//技术作者:Codelive
//对于精通编程的部分人群来讲看教程即可。针对菜鸟特公开源码!
//技术支持:梦想继续共享吧 www.dreamjx.com
//感谢大家关注梦想继续共享吧 论坛的发展离不开大家的支持!
=============================================================
声明:本文主要是做技术研究分享,希望视频加密软件能够防止类似的破解,提高加密安全性。
首先谈一下API替换技术,API替换与API HOOK原理差不多,但使用上面略有不同.
简单讲一下两者的区别:
API HOOK:是修改原API的内存地址,增加jmp语句跳转到新的API地址,然后再恢复原API内存地址,这样整个进程中所有调用原API都会被截获,这种办法弊端是有可能会被反HOOK检测到,从而导致软件异常.
举例说明,假如要HOOK函数GetLocalTime到你的my_GetLocalTime函数:
1.写一个DLL程序,同时定义my_GetLocalTime函数,参数与GetLocalTime相同: void WINAPI my_GetLocalTime(LPSYSTEMTIME lpSystemTime) { } 2.在DLL加载的时候先保存原API的内存前7个字节,然后再修改原API GetLocalTime地址内存,汇编代码为: mov eax, my_GetLocalTime jmp eax 上面是7个字节 3.在my_GetLocalTime中 void WINAPI my_GetLocalTime(LPSYSTEMTIME lpSystemTime) { //将原API的7个字节恢复,然后这里就可以调用原API GetLocalTime(lpSystemTime); //为了保证下一次还进行HOOK,所以这里还需要把新的7个字节再写回到原API地址 } API替换: 同样是截获API调用,但API替换是仅对调用API的地方做代码修改,使之CALL到新的函数 举例说明,假设程序有3处调用了GetLocalTime 地址1 : xxxxxx10 - call GetLocalTime 地址2 : xxxxxx80 - call GetLocalTime 地址3 : xxxxxxB0 - call GetLocalTime
如果我们只想改变地址2的调用我们的my_GetLocalTime,也就是: 地址2 : xxxxxx80 - call my_GetLocalTime 这样就仅仅是对原程序的patch,不需要动态的回写API内存地址数据,也就可以逃避反HOOK检测.
重点来了,基于这个原理,我就分享一下对金盾视频播放器2017S的破解过程: 很多人应该都知道金盾视频播放器的加密和播放过程,我简单介绍一下:
1.首先运行加密系统对一个视频文件进行加密,如图:
输入密码,其他使用缺省, 点击开始加密,这样视频就加密完成了.
2.用户用一个专门的播放器打开加密的视频文件,会显示如下界面:
3.加密系统根据用户的机器码创建一个播放密码。
4.用户输入播放密码就能够正确播放。 OK,软件使用介绍完了,下面进入正题. PS : 本破解是的前提是已知一对机器码和播放密码.
=============================================================
1. 如何获取机器码?
机器码分为4部分:
1)第1部分:4fd09 读取注册表:
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\ 项名: SystemBiosVersion 比如我的机器:
把0x0000换成分号”;”,比如为 : LENOVO – 1370; 然后再转换为ASC II码,然后进行MD5,最后取前5个字符做为第1部分 代码位置:
2) 第2部分:f14c1 读磁盘序列号: 通过API CreateFileW打开"\\.\PhysicalDrive0"设备,然后调用DeviceIoControl, IoControlCode = SMART_RCV_DRIVE_DATA来获取磁盘数据信息,获取和数据长度是0x210,然后取出110000000xxxx01序列号:
和第1步同样先转换到ASCII码,然后计算MD5,再取前5个字符.
代码位置:
3)第3部分:896e4
读取注册表: HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\ 项名: VideoBiosVersion 和 VideoBIOSDate
然后把两部分加起来,用”;”分隔,同样是转换到ASCII码,然后计算MD5,再取前5个字符.
代码位置:
4)第4部分:00000 这部分是固定的为 00000, 确切的说如果绑定了网卡,这里是网卡的MD5
最后把4部分用 ”-“拼接就组成了机器码.
2.破解方案?
因为播放器播放视频是一机一码,因为已知一组机器码和对应的播放密码,那么我们就使用模拟机器码的方案进行破解,主要分2部分破解工作.
1)拦截注册表API: 让每台机器获取的注册表和磁盘信息都一样,也就是返回固定的内容,也就是让3部分内容都返回我们给定的固定的内容.拦截的API是RegQueryValueExW,至于磁盘信息,则可以通过把DeviceIoControl的返回值判断部分爆破解决的,也就是jne改为je/jmp,让其判断结果出错,这样程序就会用空指针数据进行MD5计算.
项名: SystemBiosVersion,值为:SystemBiosVersion (可以任意给定)
项名: VideoBiosVersion,值为:VideoBiosVersion(可以任意给定) 项名: VideoBIOSDate,值为:VideoBIOSDate(可以任意给定)
把值设定为和项名一样的内容,这样便于我们跟踪调试,也可以给其他的值,只要是固定的就可以。
2 拦截MD5计算函数: 这部分是对于我们设定的3部分内容在计算MD5值的时候,把它变为要模拟机器码的MD5数值.
如果程序要计算 “SystemBiosVersion;”的MD5,那么我们就知道这是要计算第1部分机器码的MD5,此时只要我们返回模拟机器码的第1部分即可,其他部分也是同样的,如果不是我们的内容则要计算出正确的MD5.
3.代码分析 已经确定了破解方案,就要仔细的进行代码跟踪分析,找到要爆破的位置.
1) API RegQueryValueExW这个容易找到,前面也已经分析过,3个地址: 0088FC79 . E8 1E49B8FF call 专用播放.0041459C ; \RegQueryValueExW 00890041 . E8 5645B8FF call 专用播放.0041459C ; \RegQueryValueExW 008900A0 . E8 F744B8FF call 专用播放.0041459C ; \RegQueryValueExW
2)MD5函数位置,这个可以有几种办法 a)通过设定内存访问断点的方法,一步一步确定MD5的计算函数 b)直接根据MD5算法的特征来查找代码:
根据以上两个关键特征就可以很容易找到代码的位置,经过分析调用MD5计算的位置是: 0076B9DA |. 8D55 EC lea edx,[local.5] // edx存放输出MD5值的地址(16字节) 0076B9DD |. 8B45 FC mov eax,[local.1] // eax存储要计算MD5字符串的地址 0076B9E0 |. E8 A7FEFFFF call 专用播放.0076B88C // 这个是计算MD5的函数
4.DLL补丁程序编写 建立一个DLL工程,我使用的是VC,任何版本都可以,写两个函数,
1)我们自己的RegQueryValueExW,代码如下:
在这个我们自己的函数里,判断机器码3个项名,然后返回固定的内容,否则调用系统的函数处理
2)我们自己的MD5函数,代码如下:
这部分就是模拟机器码的部分,判断要计算MD5的字符串内容,然后返回对应的机器码,因为只取前5个字符,所以我们只需要返回前3个字节即可,如果不是我们的内容则使用标准的MD5计算函数。 3)导出一个API,为了可以让程序加载,后面会用到:
5.DLL程序加载
补丁DLL程序写好了,如何加载到程序,这就要使用一个工具CFF Explorer
让程序导入我们的api函数,然后“Rebuild Import Table”和保存即可,这样程序就在运行的时候加载我们的DLL补丁程序。
6.函数替换和代码补丁 一般函数拦截或者替换可以通过API HOOK的办法,但这个金盾程序有反HOOK处理,所以不太好直接用,所以我们就使用对原程序打补丁的办法,直接改变call函数。
1)对3个call RegQueryValueExW的地方都修改为call我们的my_RegQueryValueExW
0088FC79 . E8 5226770F call apijindu.100022D0 00890041 . E8 8A22770F call apijindu.100022D0 008900A0 . E8 2B22770F call apijindu.100022D0
这是其中一个代码的示例:
这里说一下,CALL地址的计算方法:CALL 偏移地址 = 目标地址-当前地址-5 举例: 0x00890000 CALL 原API 新API地址为: 0x001000AA 0x00890000 CALL (0x001000AA - 0x00890000 - 5)
2)对DeviceIoControl调用函数返回值判断的修改,就是改75为74,也就是jne=>je
3)MD5函数的替换: 这个要复杂很多,因为原md5计算是内部的函数,也没有参数,输入和输出分别是eax和edx,所以我们没办法直接改变原来的call到我们自己的my_MD5函数, 所以只能采取jmp跳转的办法,首先得找到一大片可以插入代码的内存地址,遗憾的是,没找到合适的位置,没办法,只能采取更暴力的办法,改写不会调用的代码内存,最后确定008904AA - 008904C5这部分代码不会调用,直接填充90(NOP)
然后写跳转和调用的补丁代码:
先跳转到我们的NOP位置
至此补丁全部完成,运行播放器,会看到已经完全模拟了机器码,输入正确的密码,视频成功播放。
=============================================================
部分代码:
[sell=150,2][/sell] |