[原创]手工快速识别+破解 FLEXLM_ECC关键函数-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]手工快速识别+破解 FLEXLM_ECC关键函数

发表于: 2009-2-11 22:35 28664

[原创]手工快速识别+破解 FLEXLM_ECC关键函数

空手剑客

2009-2-11 22:35

28664

1、爆破l_pubkey_verify
（1）在IDA中查找字符串 “lmseed.dat” 和 “Can't open lmseed.dat”的引用，对应的源代码如，再往上很容易确定出函数 sb_end。

  ret = sb_end(global_data);
  if (ret != SB_SUCCESS) 
  {
    fprintf(stderr, "Error 9: ");
    goto exit_seed;
  }
/*此处是关键的识别点，往上可找到sb_end*/
  if (!(fp = fopen("lmseed.dat", "w")))
    fprintf(stderr, "Can't open lmseed.dat");
  else
  {
    fprintf(fp, 
  "\
Once set, the values for LM_SEED1-3 must be kept secret \n\
and *never* change.\n\n\
#define LM_SEED1 0x%08x\n\
#define LM_SEED2 0x%08x\n\
#define LM_SEED3 0x%08x\n", seed1, seed2, seed3);
    fclose(fp);
  }

（2）查找对sb_end的调用，其中有一个应为 mov [addr], sb_end，对面应的源代码如下，此处所在的函数即为l_pubkey_verify


if (!job->L_VERIFY_MEM)
  {
    typedef void (*cleanup)(char *);
    m = (VERIFY_MEM *)(job->L_VERIFY_MEM = 
      (char *)l_malloc(job, sizeof(*m)));
    m->cleanup = (cleanup)sb_end;
    m->strength = strength;
    m->sign_level = sign_level;

（3）在找到的mov [addr], sb_end 继续往上，找到选择分支结构，对应的源代码如下，此处的爆破方法很多，可以直接将strength置为0


  switch(strength)
  {
  case LM_STRENGTH_LICENSE_KEY: return 0;
  case LM_STRENGTH_113BIT: ellipticCurve = 
                &LM_PUBKEY_CURVE113BIT; break;
  case LM_STRENGTH_163BIT: ellipticCurve = 
&LM_PUBKEY_CURVE163BIT; break;
  case LM_STRENGTH_239BIT: ellipticCurve = 
&LM_PUBKEY_CURVE239BIT; break;
  default:
    {
      LM_SET_ERRNO(job, LM_BADPARAM, 531, 0);
      ret = LM_BADPARAM;
      goto exit_verify;
    }
  }

2、在daemon中寻找seed明文
（1）寻找289BEB8A的引用，应是赋值语句 mov [addr], 289BEB8A，对应的源代码如下


  if ((keylen < 12) || (keylen > MAX_CRYPT_LEN)) // MAX_CRYPT_LEN=20
    return 0;
  if (keylen != 12)
        len = L_SECLEN_LONG; // L_SECLEN_LONG=0x289BEB8A

再往前应有 “ok” “demo” “%02X”。
注意在289BEB8A的引用附近没有66D8B337，根据这一条可以直接确定出关键函数l_string_key。
（2）往下找3D4DA1D6，找到 mov [var_xx], 3D4DA1D6，再沿此往上找到类似mov [var_xx]，eax。进一步往前是call sub_xxxx，这里的sub_xxxx就是产生SEED明文的关键函数，返回值eax中就是SEED的明文。
（3）在l_string_key中找到sub_xxxx的两个调用，在函数调用后下断点即可。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

#软件保护

收藏・39

免费・7

支持

最新回复 (24)
lhglhg 雪币： 221 活跃值： (2256) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 432 粉丝 3 关注私信	lhglhg 1 2 楼给个实例,来看看! 2009-2-11 23:49 0
iask 雪币： 198 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	iask 3 楼很好，很清楚 2009-2-12 08:42 0
deanlh 雪币： 242 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 387 粉丝 1 关注私信	deanlh 4 楼有没有实例,搞个实例我们会更清楚一点 2009-2-12 16:44 0
niufq 雪币： 228 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	niufq 1 5 楼写的很好，有启发。谢谢！ 2009-2-12 21:48 0
abincn 雪币： 264 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	abincn 6 楼很方便，谢谢 2009-2-13 12:39 0
乱乱弹雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	乱乱弹 7 楼 0.0 米懂！ 2009-2-13 12:52 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 8 楼收藏一下，不过没有搞过这个东西 2009-2-13 17:33 0
rooky2000 雪币： 751 活跃值： (2710) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 301 粉丝 2 关注私信	rooky2000 10 楼分析的不错, 2009-2-14 11:10 0
allex02 雪币： 217 活跃值： (77) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 1 关注私信	allex02 11 楼强，顶一下 2009-2-15 09:53 0
sungy 雪币： 346 活跃值： (1963) 能力值： ( LV6，RANK：90 ) 在线值：发帖 145 回帖 662 粉丝 27 关注私信	sungy 1 12 楼谢谢分享，收藏 2009-2-15 10:11 0
reasly 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	reasly 13 楼很有启发不过还是不如找0x292这样的数字来的方便 2009-2-15 14:30 0
wanggh 雪币： 102 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	wanggh 14 楼楼上介绍一下 0x292是怎么做的？ 2009-2-16 19:27 0
reasly 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	reasly 15 楼哦少敲了一个字母是 0x292A = 10538 2009-2-16 20:14 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 16 楼 0x292A是啥？不要话说到一半，学学楼主，给大家一点详细的说明。 2009-2-16 23:56 0
wanggh 雪币： 102 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	wanggh 17 楼我在另外一篇帖子中也看到有人提了一下0x292A的方法，但是具体是如何做的，还不太清楚。是否静态dasm后查询0x292A？然后这个位置找ecc? 2009-2-17 09:40 0
reasly 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	reasly 18 楼用IDA吧 patch这个函数就好了为什么是这个值找sdk的source看看就知道了 (好久没有研究过flexlm了，手边也没有sdk) 2009-2-17 20:47 0
NoFlexlm 雪币： 324 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 271 粉丝 14 关注私信	NoFlexlm 19 楼呵呵，仔细看一下l_prikey.c源代码，你会发现有很多类似的错误代码。 { l_pubkey_err(job, 10538, returnValue); ret = LM_PUBKEY_ERR; goto exit_verify; } 这些代码是很好的判断方法。 2009-2-18 11:26 0
bridgeic 雪币： 484 活跃值： (269) 能力值： ( LV7，RANK：100 ) 在线值：发帖 68 回帖 283 粉丝 7 关注私信	bridgeic 2 20 楼 TO: 空手剑客剑客兄, 下面的软件ECC patch一直搞不定, 能否帮忙分析一下, 谢谢啦! http://www.fileden.com/getfile.php?file_path=http://www.fileden.com/files/2008/10/26/2160096/v2l.zip 2009-5-1 01:28 0
glopen 雪币： 519 活跃值： (4779) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 338 粉丝 21 关注私信	glopen 21 楼你不会不知道吧。。 2009-5-1 16:58 0
NoFlexlm 雪币： 324 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 271 粉丝 14 关注私信	NoFlexlm 22 楼话都说的这么清楚了，这说明你根本没有理解flexlm的这段代码。请问你有仔细看过这些代码吗？不要总是让别人直接告诉你结果，那样你永远学不到东西。 2009-5-2 09:45 0
空手剑客雪币： 530 活跃值： (542) 能力值： ( LV8，RANK：130 ) 在线值：发帖 27 回帖 61 粉丝 34 关注私信	空手剑客 3 23 楼想把FLEXLM掌握好，就要对照9.2的source和反汇编代码多钻研几下多思考就会有新的体会只听别人讲的经验和技巧，是永远学不会的身体力行是很有必要的滴。。。 2009-5-29 22:11 0
nuoan 雪币： 188 活跃值： (218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	nuoan 24 楼 TO: 空手剑客兄你写linux下ecc patch文件flep的源代码可以共享一下么？我想学习一下在linux下面做ecc patch, 谢谢！ 2009-6-3 21:51 0
lvzt 雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 1 关注私信	lvzt 25 楼虽然看过一些有关 Flexnet 的文章，还是一头雾水，问下这些代码是在 SDK 里面找吗？谢谢 2017-9-14 15:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

空手剑客

发帖

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
lhglhg 雪币： 221 活跃值： (2256) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 432 粉丝 3 关注私信	lhglhg 1 2 楼给个实例,来看看! 2009-2-11 23:49 0
iask 雪币： 198 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 108 粉丝 0 关注私信	iask 3 楼很好，很清楚 2009-2-12 08:42 0
deanlh 雪币： 242 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 387 粉丝 1 关注私信	deanlh 4 楼有没有实例,搞个实例我们会更清楚一点 2009-2-12 16:44 0
niufq 雪币： 228 活跃值： (60) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	niufq 1 5 楼写的很好，有启发。谢谢！ 2009-2-12 21:48 0
abincn 雪币： 264 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	abincn 6 楼很方便，谢谢 2009-2-13 12:39 0
乱乱弹雪币： 200 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	乱乱弹 7 楼 0.0 米懂！ 2009-2-13 12:52 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 8 楼收藏一下，不过没有搞过这个东西 2009-2-13 17:33 0
rooky2000 雪币： 751 活跃值： (2710) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 301 粉丝 2 关注私信	rooky2000 10 楼分析的不错, 2009-2-14 11:10 0
allex02 雪币： 217 活跃值： (77) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 43 粉丝 1 关注私信	allex02 11 楼强，顶一下 2009-2-15 09:53 0
sungy 雪币： 346 活跃值： (1963) 能力值： ( LV6，RANK：90 ) 在线值：发帖 145 回帖 662 粉丝 27 关注私信	sungy 1 12 楼谢谢分享，收藏 2009-2-15 10:11 0
reasly 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	reasly 13 楼很有启发不过还是不如找0x292这样的数字来的方便 2009-2-15 14:30 0
wanggh 雪币： 102 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	wanggh 14 楼楼上介绍一下 0x292是怎么做的？ 2009-2-16 19:27 0
reasly 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	reasly 15 楼哦少敲了一个字母是 0x292A = 10538 2009-2-16 20:14 0
wztuxw 雪币： 107 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 225 粉丝 4 关注私信	wztuxw 16 楼 0x292A是啥？不要话说到一半，学学楼主，给大家一点详细的说明。 2009-2-16 23:56 0
wanggh 雪币： 102 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 37 粉丝 0 关注私信	wanggh 17 楼我在另外一篇帖子中也看到有人提了一下0x292A的方法，但是具体是如何做的，还不太清楚。是否静态dasm后查询0x292A？然后这个位置找ecc? 2009-2-17 09:40 0
reasly 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 43 粉丝 0 关注私信	reasly 18 楼用IDA吧 patch这个函数就好了为什么是这个值找sdk的source看看就知道了 (好久没有研究过flexlm了，手边也没有sdk) 2009-2-17 20:47 0
NoFlexlm 雪币： 324 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 271 粉丝 14 关注私信	NoFlexlm 19 楼呵呵，仔细看一下l_prikey.c源代码，你会发现有很多类似的错误代码。 { l_pubkey_err(job, 10538, returnValue); ret = LM_PUBKEY_ERR; goto exit_verify; } 这些代码是很好的判断方法。 2009-2-18 11:26 0
bridgeic 雪币： 484 活跃值： (269) 能力值： ( LV7，RANK：100 ) 在线值：发帖 68 回帖 283 粉丝 7 关注私信	bridgeic 2 20 楼 TO: 空手剑客剑客兄, 下面的软件ECC patch一直搞不定, 能否帮忙分析一下, 谢谢啦! http://www.fileden.com/getfile.php?file_path=http://www.fileden.com/files/2008/10/26/2160096/v2l.zip 2009-5-1 01:28 0
glopen 雪币： 519 活跃值： (4779) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 338 粉丝 21 关注私信	glopen 21 楼你不会不知道吧。。 2009-5-1 16:58 0
NoFlexlm 雪币： 324 活跃值： (157) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 271 粉丝 14 关注私信	NoFlexlm 22 楼话都说的这么清楚了，这说明你根本没有理解flexlm的这段代码。请问你有仔细看过这些代码吗？不要总是让别人直接告诉你结果，那样你永远学不到东西。 2009-5-2 09:45 0
空手剑客雪币： 530 活跃值： (542) 能力值： ( LV8，RANK：130 ) 在线值：发帖 27 回帖 61 粉丝 34 关注私信	空手剑客 3 23 楼想把FLEXLM掌握好，就要对照9.2的source和反汇编代码多钻研几下多思考就会有新的体会只听别人讲的经验和技巧，是永远学不会的身体力行是很有必要的滴。。。 2009-5-29 22:11 0
nuoan 雪币： 188 活跃值： (218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 35 粉丝 0 关注私信	nuoan 24 楼 TO: 空手剑客兄你写linux下ecc patch文件flep的源代码可以共享一下么？我想学习一下在linux下面做ecc patch, 谢谢！ 2009-6-3 21:51 0
lvzt 雪币： 8 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 1 关注私信	lvzt 25 楼虽然看过一些有关 Flexnet 的文章，还是一头雾水，问下这些代码是在 SDK 里面找吗？谢谢 2017-9-14 15:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复