软件破解技术之API替换
本帖最后由 codelive 于 2014-6-13 16:25 编辑本教程是通过对金盾视频播放器2017S(V17.4)专业版破解的过程进行技术分享.
API替换技术与API HOOK原理差不多,但使用上面略有不同.
API HOOK技术请参考我之前的帖子:http://www.52pojie.cn/thread-257140-1-1.html
简单讲一下两者的区别:
API HOOK:是修改原API的内存地址,增加jmp语句跳转到新的API地址,然后再恢复原API内存地址,这样整个进程中所有调用原API都会被截获,这种办法弊端是有可能会被反HOOK检测到,从而导致软件异常.
举例说明,假如要HOOK函数GetLocalTime到你的my_GetLocalTime函数:
1.写一个DLL程序,同时定义my_GetLocalTime函数,参数与GetLocalTime相同:
void WINAPI my_GetLocalTime(LPSYSTEMTIME lpSystemTime)
{
}
2.在DLL加载的时候先保存原API的内存前7个字节,然后再修改原API GetLocalTime地址内存,汇编代码为:
mov eax, my_GetLocalTime
jmp eax
上面是7个字节
3.在my_GetLocalTime中
void WINAPI my_GetLocalTime(LPSYSTEMTIME lpSystemTime)
{
//将原API的7个字节恢复,然后这里就可以调用原API
GetLocalTime(lpSystemTime);
//为了保证下一次还进行HOOK,所以这里还需要把新的7个字节再写回到原API地址
}
API替换: 同样是截获API调用,但API替换是仅对调用API的地方做代码修改,使之CALL到新的函数
举例说明,假设程序有3处调用了GetLocalTime
地址1: xxxxxx10 - call GetLocalTime
地址2: xxxxxx80 - call GetLocalTime
地址3: xxxxxxB0 - call GetLocalTime
如果我们只想改变地址2的调用我们的my_GetLocalTime,也就是:
地址2: xxxxxx80 - call my_GetLocalTime
这样就仅仅是对原程序的patch,不需要动态的回写API内存地址数据,也就可以逃避反HOOK检测
重点来了,基于这个原理,我就分享一下对金盾视频播放器2017S(V17.4)专业版破解过程:
很多人应该都知道金盾视频播放器的加密和播放过程,我简单介绍一下:
1.首先运行加密系统对一个视频文件进行加密,如图:
输入密码,其他使用缺省, 点击开始加密,这样视频就加密完成了.
2.用户用一个专门的播放器打开加密的视频文件,会显示如下界面:
3.加密系统根据用户的机器码创建一个播放密码。
4.用户输入播放密码就能够正确播放。
OK,软件使用介绍完了,下面进入正题.
PS : 本破解是的前提是已知一对机器码和播放密码.
1.软件如何获取的机器码?
机器码分为4部分:
1)第1部分:4fd09
读取注册表:
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\
项名: SystemBiosVersion
比如我的机器:
把0x0000换成分号”;”,比如为 : LENOVO – 1370; 然后再转换为ASC II码,然后进行MD5,最后取前5个字符做为第1部分
代码位置:
2) 第2部分:f14c1
读磁盘序列号:
通过API CreateFileW打开"\\.\PhysicalDrive0"设备,然后调用DeviceIoControl, IoControlCode = SMART_RCV_DRIVE_DATA来获取磁盘数据信息,获取和数据长度是0x210,然后取出110000000xxxx01序列号:
和第1步同样先转换到ASCII码,然后计算MD5,再取前5个字符.
代码位置:
3)第3部分:896e4
读取注册表:
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\
项名: VideoBiosVersion 和 VideoBIOSDate
然后把两部分加起来,用”;”分隔,同样是转换到ASCII码,然后计算MD5,再取前5个字符.
代码位置:
4)第4部分:00000
这部分是固定的为 00000, 确切的说如果绑定了网卡,这里是网卡的MD5
最后把4部分用 ”-“拼接就组成了机器码.
2.破解方案?
因为播放器播放视频是一机一码,因为已知一组机器码和对应的播放密码,那么我们就使用模拟机器码的方案进行破解,主要分2部分破解工作.
1)拦截注册表API:
让每台机器获取的注册表和磁盘信息都一样,也就是返回固定的内容,也就是让3部分内容都返回我们给定的固定的内容.拦截的API是RegQueryValueExW,至于磁盘信息,则可以通过把DeviceIoControl的返回值判断部分爆破解决的,也就是jne改为je/jmp,让其判断结果出错,这样程序就会用空指针数据进行MD5计算.
项名: SystemBiosVersion,值为:SystemBiosVersion (可以任意给定)
项名: VideoBiosVersion,值为:VideoBiosVersion(可以任意给定)
项名: VideoBIOSDate,值为:VideoBIOSDate(可以任意给定)
把值设定为和项名一样的内容,这样便于我们跟踪调试,也可以给其他的值,只要是固定的就可以。
2 拦截MD5计算函数:
这部分是对于我们设定的3部分内容在计算MD5值的时候,把它变为要模拟机器码的MD5数值.
如果程序要计算 “SystemBiosVersion;”的MD5,那么我们就知道这是要计算第1部分机器码的MD5,此时只要我们返回模拟机器码的第1部分即可,其他部分也是同样的,如果不是我们的内容则要计算出正确的MD5.
3.代码分析
已经确定了破解方案,就要仔细的进行代码跟踪分析,找到要爆破的位置.
1) API RegQueryValueExW这个容易找到,前面也已经分析过,3个地址:
0088FC79 .E8 1E49B8FF call 专用播放.0041459C ; \RegQueryValueExW
00890041 .E8 5645B8FF call 专用播放.0041459C ; \RegQueryValueExW
008900A0 .E8 F744B8FF call 专用播放.0041459C ; \RegQueryValueExW
2)MD5函数位置,这个可以有几种办法
a)通过设定内存访问断点的方法,一步一步确定MD5的计算函数
b)直接根据MD5算法的特征来查找代码:
根据以上两个关键特征就可以很容易找到代码的位置,经过分析调用MD5计算的位置是:
0076B9DA|.8D55 EC lea edx, // edx存放输出MD5值的地址(16字节)
0076B9DD|.8B45 FC mov eax, // eax存储要计算MD5字符串的地址
0076B9E0|.E8 A7FEFFFF call 专用播放.0076B88C// 这个是计算MD5的函数
4.DLL补丁程序编写
建立一个DLL工程,我使用的是VC,任何版本都可以,写两个函数,
1)我们自己的RegQueryValueExW,代码如下:
在这个我们自己的函数里,判断机器码3个项名,然后返回固定的内容,否则调用系统的函数处理
2)我们自己的MD5函数,代码如下:
这部分就是模拟机器码的部分,判断要计算MD5的字符串内容,然后返回对应的机器码,因为只取前5个字符,所以我们只需要返回前3个字节即可,如果不是我们的内容则使用标准的MD5计算函数。
3)导出一个API,为了可以让程序加载,后面会用到:
5.DLL程序加载
补丁DLL程序写好了,如何加载到程序,这就要使用一个工具CFF Explorer
让程序导入我们的api函数,然后“Rebuild Import Table”和保存即可,这样程序就在运行的时候加载我们的DLL补丁程序。
6.函数替换和代码补丁
一般函数拦截或者替换可以通过API HOOK的办法,但这个金盾程序有反HOOK处理,所以不太好直接用,所以我们就使用对原程序打补丁的办法,直接改变call函数。
1)对3个call RegQueryValueExW的地方都修改为call我们的my_RegQueryValueExW
0088FC79 .E8 5226770F call apijindu.100022D0
00890041 .E8 8A22770F call apijindu.100022D0
008900A0 .E8 2B22770F call apijindu.100022D0
这是其中一个代码的示例:
这里说一下,CALL地址的计算方法:CALL 偏移地址 = 目标地址-当前地址-5
举例:
0x00890000 CALL 原API
新API地址为: 0x001000AA
0x00890000 CALL (0x001000AA - 0x00890000 - 5)
2)对DeviceIoControl调用函数返回值判断的修改,就是改75为74,也就是jne=>je
3)MD5函数的替换:
这个要复杂很多,因为原md5计算是内部的函数,也没有参数,输入和输出分别是eax和edx,所以我们没办法直接改变原来的call到我们自己的my_MD5函数
所以只能采取jmp跳转的办法,首先得找到一大片可以插入代码的内存地址,遗憾的是,没找到合适的位置,没办法,只能采取更暴力的办法,改写不会调用的代码内存,最后确定008904AA - 008904C5这部分代码不会调用,直接填充90(NOP)
然后写跳转和调用的补丁代码:
先跳转到我们的NOP位置
在NOP位置写我们的代码,最后要跳回到之前位置:
至此补丁全部完成,运行播放器,会看到已经完全模拟了机器码,输入正确的密码,视频成功播放。
通过这种办法,只要修改my_MD5部分就可以模拟任何机器码,是一个通杀的解决方案。
由于这是给一个朋友破解的,所以不能公布程序源代码,此帖主要是分享一种API替换的一种技术.
本教程完,欢迎交流.
赞一个很不错啊 好厉害,学习下 很不错 可惜没e写的 感谢分享 支持下 这个牛吧 我看了很久都没看明吧看来还的学习 学习 收藏下。。。 有没有现成的处理好的程序啊。求啊。 好厉害的大神啊。 真是大神啊。每次出的教程都那么牛,可惜我c++还没有学精通。api也没有看。但是也受益匪浅啊 谢谢楼主分享!!! 给力,但是没看懂。 顶大牛,第一次离大牛这么近 大牛的分析就是给力,可惜自己小白了。 本帖最后由 hehesd 于 2014-6-13 16:46 编辑
在他取完机器码之后ret之前将机器码改掉应该更方便吧。。。这样应该不用模拟api功能了。。替换call的方法在以前写war3全图的时候用到过。。。后来平台对game模块内所有地址都检测就失效了。。。
hehesd 发表于 2014-6-13 16:44
在他取完机器码之后ret之前将机器码改掉应该更方便吧。。。这样应该不用模拟api功能了。。替换call的方法在 ...
取机器码是分4部分进行的,每部分取到信息后就进行MD5计算,再取前5字符,计算后会存放到几个位置,第1返回的位置就是MD5计算部分,在之后的部分处理就已经太晚了,所以需要在MD5的位置进行模拟. 确实很屌啊!~ 本帖最后由 currwin 于 2014-6-13 18:49 编辑
楼主一直都是那么厉害的啊我有一个问题一直想请教楼主,我使用了你的APIHook技术但是导入dll后
程序可以正常运行起来,但是在某个功能方面则会一直提示这个错误:
这种情况应该怎么解决呢?
我在网上查了一下,是说过是因为VC处理浮点数的时候,如果程序没有使用到浮点数的话,为了精简程序大小,是不会加载浮点数运算的指令的
于是我在自己的dll里面加入了一句
double fix = 0
然后关闭编译器的优化选项,但是情况还是不变,请问这样该如何解决呢?
原程序与我自己写的dll都是VC2010编译的。
再次感谢楼主无私的提供技术。
api还不是特别清楚,呵呵,学习中 非常给力,感谢发布教程