前的堆栈中获得,写注册机的时候大部分可以用立即数代替!!),给写KeyGen带来了一定的复杂度。盖有经验的老鸟对此并不陌生。(可惜本菜鸟才第一次碰到)
总结:
任何程序所用到的数据,不可能只在寄存器里做运动,访问内存是必然的。我们可以抓住应用程序的这个通性,在调试跟踪的过程中按照代码执行的先后顺序记录内存的读、写情况。更清晰的掌握程序的脉络。尤其是在超高级语言(如VB)中更显出优势。可以看作是手动的Watch。我们无产阶级用的是OD,某些调试工具自己带有十分丰富的WATCH功能,只需要手动记录一下变量之间的转换关系就可以了。^_^
并不是所有变量都需要如此详细的分析,也不是所有变量的值都需要写出来,只要分析关键变量、就可以了。
希望大家也参与交流技巧。
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
这个crackme只适合于自己分析,若是把它的过程写出来……要帖好几页
对于这个crackme,Watch分析是最适合的方法
我原本看着这个crackme结构清晰,想可以写成tutorial,未料到此crackme虽然清晰,算法却十分长。又不想前功尽弃,就把大略帖出来。加密函数004011D0内部太长,反正大家记录下了之前的变量地址后基本上都能读懂。
=========================================================================================
关于KeyGen:
只怪我没有锻炼耐心,加上
破了此crackme没有什么功利价值(不能和破ShareWare相比啊)。于是注册机随便写一下。虽然说这不能叫做真正意义上的KeyGen(偷懒一下啦)。
!!!!!!!!!!!!!!!!!!!!
最后不好意思的说一句――
大家可千万别指责我的crackme啊~~,实在不想按正规方式写了。注册算法太长。
==========================================================================================
原版CrackMe+自己写的KeyGen下载:
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
上传的附件: