吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 30958|回复: 26
收起左侧

[转贴] 解密市面上考试软件系列所有题库

  [复制链接]
gxjyca 发表于 2014-7-19 13:16
本帖最后由 gxjyca 于 2014-7-19 14:20 编辑

这个思路很不错,原文来自看雪
http://bbs.pediy.com/showthread.php?t=186883


真是失觉了, 大神本尊已经在本站发贴了,我还从别的地方转帖过来,如有不妥,烦请版主删帖

考试系列产品市场上主要有

No.1:考试宝典[Delphi]考试软件巨头淘宝出售每月都过N万
No.2:题无忧[C# .NET] 价格较低 广告印象深刻..
No.3:帕斯考通、助考之星等各种。。[VC/Delphi]



No.3系列软件几乎没有什么保护可言,OD调试软件后下断点就可以跟踪到密码。但是有个小问题是:不同版本的sqlite3.dll的加密算法不同只能用原DLL程序调用解密才能还原,不然你有了密码也不会匹配的,因为算法不同。所以,你必须把程序目录下的sqlite3.dll 或者System.Data.SQLite.DLL复制出来自己写个exe调用程序移除密码。
通过调试获取所有产品sqlite3加密密码如下
助考之星 qinbibnghe2003@163.com.xzfvd*
职称英语A qinbibngheA@163&.cvd*
帕斯考通 zonghengsihai#&&99
考试宝典 20090919lovejrtytong
题无忧 sqlitetiwuyouwen / sqlitetiwuyoulishan
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
SQLite3的加密函数说明


[Asm] 纯文本查看 复制代码
sqlite3_key是输入密钥,如果数据库已加密必须先执行此函数并输入正确密钥才能进行操作,如果数据库没有加密,执行此函数后进行数据库操作反而会出现“此数据库已加密或不是一个数据库文件”的错误。
int sqlite3_key( sqlite3 *db, const void *pKey, int nKey),db 是指定数据库,pKey 是密钥,nKey 是密钥长度。例:sqlite3_key( db, "lo6.net", 7);
 
sqlite3_rekey是变更密钥或给没有加密的数据库添加密钥或清空密钥,变更密钥或清空密钥前必须先正确执行 sqlite3_key。在正确执行 sqlite3_rekey 之后在 sqlite3_close 关闭数据库之前可以正
 
常操作数据库,不需要再执行 sqlite3_key。
int sqlite3_rekey( sqlite3 *db, const void *pKey, int nKey),参数同上。
 
清空密钥为 sqlite3_rekey( db, NULL, 0)。


No.3系列

简单分析了下助考之星的加密算法,写了所有系列产品注册机,如下
[Asm] 纯文本查看 复制代码
00C0621C    55              push ebp                                 ; OEP
00C0621D    8BEC            mov ebp,esp
00C0621F    83C4 E0         add esp,-0x20
00C06222    53              push ebx
00C06223    56              push esi                                 ; 0002-06A7-0FEB-FBFF-8098-2203[PT_N]11111111111111111111111
00C06224    57              push edi                                 ; 0xE进栈;//EDI
00C06225    33DB            xor ebx,ebx                              ; EBX=0,CF=0;//自身xor运算结果为0,CF=0
00C06227    895D E4         mov dword ptr ss:[ebp-0x1C],ebx          ; SS段 清空
00C0622A    895D E0         mov dword ptr ss:[ebp-0x20],ebx


........................//算法为MD5算法。不用贴出来看了。。。只是构造一种格式 看下图就知道了

而且,sqlite数据库中竟然有一处保存着类似FTP账号密码的东东。。而且竟然连接上了=.= 软件怎么能这么弱 这都在哪儿找的开发人员??


No.2系列:题无忧[C# .NET] Xenocode壳

C# .NET 我一直没看过...而且加了个Xenocode壳搞得我更不懂了.. 换个思路 不调试了,有些做C#这种高级语言的都不懂得释放,尝试内存搜索找出密码
运行程序后,拿出外挂注入器CE,插入题无忧.exe 盲目搜索一些关键字符串 比如 SQLite Format3 等这种解密后的头。功夫不负有心人,在内存里找到了DB密码。
复制出System.Data.SQLite.DLL[c#]自己写个C#语言的调用程序清空密钥就OK了。

No.1系列:考试宝典[Delphi] Safengine Protector v2.1.9.0强壳
这个刚刚开始感觉无从下手,断断续续1星期搞定的。主要原因是1.强壳我不会脱,2.无sqlite3.dll调用 他自己将sqlite源码写在exe里面了!有了DB密码也打不开的(⊙o⊙)…
我想了几个方案:
1.找到sqlite3算法源码 尝试从算法解密[下载了份C源码,看了几眼立马放弃了!全是一排排一列列的矩阵数字,这么成熟的东西我这无知的小菜妄想了....]
2.能不能远程插入调用?[没尝试 感觉不会]
3.内存dump解密后的数据库 [无知的小菜又妄想了。。]
4.修改sqlite3指令导出解密后的DB数据库 [可惜..没有这功能语句]
5.试遍所有sqlite3.dll [下载了几十种sqlite3...]
6.是否存在open_rekey()函数 [如果开发人员够2,没有移除的话。。我来构造调用让其自解密!]

[Asm] 纯文本查看 复制代码
00BA433B > $  E8 1D000000   call    00BA435D                         ;  (initial cpu selection); PUSH ASCII "Safengine Protector v2.1.9.0"
00BA4340   .  53 61 66 65 6>ascii   "Safengine P"
00BA434B   >  72 6F         jb      short 00BA43BC
00BA434D      74            db      74                               ;  CHAR 't'
00BA434E      65            db      65                               ;  CHAR 'e'
00BA434F      63            db      63                               ;  CHAR 'c'
00BA4350   .  74 6F 72 20 7>ascii   "tor v2.1.9.0",0
00BA435D   >  9C            pushfd


这么强的壳对于我这种小菜,脱壳是不太可能的 先换个思路 构造个open_key异常
弹窗出错喽...各种被偷窥到了哈。。SQLiteTable3.pas[这个可百度谷歌到源码!]




动态调试SE壳里的程序,我是先跳转到关键位置[解密前必经过],然后点运行,他会解出原反汇编代码,手要快按下下断。。
动态调试也要有个参考吧!不然这么下断如同大海捞针。我在解出原反汇编代码断下来后,用PELOAD dump保存整个程序,拖到IDA和DEDE里面后可以分析一些东西了~!


下面要做的就是:通过sqlite3提供的C源码 或者 SQLiteTable3.pas 结合IDA 定位open_rekey()函数 //我做的时候并不清楚到底有没有这接口,虽然有些无力但我没放弃哈。
这是以前留下的笔记代码:





[Asm] 纯文本查看 复制代码
1.脱SE壳  ->修改DB数据库 造成无法打开弹出错误 暴露软件真实地址
 
2.过SE壳OD加载程序 下断点 或者找到OEP下段 LoadPE -> Dump整个程序 
 
3.dede分析 + IDA分析 
 
4.利用IDA的ASCII码与源码定位sqlite3_open函数
sqlite3_open  = 0054094C
sqlite3_rekey = 00543A58
 
5.
00545EFE    8B55 08         mov edx,dword ptr ss:[ebp+0x8]           ; password
00545F01    8B45 FC         mov eax,dword ptr ss:[ebp-0x4]
00545F04    E8 77090000     call ExamBibl.00546880                   ; sqlite3_key(mydb, password, strlen(pwd))
00545F09    84C0            test al,al
00545F0B    74 09           je short ExamBibl.00545F16
---------------------------------------------------------------------
0054689F    A1 5CC67900     mov eax,dword ptr ds:[0x79C65C]
005468A4    8B00            mov eax,dword ptr ds:[eax]
005468A6    FFD0            call eax                                 ; ExamBibl.00543A3C       ------|
005468A8    83C4 0C         add esp,0xC                              ; 用密码打开成功 平衡堆栈       |
005468AB    85C0            test eax,eax                             ; 利用key构造rekey自解密--------|----用密码打开后,平衡堆栈完毕 再跳回去构造解密 //jmp 00543A3C
005468AD    0F94C0          sete al                                                                  |
005468B0    84C0            test al,al                                                               |
---------------------------------------------------------------------                                |
00543A3C    55              push ebp                                 ; 真sqlite3_key函数    <<<-------
00543A3D    8BEC            mov ebp,esp
00543A3F    8B45 10         mov eax,dword ptr ss:[ebp+0x10]          ; strlen(password) // 改0 实现无密码
00543A42    50              push eax
00543A43    8B55 0C         mov edx,dword ptr ss:[ebp+0xC]           ; password  // 改0 实现无密码
00543A46    52              push edx
00543A47    6A 00           push 0x0
00543A49    8B4D 08         mov ecx,dword ptr ss:[ebp+0x8]           ; *mydb   =   02AC20A8   /* Database to be rekeyed */
00543A4C    51              push ecx
00543A4D    E8 76FEFFFF     call ExamBibl.005438C8                   ; 执行sqlite3_key()  //call sqlite3_rekey()   call 00543A58
00543A52    83C4 10         add esp,0x10                             ; 自解密完毕!!
00543A55    5D              pop ebp
00543A56    C3              retn
 
//自动脚本
005468AD    0F94C0          sete al //执行到此处修改一下代码实现自解密
 
-----------
005468AD    50              push eax  //push strlen(pwd) = 0
005468AE    52              push edx  //push password = 0
005468AF    6A 00           push 0x0
005468B1    51              push ecx  //push mydb
005468B2    E8 A1D1FFFF     call ExamBibl.00543A58 //call sqlite3_rekey()自解密
005468B7    90              nop
005468B8    90              nop
005468B9    90              nop




上图解密前,下图解密后

当解密出来的那一刻。。我happy的跳了起来=.=!没想到就这么搞了一件自己完不成的事情。灵感很关键..

================================================================================================
自己写考试系列软件
用VS2010写的 也学着考试宝典自封sqlite3 但是我知道要移除open_rekey() =.= .
界面用的开源的炫彩库XCGUI,我也自封到exe里了。。
自己练习做做开发哈。。没什么技术含量了就 设计界面 布局 PS 调用下sql语句。。
show 下程序..






最后,用apktools逆向下考试宝典android手机版本发现了内部调用接口测试平台,还有个接口 每天注册多少人都能看到。。个人信息 机器码 联系方式
http://t.api.ksbao.com/

免费评分

参与人数 6吾爱币 +2 热心值 +6 收起 理由
admimimimi + 1 + 1 用心讨论,共获提升!
miceeagle + 1 + 1 谢谢@Thanks!
xudai3 + 1 谢谢@Thanks!
non7749 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
woshishui123 + 1 这么好的帖子 没人顶?
coralzyzy + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

88424450 发表于 2014-7-19 13:19
楼主大神,我是沙发?
头像被屏蔽
苏烟式 发表于 2014-7-21 01:37
sspyglmtdh 发表于 2015-2-14 23:22
bansjs 发表于 2014-7-19 13:49
这个早就看见了,但不知道有几个看懂了,我表示就没有看懂

这个题目限制是怎么过的呢?
朱大海 发表于 2014-7-19 13:28
楼主也是高手!
wodepj 发表于 2014-7-19 13:34
赞同,楼主你跟我想的一样~
人皮卷蛆蘸脓吃 发表于 2014-7-19 13:38
精品教程 值得学习 感谢分享
bansjs 发表于 2014-7-19 13:49
这个早就看见了,但不知道有几个看懂了,我表示就没有看懂
sager2008 发表于 2014-7-19 13:57
值得学习 感谢分享
头像被屏蔽
bbroot 发表于 2014-7-19 14:45
提示: 作者被禁止或删除 内容自动屏蔽
SaberMason 发表于 2014-7-19 15:56
太菜了,看不懂
xinyujin 发表于 2014-7-19 17:34
论坛有你更精彩
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-25 08:22

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表