吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 88128|回复: 200
收起左侧

[原创] 软件破解技术之API替换

    [复制链接]
codelive 发表于 2014-6-13 16:03
本帖最后由 codelive 于 2014-6-13 16:25 编辑

本教程是通过对金盾视频播放器2017S(V17.4)专业版破解的过程进行技术分享.

API替换技术与API HOOK原理差不多,但使用上面略有不同.
API HOOK技术请参考我之前的帖子:http://www.52pojie.cn/thread-257140-1-1.html

简单讲一下两者的区别:
API HOOK:是修改原API的内存地址,增加jmp语句跳转到新的API地址,然后再恢复原API内存地址,这样整个进程中所有调用原API都会被截获,这种办法弊端是有可能会被反HOOK检测到,从而导致软件异常.
举例说明,假如要HOOK函数GetLocalTime到你的my_GetLocalTime函数:
1.写一个DLL程序,同时定义my_GetLocalTime函数,参数与GetLocalTime相同:
void WINAPI my_GetLocalTime(LPSYSTEMTIME lpSystemTime)
{
}

2.在DLL加载的时候先保存原API的内存前7个字节,然后再修改原API GetLocalTime地址内存,汇编代码为:  
mov eax, my_GetLocalTime
jmp eax
上面是7个字节

3.在my_GetLocalTime中
void WINAPI my_GetLocalTime(LPSYSTEMTIME lpSystemTime)
{
    //将原API的7个字节恢复,然后这里就可以调用原API
    GetLocalTime(lpSystemTime);
    //为了保证下一次还进行HOOK,所以这里还需要把新的7个字节再写回到原API地址
}

API替换: 同样是截获API调用,但API替换是仅对调用API的地方做代码修改,使之CALL到新的函数
举例说明,假设程序有3处调用了GetLocalTime
地址1  : xxxxxx10 -   call GetLocalTime
地址2  : xxxxxx80 -   call GetLocalTime
地址3  : xxxxxxB0 -   call GetLocalTime

如果我们只想改变地址2的调用我们的my_GetLocalTime,也就是:
地址2  : xxxxxx80 -   call my_GetLocalTime
这样就仅仅是对原程序的patch,不需要动态的回写API内存地址数据,也就可以逃避反HOOK检测

重点来了,基于这个原理,我就分享一下对金盾视频播放器2017S(V17.4)专业版破解过程:

很多人应该都知道金盾视频播放器的加密和播放过程,我简单介绍一下:

1.首先运行加密系统对一个视频文件进行加密,如图:
admin.JPG

输入密码,其他使用缺省, 点击开始加密,这样视频就加密完成了.

2.用户用一个专门的播放器打开加密的视频文件,会显示如下界面:
player.JPG

3.加密系统根据用户的机器码创建一个播放密码。
password.JPG

4.用户输入播放密码就能够正确播放。
OK,软件使用介绍完了,下面进入正题.
PS : 本破解是的前提是已知一对机器码和播放密码.

1.软件如何获取的机器码?
image001.png

机器码分为4部分:

1)第1部分:4fd09
读取注册表:
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\
    项名: SystemBiosVersion

比如我的机器:
image002.png

把0x0000换成分号”;”,比如为 : LENOVO – 1370; 然后再转换为ASC II码,然后进行MD5,最后取前5个字符做为第1部分

代码位置:
image003.png

2)   第2部分:f14c1
读磁盘序列号:
通过API CreateFileW打开"\\.\PhysicalDrive0"设备,然后调用DeviceIoControl, IoControlCode = SMART_RCV_DRIVE_DATA来获取磁盘数据信息,获取和数据长度是0x210,然后取出110000000xxxx01序列号:
image004.png

    和第1步同样先转换到ASCII码,然后计算MD5,再取前5个字符.

代码位置:
image005.png

3)第3部分:896e4
读取注册表:
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\
    项名: VideoBiosVersion 和 VideoBIOSDate
image007.png

然后把两部分加起来,用”;”分隔,同样是转换到ASCII码,然后计算MD5,再取前5个字符.

代码位置:
image008.png
image009.png

4)第4部分:00000
这部分是固定的为 00000, 确切的说如果绑定了网卡,这里是网卡的MD5

最后把4部分用 ”-“拼接就组成了机器码.

2.破解方案?

因为播放器播放视频是一机一码,因为已知一组机器码和对应的播放密码,那么我们就使用模拟机器码的方案进行破解,主要分2部分破解工作.

1)拦截注册表API:
让每台机器获取的注册表和磁盘信息都一样,也就是返回固定的内容,也就是让3部分内容都返回我们给定的固定的内容.拦截的API是RegQueryValueExW,至于磁盘信息,则可以通过把DeviceIoControl的返回值判断部分爆破解决的,也就是jne改为je/jmp,让其判断结果出错,这样程序就会用空指针数据进行MD5计算.

项名: SystemBiosVersion,值为:SystemBiosVersion (可以任意给定)

项名: VideoBiosVersion,值为:VideoBiosVersion(可以任意给定)
项名: VideoBIOSDate,值为:VideoBIOSDate(可以任意给定)

    把值设定为和项名一样的内容,这样便于我们跟踪调试,也可以给其他的值,只要是固定的就可以。

2 拦截MD5计算函数:
这部分是对于我们设定的3部分内容在计算MD5值的时候,把它变为要模拟机器码的MD5数值.

如果程序要计算 “SystemBiosVersion;”的MD5,那么我们就知道这是要计算第1部分机器码的MD5,此时只要我们返回模拟机器码的第1部分即可,其他部分也是同样的,如果不是我们的内容则要计算出正确的MD5.

3.代码分析
已经确定了破解方案,就要仔细的进行代码跟踪分析,找到要爆破的位置.

1)   API RegQueryValueExW这个容易找到,前面也已经分析过,3个地址:
0088FC79   .  E8 1E49B8FF   call 专用播放.0041459C   ; \RegQueryValueExW
00890041   .  E8 5645B8FF   call 专用播放.0041459C   ; \RegQueryValueExW
008900A0   .  E8 F744B8FF   call 专用播放.0041459C   ; \RegQueryValueExW

2)MD5函数位置,这个可以有几种办法
a)通过设定内存访问断点的方法,一步一步确定MD5的计算函数
b)直接根据MD5算法的特征来查找代码:
image010.png image011.png


根据以上两个关键特征就可以很容易找到代码的位置,经过分析调用MD5计算的位置是:

0076B9DA  |.  8D55 EC       lea edx,[local.5]    // edx存放输出MD5值的地址(16字节)
0076B9DD  |.  8B45 FC       mov eax,[local.1]    // eax存储要计算MD5字符串的地址
0076B9E0  |.  E8 A7FEFFFF   call 专用播放.0076B88C  // 这个是计算MD5的函数

4.DLL补丁程序编写
建立一个DLL工程,我使用的是VC,任何版本都可以,写两个函数,

1)我们自己的RegQueryValueExW,代码如下:
image012.png

在这个我们自己的函数里,判断机器码3个项名,然后返回固定的内容,否则调用系统的函数处理

2)我们自己的MD5函数,代码如下:
image013.png

这部分就是模拟机器码的部分,判断要计算MD5的字符串内容,然后返回对应的机器码,因为只取前5个字符,所以我们只需要返回前3个字节即可,如果不是我们的内容则使用标准的MD5计算函数。

3)导出一个API,为了可以让程序加载,后面会用到:
image014.png

5.DLL程序加载
补丁DLL程序写好了,如何加载到程序,这就要使用一个工具CFF Explorer

image015.png

让程序导入我们的api函数,然后“Rebuild Import Table”和保存即可,这样程序就在运行的时候加载我们的DLL补丁程序。

6.函数替换和代码补丁
一般函数拦截或者替换可以通过API HOOK的办法,但这个金盾程序有反HOOK处理,所以不太好直接用,所以我们就使用对原程序打补丁的办法,直接改变call函数。

1)对3个call RegQueryValueExW的地方都修改为call我们的my_RegQueryValueExW

0088FC79   .  E8 5226770F   call apijindu.100022D0
00890041   .  E8 8A22770F   call apijindu.100022D0
008900A0   .  E8 2B22770F   call apijindu.100022D0

    这是其中一个代码的示例:
image016.png

这里说一下,CALL地址的计算方法:CALL 偏移地址 = 目标地址-当前地址-5
举例:
0x00890000 CALL   原API
新API地址为:   0x001000AA
0x00890000   CALL   (0x001000AA - 0x00890000 - 5)

2)对DeviceIoControl调用函数返回值判断的修改,就是改75为74,也就是jne=>je
image017.png

3)MD5函数的替换:
这个要复杂很多,因为原md5计算是内部的函数,也没有参数,输入和输出分别是eax和edx,所以我们没办法直接改变原来的call到我们自己的my_MD5函数

所以只能采取jmp跳转的办法,首先得找到一大片可以插入代码的内存地址,遗憾的是,没找到合适的位置,没办法,只能采取更暴力的办法,改写不会调用的代码内存,最后确定008904AA - 008904C5这部分代码不会调用,直接填充90(NOP)
image018.png

然后写跳转和调用的补丁代码:

先跳转到我们的NOP位置

image019.png

在NOP位置写我们的代码,最后要跳回到之前位置:
image020.png


至此补丁全部完成,运行播放器,会看到已经完全模拟了机器码,输入正确的密码,视频成功播放。
image021.png

通过这种办法,只要修改my_MD5部分就可以模拟任何机器码,是一个通杀的解决方案。
由于这是给一个朋友破解的,所以不能公布程序源代码,此帖主要是分享一种API替换的一种技术.

本教程完,欢迎交流.






金盾视频播放器2017S破解.zip

362.61 KB, 下载次数: 2164, 下载积分: 吾爱币 -1 CB

PDF

免费评分

参与人数 17吾爱币 +3 热心值 +17 收起 理由
时光里的一缕风 + 1 + 1 谢谢@Thanks!
zyx_hawk + 1 + 1 谢谢@Thanks!
海梦星辰 + 1 + 1 我很赞同!
aimu02 + 1 厉害
miliness + 1 膜拜,完了我就开始动手
jxcl01036 + 1 我很赞同!
pb1977 + 1 非常精彩的分析,谢谢!
飘零雪 + 1 我很赞同!
燃香小狼 + 1 膜拜大牛!
dosnow + 1 我很赞同!
101 + 1 热心回复!
巅烽2 + 1 热心回复!
currwin + 1 厉害,果断右键收藏了
170059475 + 1 我很赞同!
克拉克 + 1 置顶的节奏
yAYa + 1 果断收藏..
车俊 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

荒废残影 发表于 2014-7-28 17:16
赞一个很不错啊
amwu1989 发表于 2014-7-28 23:15
xin9xin 发表于 2014-7-28 21:32
西窗剪影 发表于 2014-7-28 20:05
感谢分享 支持下
282479264 发表于 2014-7-28 13:35
这个牛吧   我看了很久都没看明吧  看来还的学习 学习
SaberMason 发表于 2014-7-16 13:55 来自手机
收藏下。。。
头像被屏蔽
tikiomg 发表于 2014-7-16 09:51
有没有现成的处理好的程序啊。求啊。
头像被屏蔽
tikiomg 发表于 2014-7-16 09:47
好厉害的大神啊。
吾爱-路人甲 发表于 2014-7-1 16:36
真是大神啊。每次出的教程都那么牛,可惜我c++还没有学精通。api也没有看。但是也受益匪浅啊
lwdzb 发表于 2014-7-1 15:21
谢谢楼主分享!!!
灵光丶Fiycix 发表于 2014-6-13 16:21
给力,但是没看懂。
头像被屏蔽
qq54222717 发表于 2014-6-13 16:22
顶大牛,第一次离大牛这么近
车俊 发表于 2014-6-13 16:24
大牛的分析就是给力,可惜自己小白了。
hehesd 发表于 2014-6-13 16:44
本帖最后由 hehesd 于 2014-6-13 16:46 编辑

在他取完机器码之后ret之前将机器码改掉应该更方便吧。。。这样应该不用模拟api功能了。。替换call的方法在以前写war3全图的时候用到过。。。后来平台对game模块内所有地址都检测就失效了。。。
 楼主| codelive 发表于 2014-6-13 16:50
hehesd 发表于 2014-6-13 16:44
在他取完机器码之后ret之前将机器码改掉应该更方便吧。。。这样应该不用模拟api功能了。。替换call的方法在 ...

取机器码是分4部分进行的,每部分取到信息后就进行MD5计算,再取前5字符,计算后会存放到几个位置,第1返回的位置就是MD5计算部分,在之后的部分处理就已经太晚了,所以需要在MD5的位置进行模拟.
头像被屏蔽
892644330 发表于 2014-6-13 18:16
确实很屌啊!~
currwin 发表于 2014-6-13 18:35
本帖最后由 currwin 于 2014-6-13 18:49 编辑

楼主一直都是那么厉害的啊我有一个问题一直想请教楼主,我使用了你的APIHook技术但是导入dll后
程序可以正常运行起来,但是在某个功能方面则会一直提示这个错误:
3.jpg

这种情况应该怎么解决呢?
我在网上查了一下,是说过是因为VC处理浮点数的时候,如果程序没有使用到浮点数的话,为了精简程序大小,是不会加载浮点数运算的指令的
于是我在自己的dll里面加入了一句
double fix = 0
然后关闭编译器的优化选项,但是情况还是不变,请问这样该如何解决呢?
原程序与我自己写的dll都是VC2010编译的。
再次感谢楼主无私的提供技术。
zeromaggot 发表于 2014-6-13 20:41
api还不是特别清楚,呵呵,学习中
lwj一辈子 发表于 2014-6-13 21:51
非常给力,感谢发布教程
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-23 19:46

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表