金盾视频播放器2017S(Version 17.4)破解
本帖最后由 lhy888xh 于 2014-11-11 12:45 编辑1.如何获取机器码?
机器码分为4部分:
1)第1部分:4fd09
读取注册表:
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\
项名: SystemBiosVersion
比如我的机器:
把0x0000换成分号”;”,比如为 : LENOVO – 1370; 然后再转换为ASC
II码,然后进行MD5,最后取前5个字符做为第1部分
代码位置:
2)第2部分:f14c1
读磁盘序列号:
通过API CreateFileW 打开"\\.\PhysicalDrive0"设备,然后调用DeviceIoControl,IoControlCode=
SMART_RCV_DRIVE_DATA来获取磁盘数据信息,获取和数据长度是0x210,然后取出110000000xxxx01序列号:
和第1步同样先转换到ASCII码,然后计算MD5,再取前5个字符.
代码位置:
3)第3部分:896e4
读取注册表:
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\
项名: VideoBiosVersion 和 VideoBIOSDate
然后把两部分加起来,用”;”分隔,同样是转换到ASCII码,然后计算MD5,再取前5个字符.
代码位置:
4)第4部分:00000
这部分是固定的为 00000
最后把4部分用 ”-“拼接就组成了机器码.
2.破解方案?
因为播放器播放视频是一机一码,因为已知一组机器码和对应的播放密码,那么我们就使用模
拟机器码的方案进行破解,主要分2部分破解工作.
1)拦截注册表API:
让每台机器获取的注册表和磁盘信息都一样,也就是返回固定的内容,也就是让3部分内
容都返回我们给定的固定的内容.拦截的API是RegQueryValueExW,至于磁盘信息,则可以通
过把DeviceIoControl的返回值判断部分爆破解决的,也就是jne改为je/jmp,让其判断结果
出错,这样程序就会用空指针数据进行MD5计算.
项名: SystemBiosVersion,值为:SystemBiosVersion (可以任意给定)
项名: VideoBiosVersion,值为:VideoBiosVersion(可以任意给定)
项名: VideoBIOSDate,值为:VideoBIOSDate(可以任意给定)
把值设定为和项名一样的内容,这样便于我们跟踪调试,也可以给其他的值,只要是固定的就
可以。
2)拦截MD5计算函数:
这部分是对于我们设定的3部分内容在计算MD5值的时候,把它变为要模拟机器码的MD5
数值.
如果程序要计算 “SystemBiosVersion;”的MD5,那么我们就知道这是要计算第1部分机
器码的MD5,此时只要我们返回模拟机器码的第1部分即可,其他部分也是同样的,如果不是
我们的内容则要计算出正确的MD5.
3.代码分析
已经确定了破解方案,就要仔细的进行代码跟踪分析,找到要爆破的位置.
1)API RegQueryValueExW这个容易找到,前面也已经分析过,3个地址:
0088FC79 .E8 1E49B8FF call 专用播放.0041459C ; \RegQueryValueExW
00890041 .E8 5645B8FF call 专用播放.0041459C ; \RegQueryValueExW
008900A0 .E8 F744B8FF call 专用播放.0041459C ; \RegQueryValueExW
2)MD5函数位置,这个可以有几种办法
a)通过设定内存访问断点的方法,一步一步确定MD5的计算函数
b)直接根据MD5算法的特征来查找代码:
根据以上两个关键特征就可以很容易找到代码的位置,经过分析调用MD5计算的位置是:
0076B9DA|.8D55 EC lea edx, // edx存放输出MD5值的地址(16字节)
0076B9DD|.8B45 FC mov eax, // eax存储要计算MD5字符串的地址
0076B9E0|.E8 A7FEFFFF call 专用播放.0076B88C// 这个是计算MD5的函数
4.DLL补丁程序编写
建立一个DLL工程,我使用的是VC,任何版本都可以,写两个函数,
1)我们自己的RegQueryValueExW,代码如下:
在这个我们自己的函数里,判断机器码3个项名,然后返回固定的内容,否则调用系统的函数
处理
2)我们自己的MD5函数,代码如下:
这部分就是模拟机器码的部分,判断要计算MD5的字符串内容,然后返回对应的机器码,因为
只取前5个字符,所以我们只需要返回前3个字节即可,如果不是我们的内容则使用标准的MD5计
算函数。
3)导致一个API,为了可以让程序加载,后面会用到:
5.DLL程序加载
补丁DLL程序写好了,如何加载到程序,这就要使用一个工具CFF Explorer
让程序导入我们的api函数,然后“Rebuild Import Table”和保存即可,这样程序就在运行的时
候加载我们的DLL补丁程序。
6.函数替换和代码补丁
一般函数拦截或者替换可以通过API HOOK的办法,但这个金盾程序有反HOOK处理,所以不太好直
接用,所以我们就使用对原程序打补丁的办法,直接改变call函数。
1)对3个call RegQueryValueExW的地方都修改为call我们的my_RegQueryValueExW
0088FC79 .E8 5226770F call apijindu.100022D0
00890041 .E8 8A22770F call apijindu.100022D0
008900A0 .E8 2B22770F call apijindu.100022D0
这是其中一个代码的示例:
2)对DeviceIoControl调用函数返回值判断的修改,就是改75为74,也就是jne=>je
3)MD5函数的替换:
这个要复杂很多,因为原md5 计算是内部的函数,也没有参数,输入和输出分别是
eax和edx,所以我们没办法直接改变原来的call到我们自己的my_MD5函数
所以只能采取jmp 跳转的办法,首先得找到一大片可以插入代码的内存地址,遗憾的
是,没找到合适的位置,没办法,只能采取更暴力的办法,改写不会调用的代码内存,最
后确定008904AA - 008904C5这部分代码不会调用,直接填充90(NOP)
然后写跳转和调用的补丁代码:
先跳转到我们的NOP位置
在NOP位置写我们的代码,最后要跳回到之前位置:
至此补丁全部完成,运行播放器,会看到已经完全模拟了机器码,输入正确的密码,
视频成功播放。
本教程完
由于论坛图片限制,本人已将教程制成PDF,欢迎下载
下载链接: 链接: http://pan.baidu.com/s/1qWHOH8w 密码: 673x
支持的坛友,请打赏热心,评分, 不学白不学
本人刚刚注册帐号,菜鸟一枚,望大神们不要见笑,打赏我一点点CB,鼓励鼓励,谢谢大家
牛人啊,拜膜! 楼主,你不至于吧,把我的帖子发过来,还在PDF中遮住的我ID.
原帖在这里:
http://www.52pojie.cn/thread-264955-1-1.html 好给力,找了很久了 呵呵……复制粘贴完美 感谢分享,大神有提取软件吗? 好高端的样子,不过我会提取{:301_987:} {:301_992:}2018了 这个过去了 对怎么弄注册码的那段有兴趣 金盾好象很厉害的样子 好像是转载了某位大神的贴子 新人表示完全没有看懂