好友
阅读权限10
听众
最后登录1970-1-1
|
本帖最后由 gxjyca 于 2014-7-19 14:20 编辑
这个思路很不错,原文来自看雪
http://bbs.pediy.com/showthread.php?t=186883
真是失觉了, 大神本尊已经在本站发贴了,我还从别的地方转帖过来,如有不妥,烦请版主删帖
考试系列产品市场上主要有
No.1:考试宝典[Delphi]考试软件巨头淘宝出售每月都过N万
No.2:题无忧[C# .NET] 价格较低 广告印象深刻..
No.3:帕斯考通、助考之星等各种。。[VC/Delphi]
No.3系列软件几乎没有什么保护可言,OD调试软件后下断点就可以跟踪到密码。但是有个小问题是:不同版本的sqlite3.dll的加密算法不同只能用原DLL程序调用解密才能还原,不然你有了密码也不会匹配的,因为算法不同。所以,你必须把程序目录下的sqlite3.dll 或者System.Data.SQLite.DLL复制出来自己写个exe调用程序移除密码。
通过调试获取所有产品sqlite3加密密码如下
助考之星 qinbibnghe2003@163.com.xzfvd*
职称英语A qinbibngheA@163&.cvd*
帕斯考通 zonghengsihai#&&99
考试宝典 20090919lovejrtytong
题无忧 sqlitetiwuyouwen / sqlitetiwuyoulishan
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
SQLite3的加密函数说明
[Asm] 纯文本查看 复制代码 sqlite3_key是输入密钥,如果数据库已加密必须先执行此函数并输入正确密钥才能进行操作,如果数据库没有加密,执行此函数后进行数据库操作反而会出现“此数据库已加密或不是一个数据库文件”的错误。
int sqlite3_key( sqlite3 *db, const void *pKey, int nKey),db 是指定数据库,pKey 是密钥,nKey 是密钥长度。例:sqlite3_key( db, "lo6.net", 7);
sqlite3_rekey是变更密钥或给没有加密的数据库添加密钥或清空密钥,变更密钥或清空密钥前必须先正确执行 sqlite3_key。在正确执行 sqlite3_rekey 之后在 sqlite3_close 关闭数据库之前可以正
常操作数据库,不需要再执行 sqlite3_key。
int sqlite3_rekey( sqlite3 *db, const void *pKey, int nKey),参数同上。
清空密钥为 sqlite3_rekey( db, NULL, 0)。
No.3系列
简单分析了下助考之星的加密算法,写了所有系列产品注册机,如下
[Asm] 纯文本查看 复制代码
00C0621C 55 push ebp ; OEP
00C0621D 8BEC mov ebp,esp
00C0621F 83C4 E0 add esp,-0x20
00C06222 53 push ebx
00C06223 56 push esi ; 0002-06A7-0FEB-FBFF-8098-2203[PT_N]11111111111111111111111
00C06224 57 push edi ; 0xE进栈;//EDI
00C06225 33DB xor ebx,ebx ; EBX=0,CF=0;//自身xor运算结果为0,CF=0
00C06227 895D E4 mov dword ptr ss:[ebp-0x1C],ebx ; SS段 清空
00C0622A 895D E0 mov dword ptr ss:[ebp-0x20],ebx
........................//算法为MD5算法。不用贴出来看了。。。只是构造一种格式 看下图就知道了
而且,sqlite数据库中竟然有一处保存着类似FTP账号密码的东东。。而且竟然连接上了=.= 软件怎么能这么弱 这都在哪儿找的开发人员??
No.2系列:题无忧[C# .NET] Xenocode壳
C# .NET 我一直没看过...而且加了个Xenocode壳搞得我更不懂了.. 换个思路 不调试了,有些做C#这种高级语言的都不懂得释放,尝试内存搜索找出密码!
运行程序后,拿出外挂注入器CE,插入题无忧.exe 盲目搜索一些关键字符串 比如 SQLite Format3 等这种解密后的头。功夫不负有心人,在内存里找到了DB密码。
复制出System.Data.SQLite.DLL[c#]自己写个C#语言的调用程序清空密钥就OK了。
No.1系列:考试宝典[Delphi] Safengine Protector v2.1.9.0强壳
这个刚刚开始感觉无从下手,断断续续1星期搞定的。主要原因是1.强壳我不会脱,2.无sqlite3.dll调用 他自己将sqlite源码写在exe里面了!有了DB密码也打不开的(⊙o⊙)…
我想了几个方案:
1.找到sqlite3算法源码 尝试从算法解密[下载了份C源码,看了几眼立马放弃了!全是一排排一列列的矩阵数字,这么成熟的东西我这无知的小菜妄想了....]
2.能不能远程插入调用?[没尝试 感觉不会]
3.内存dump解密后的数据库 [无知的小菜又妄想了。。]
4.修改sqlite3指令导出解密后的DB数据库 [可惜..没有这功能语句]
5.试遍所有sqlite3.dll [下载了几十种sqlite3...]
6.是否存在open_rekey()函数 [如果开发人员够2,没有移除的话。。我来构造调用让其自解密!]
[Asm] 纯文本查看 复制代码 00BA433B > $ E8 1D000000 call 00BA435D ; (initial cpu selection); PUSH ASCII "Safengine Protector v2.1.9.0"
00BA4340 . 53 61 66 65 6>ascii "Safengine P"
00BA434B > 72 6F jb short 00BA43BC
00BA434D 74 db 74 ; CHAR 't'
00BA434E 65 db 65 ; CHAR 'e'
00BA434F 63 db 63 ; CHAR 'c'
00BA4350 . 74 6F 72 20 7>ascii "tor v2.1.9.0",0
00BA435D > 9C pushfd
这么强的壳对于我这种小菜,脱壳是不太可能的 先换个思路 构造个open_key异常
弹窗出错喽...各种被偷窥到了哈。。SQLiteTable3.pas[这个可百度谷歌到源码!]
动态调试SE壳里的程序,我是先跳转到关键位置[解密前必经过],然后点运行,他会解出原反汇编代码,手要快按下下断。。
动态调试也要有个参考吧!不然这么下断如同大海捞针。我在解出原反汇编代码断下来后,用PELOAD dump保存整个程序,拖到IDA和DEDE里面后可以分析一些东西了~!
下面要做的就是:通过sqlite3提供的C源码 或者 SQLiteTable3.pas 结合IDA 定位open_rekey()函数 //我做的时候并不清楚到底有没有这接口,虽然有些无力但我没放弃哈。
这是以前留下的笔记代码:
[Asm] 纯文本查看 复制代码 1.脱SE壳 ->修改DB数据库 造成无法打开弹出错误 暴露软件真实地址
2.过SE壳OD加载程序 下断点 或者找到OEP下段 LoadPE -> Dump整个程序
3.dede分析 + IDA分析
4.利用IDA的ASCII码与源码定位sqlite3_open函数
sqlite3_open = 0054094C
sqlite3_rekey = 00543A58
5.
00545EFE 8B55 08 mov edx,dword ptr ss:[ebp+0x8] ; password
00545F01 8B45 FC mov eax,dword ptr ss:[ebp-0x4]
00545F04 E8 77090000 call ExamBibl.00546880 ; sqlite3_key(mydb, password, strlen(pwd))
00545F09 84C0 test al,al
00545F0B 74 09 je short ExamBibl.00545F16
---------------------------------------------------------------------
0054689F A1 5CC67900 mov eax,dword ptr ds:[0x79C65C]
005468A4 8B00 mov eax,dword ptr ds:[eax]
005468A6 FFD0 call eax ; ExamBibl.00543A3C ------|
005468A8 83C4 0C add esp,0xC ; 用密码打开成功 平衡堆栈 |
005468AB 85C0 test eax,eax ; 利用key构造rekey自解密--------|----用密码打开后,平衡堆栈完毕 再跳回去构造解密 //jmp 00543A3C
005468AD 0F94C0 sete al |
005468B0 84C0 test al,al |
--------------------------------------------------------------------- |
00543A3C 55 push ebp ; 真sqlite3_key函数 <<<-------
00543A3D 8BEC mov ebp,esp
00543A3F 8B45 10 mov eax,dword ptr ss:[ebp+0x10] ; strlen(password) // 改0 实现无密码
00543A42 50 push eax
00543A43 8B55 0C mov edx,dword ptr ss:[ebp+0xC] ; password // 改0 实现无密码
00543A46 52 push edx
00543A47 6A 00 push 0x0
00543A49 8B4D 08 mov ecx,dword ptr ss:[ebp+0x8] ; *mydb = 02AC20A8 /* Database to be rekeyed */
00543A4C 51 push ecx
00543A4D E8 76FEFFFF call ExamBibl.005438C8 ; 执行sqlite3_key() //call sqlite3_rekey() call 00543A58
00543A52 83C4 10 add esp,0x10 ; 自解密完毕!!
00543A55 5D pop ebp
00543A56 C3 retn
//自动脚本
005468AD 0F94C0 sete al //执行到此处修改一下代码实现自解密
-----------
005468AD 50 push eax //push strlen(pwd) = 0
005468AE 52 push edx //push password = 0
005468AF 6A 00 push 0x0
005468B1 51 push ecx //push mydb
005468B2 E8 A1D1FFFF call ExamBibl.00543A58 //call sqlite3_rekey()自解密
005468B7 90 nop
005468B8 90 nop
005468B9 90 nop
上图解密前,下图解密后
当解密出来的那一刻。。我happy的跳了起来=.=!没想到就这么搞了一件自己完不成的事情。灵感很关键..
================================================================================================
自己写考试系列软件
用VS2010写的 也学着考试宝典自封sqlite3 但是我知道要移除open_rekey() =.= .
界面用的开源的炫彩库XCGUI,我也自封到exe里了。。
自己练习做做开发哈。。没什么技术含量了就 设计界面 布局 PS 调用下sql语句。。
show 下程序..
最后,用apktools逆向下考试宝典android手机版本发现了内部调用接口测试平台,还有个接口 每天注册多少人都能看到。。个人信息 机器码 联系方式
http://t.api.ksbao.com/
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|