010Editor逆向分析

原创 已于 2022-02-11 17:14:43 修改 · 2.1k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2019-11-15 09:43:37 首次发布

010Editor 逆向分析

文章目录


用于测试的用户名为 foobar,序列号为 1112-2233-3444-5556-6677

1. 暴力破解分析

思路:

  1. 找到注册窗口
  2. 测试注册窗口反应
  3. 根据反应做出下一步分析(猜测api,敏感字符串)
  4. 动态分析关键跳转、call

1.1 API下断

注册失败会弹框,OD中搜索当前模块中的名称(字符串),查看导入的API,会发现这是个QT程序(不熟悉,GG)。

也可以用IDA。因为0xeditor.exe本身有45MB,所以分析完后的数据库会很大。

因为底层肯定还是调用了API,所以在OD的E窗口中找到user32.dll(和窗口有关),QT底层实际上调用了CreaetWindow。断下后栈回溯分析,用户领空调用来自010editor.01CE69BB

在这里插入图片描述

但是点进去后没有发现什么信息,所以继续看上一层调用,010editor.011B8912

在这里插入图片描述

发现了关键字符串,所以栈回溯找到这个函数的开头。试着找一下关键跳转。

在这里插入图片描述

有一个QT的判断字符串为空的函数,猜测是用户名或序列号。经过分析,isEmpty的上一个函数,<&Qt5Widgets.?text@QLineEdit@@QB>获取了用户名,并且是unicode编码。

在这里插入图片描述

01435675    8B4E 74                  MOV ECX,DWORD PTR DS:[ESI+0x74]
01435678    8D45 D8                  LEA EAX,DWORD PTR SS:[EBP-0x28]             ; 序列号
0143567B    50                       PUSH EAX
0143567C    FFD7                     CALL EDI                                    ; 获取序列号

继续跟进,发现再次调用这个函数,获取序列号。

在这里插入图片描述
继续往下跟进,就会找到关键跳转。

有两个验证函数,我加了标签,check1, check2

014357F3    MOV ECX,DWORD PTR DS:[0x3E10F20]
014357F9    PUSH 0x4389
014357FE    PUSH 0x9
01435800    CALL <010Edito.check1>                            ;第一次验证
01435805    MOV ECX,DWORD PTR DS:[0x34D0F20]
0143580B    MOV EBX,EAX                                       ; ebx = eax
0143580D    PUSH 0x4389
01435812    PUSH 0x9
01435814    CALL <010Edito.check2>                            ;第二次验证
01435819    MOV ECX,DWORD PTR DS:[0x34D0F20]
0143581F    MOV EDI,EAX                                       ; edi = eax( 0xD8 is right)
01435821    CMP EBX,0xE7
01435827    JE 010Edito.01435920                              ; if(ebx == 0xE7) jmp
0143582D    CMP DWORD PTR DS:[ECX+0x2C],0x0
01435831    JE 010Edito.01435920
;...
01435920    CMP EDI,0xDB                                      ; if(edi!=0xdb) fail
01435926    JNZ 010Edito.01435A58                             ; 关键跳转!!!!
;...
01435A84    PUSH 010Edito.0297D5FC   ; ASCII "Password accepted. Your trial period has been extended."
01435A89    CALL DWORD PTR DS:[<&Qt5Core.??0QString@@QAE@PBD@Z>]   ; Qt5Core.??0QString@@QAE@PBD@Z

如果序列号错误在0x01435926处会跳转,弹出无效序列号对话框。如果把它改为nop,就可以验证通过。

在这里插入图片描述

但这样更改后dump,每次运行还是需要验证注册,并没有完美破解。

如果让验证始终正确,也就是edi == 0xDB,或者说check2返回0xDB,就可以完美破解了。

分析一下check2:

01CFE4E0    PUSH EBP
01CFE4E1    MOV EBP,ESP
01CFE4E3    PUSH ESI
01CFE4E4    MOV ESI,ECX
;...
01A1E4FE    CALL <010Edito.check1>
01A1E503    CMP EAX,0x2D
01A1E506    JE 010Edito.01A1E5AF
;...
01A1E5AF    POP EDI
01A1E5B0    MOV EAX,0xDB	;返回0xDB
01A1E5B5    POP ESI
01A1E5B6    POP EBP
01A1E5B7    RETN 0x8

check2再次调用check1,如果返回0x2D,check2就会返回0xDB.

直接修改check2开头:

在这里插入图片描述

也可以修改check1返回0x2D,但我们看check1开头:

在这里插入图片描述

地址处有下划线,如果修改的话需要关闭随机基址。而且,check1返回值会影响外部主验证流程,所以最终还是修改了check2返回值。

在这里插入图片描述

1.2 字符串

弹出无效窗口后,点击窗口,ctrl+c复制到记事本,OD搜索所有参考文本字符串。找到关键字符串,后面步骤同上。

2. check1算法分析

014357F3    8B0D 200FE103   MOV ECX,DWORD PTR DS:[0x3E10F20]
014357F9    68 89430000     PUSH 0x4389
014357FE    6A 09           PUSH 0x9
01435800    CALL <010Edito.check1>           ;第一次验证,check1(this, 0x4389, 0x9)

check1是关键函数,我们应该分析一下,如何让它返回0x2D。

因为有ecx传参,所以应该也是个c++对象的函数,另外还有两个常量参数。这个函数很长,跟踪时应该关注数据(用户名和序列号)的访问和修改。

先分析一下this对象。

this:

002CAA68  699EB740  OFFSET Qt5Core.?shared_null@QArrayData@@2QBU1@B
002CAA6C  07732198
002CAA70  0774ACA0
002CAA74  0771B8B8

[this]暂时不知道用途。

[this+4]`中保存了4个数字和用户名:

07732198  02 00 00 00 06 00 00 00 0D 00 00 00 10 00 00 00  .....
077321A8  66 00 6F 00 6F 00 62 00 61 00 72 00 00 00 00     foobar..

[this+8]中保存了4个数字和输入的序列号:

0774ACA0  02 00 00 00 18 00 00 00 38 00 00 00 10 00 00 00  ..8..
0774ACB0  31 00 31 00 31 00 32 00 2D 00 32 00 32 00 33 00  1112-223
0774ACC0  33 00 2D 00 33 00 34 00 34 00 34 00 2D 00 35 00  3-3444-5
0774ACD0  35 00 35 00 36 00 2D 00 36 00 36 00 37 00 37 00  556-6677

而且用户名和序列号都是unicode编码。

然后进入check1,分析验证流程。

0235DBE8    8BF9            MOV EDI,ECX                              ; edi = this
0235DBEA    8D5F 04         LEA EBX,DWORD PTR DS:[EDI+0x4]           ; ebx = this+4 = stcName
0235DBED    C745 F0 0000000>MOV DWORD PTR SS:[EBP-0x10],0x0
0235DBF4    8BCB            MOV ECX,EBX                              ; ecx = this+4 = stcName
0235DBF6    C747 30 0000000>MOV DWORD PTR DS:[EDI+0x30],0x0
0235DBFD    C747 18 0000000>MOV DWORD PTR DS:[EDI+0x18],0x0
0235DC04    C747 34 0000000>MOV DWORD PTR DS:[EDI+0x34],0x0
0235DC0B    FF15 B424E103   CALL DWORD PTR DS:[<&Qt5Core.?isEmpty@QS>; Qt5Core.?isEmpty@QString@@QBE_NXZ
0235DC11    84C0            TEST AL,AL
0235DC13    0F85 75020000   JNZ 010Edito.0235DE8E
0235DC19    8D4F 08         LEA ECX,DWORD PTR DS:[EDI+0x8]           ; ecx = 序列号
0235DC1C    FF15 B424E103   CALL DWORD PTR DS:[<&Qt5Core.?isEmpty@QS>; Qt5Core.?isEmpty@QString@@QBE_NXZ
0235DC22    84C0            TEST AL,AL
0235DC24    0F85 64020000   JNZ 010Edito.0235DE8E

以上一段校验字符串是否为空的代码。继续往下分析。

0235DC2A    8D45 DC         LEA EAX,DWORD PTR SS:[EBP-0x24]
0235DC2D    8BCF            MOV ECX,EDI                              ; ecx = this
0235DC2F    50              PUSH EAX                                 ; 传出参数
0235DC30    E8 3ABF04FF     CALL 010Edito.013A9B6F

某函数传入了一个局部变量地址ebp-0x24,调用前后观察一下这个变量:

0018A230  05658AD8
0018A234  0018A258
0018A238  697CC033  返回到 Qt5Core.697CC033 来自 msvcr120.free

调用后:

0018A230  11 12 22 33 34 44 55 56
0018A238  66 77 7C 69 D8 8A 65 05

也就是说,这个函数把输入的序列号字符串转换成了十六进制数。

这时我意识到,序列号应该用0011-2233-4455-6677-8899,这样后面的下标定位可能会方便些。

022FDC40    PUSH DWORD PTR DS:[ESI]                  ; ascii "999"
022FDC42    MOV ECX,EBX                              ; ecx = this+4 = name
022FDC44    CALL DWORD PTR DS:[<&Qt5Core.??8QString@>; Qt5Core.??8QString@@QBE_NPBD@Z
022FDC4A    TEST AL,AL
022FDC4C    JNZ 010Edito.022FDE75
022FDC52    ADD ESI,0x4
022FDC55    CMP ESI,010Edito.03DA4618
022FDC5B  ^ JL SHORT 010Edito.022FDC40               ; while(esi < xxx )

接下来的这个函数,通过分析只发现了“999”字符串,暂时跳过。下面会遇到关键的3个函数,我给它们加了标签,calc1, calc2, calc3.

第1个call

022FDC5D    MOV BL,BYTE PTR SS:[EBP-0x21]            ; bl = serial[3]
022FDC60    MOV BH,BYTE PTR SS:[EBP-0x1F]            ; bh = serial[5]
022FDC63    CMP BL,0x9C                              ; if(serial[3]!=[0x9C,0xFC,0xAC]) return 0xE7
022FDC66    JNZ SHORT 010Edito.022FDCD8
022FDC68    MOV AL,BYTE PTR SS:[EBP-0x24]
022FDC6B    XOR AL,BYTE PTR SS:[EBP-0x1E]            ; al = serial[0] ^ serial[6]
022FDC6E    MOV BYTE PTR SS:[EBP-0x18],AL            ; [ebp-0x18] = serial[0] ^ serial[6]
022FDC71    MOV AL,BYTE PTR SS:[EBP-0x23]
022FDC74    XOR AL,BYTE PTR SS:[EBP-0x1D]            ; al = serial[1] ^ serial[7]
022FDC77    PUSH DWORD PTR SS:[EBP-0x18]             ; ARG: serial[0] ^ serial[6]
022FDC7A    MOVZX ECX,AL
022FDC7D    MOV EAX,0x100
022FDC82    IMUL CX,AX                               ; ecx = (serial[1] ^ serial[7]) * 0x100
022FDC86    MOV AL,BYTE PTR SS:[EBP-0x22]
022FDC89    XOR AL,BH                                ; al = serial[2] ^ serial[5]
022FDC8B    MOVZX EAX,AL
022FDC8E    ADD CX,AX                                ; cl = serial[2] ^ serial[5]
022FDC91    MOVZX ESI,CX                             ; esi = ecx & 0xFFFF
022CDC94    CALL <010Edito.calc1>

上面流程做了以下内容:

  • if(serial[3]!=[0x9C,0xFC,0xAC]) return 0xE7
  • ecx = (serial[1] ^ serial[7]) * 0x100 + serial[2] ^ serial[5], ecx &= 0xFFFF
  • 010Edito.01347644( serial[0]^serial[6] )

这个call经过jmp之后,执行下面的逻辑。

022FD0B0    PUSH EBP
022FD0B1    MOV EBP,ESP
022FD0B3    MOV EAX,DWORD PTR SS:[EBP+0x8]           ; serial[0] ^ serial[6]
022FD0B6    XOR AL,0x18
022FD0B8    ADD AL,0x3D
022FD0BA    XOR AL,0xA7                              ; al = ((al ^ 0x18) + 0x3D) ^ 0xA7
022FD0BC    POP EBP
022FD0BD    RETN

是一段简单的计算返回新的数字。

第2个call

022FDC99    0FB6C0          MOVZX EAX,AL                             ; eax = eax & 0xFF
022FDC9C    56              PUSH ESI                                 ; ARG:esi = ecx & 0xFFFF
022FDC9D    8947 1C         MOV DWORD PTR DS:[EDI+0x1C],EAX          ; [this+0x1c] = eax
022FDCA0    E8 23A704FF     CALL <010Edito.calc2>
022FDCA5    8B4F 1C         MOV ECX,DWORD PTR DS:[EDI+0x1C]          ; ecx = [this+0x1c]
022FDCA8    83C4 08         ADD ESP,0x8
022FDCAB    0FB7C0          MOVZX EAX,AX                             ; eax = eax & 0xFFFF
022FDCAE    8947 20         MOV DWORD PTR DS:[EDI+0x20],EAX          ; [this+0x20] = eax

第一个call之后,结果会保存在对象的偏移0x1c处。calc2的结果也会保存在对象偏移0x20处。

紧接着会对之前得到的esi,也就是ecx进行计算。这个call经过jmp进入下面的流程。

022FD020    PUSH EBP
022FD021    MOV EBP,ESP
022FD023    MOV EAX,DWORD PTR SS:[EBP+0x8]
022FD026    MOV ECX,0xB                              ; ecx = 0xb
022FD02B    XOR EAX,0x7892
022FD030    ADD EAX,0x4D30
022FD035    XOR EAX,0x3421
022FD03A    MOVZX EAX,AX                             ; ax = ((ARG ^ 0x7892) + 0x4D30) ^ 0x3421
022FD03D    CDQ
022FD03E    IDIV ECX                                 ; edx = eax % 0xB, eax = eax / 0xB
022FD040    TEST EDX,EDX
022FD042    JE SHORT 010Edito.022FD046               ; if(eax % 0xB == 0) return eax / 0xB
022FD044    XOR EAX,EAX                              ; else return 0
022FD046    POP EBP
022FD047    RETN

这个函数内部计算出一个ax,然后除以11,如果整除就返回商,不整除就返回0.

022FDCA5    MOV ECX,DWORD PTR DS:[EDI+0x1C]          ; ecx = [this+0x1c]
022FDCA8    ADD ESP,0x8
022FDCAB    MOVZX EAX,AX                             ; eax = eax & 0xFFFF
022FDCAE    MOV DWORD PTR DS:[EDI+0x20],EAX          ; [this+0x20] = eax
022FDCB1    TEST ECX,ECX
022FDCB3    JE 010Edito.022FDE75
022FDCB9    TEST EAX,EAX
022FDCBB    JE 010Edito.022FDE75
022FDCC1    CMP EAX,0x3E8
022FDCC6    JA 010Edito.022FDE75                   ; if(ecx==0 || eax==0 || eax>0x3E8) return 0xE7
022FDCCC    CMP ECX,0x2
022FDCCF    SBB ESI,ESI
022FDCD1    AND ESI,ECX
022FDCD3    JMP 010Edito.022FDD8B                   ;跳转

这里要注意,第2个call要返回商才行,而且这个商不能大于0x3E8。到这里,第二个call的流程已经可以实现了。

while (1)
{
    BYTE k1 = 0, k7 = 0, k2 = 0, k5 = 0;
    k1 = rand() % 0xFF;
    k7 = rand() % 0xFF;
    k2 = rand() % 0xFF;
    k5 = rand() % 0xFF;
    dwArg1 = ((k1 ^ k7 & 0xFF) * 0x100 + k2 ^ k5 & 0xFF) & 0xFFFF;
    dwRet1 = (((dwArg1 ^ 0x7892) + 0x4D30) ^ 0x3421) & 0xFFFF;
    if (dwRet1 % 0xB == 0
        && dwRet1 / 0xB <= 0x3E8)
    {
        dwRet1 /= 0xB;
        serial[1] = k1;
        serial[7] = k7;
        serial[2] = k2;
        serial[5] = k5;
        break;
    }
}
/*
eg. 110ff89c345f55976677
check1 返回0x27664033
*/

第3个call

0225DD8B    LEA EAX,DWORD PTR SS:[EBP-0x14]
0225DD8E    PUSH EAX                         ; 传出参数,调用后得到utf8 stcName(\0\0结尾)
0225DD8F    LEA ECX,DWORD PTR DS:[EDI+0x4]   ; &this->stcName
022CDD92    CALL DWORD PTR DS:[<&Qt5Core.?toUtf8]

跳转后,程序将用户名转为了utf8编码,在这里其实就是以两个0结尾的ascii字符串,地址保存在栈里。

在这里插入图片描述

这个结构体和对象中的结构体一致,其中有个0x10代表字符串相对结构体的偏移。

0225DD98    PUSH DWORD PTR DS:[EDI+0x20]
0225DD9B    XOR EAX,EAX
0225DD9D    MOV DWORD PTR SS:[EBP-0x4],0x0
0225DDA4    CMP BL,0xFC
0225DDA7    LEA ECX,DWORD PTR SS:[EBP-0x14]  ; ecx = &stcName utf8
0225DDAA    PUSH ESI
0225DDAB    SETNE AL                         ; if(bl = serial[3] != 0xFC) al = 1
0225DDAE    PUSH EAX
0225DDAF    CALL DWORD PTR DS:[<&Qt5Core.?data@QByteArray@@QAEPADXZ>>; Qt5Core.?data@QByteArray@@QAEPADXZ
0225DDB5    PUSH EAX                        ; szName utf8
0225DDB6    CALL <010Edito.calc3>          ; calc(szName, 1, 0, [this+0x20])!!!!!!!!!!!!!!!

经过分析,calc3有4个参数:用户名, 1, 0, calc2结果。 之后要想让check1返回0x2D,就需要[this+0x1c],也就是calc1计算出来的结果大于等于arg0 = 9。 它应该是结合用户名和calc2计算出一个验证码。

分析一下calc3.

0225D120    PUSH EBP
0225D121    MOV EBP,ESP
0225D123    SUB ESP,0x10
0225D126    MOV EDX,DWORD PTR SS:[EBP+0x8]          ; edx = utf8 szName
0225D129    XOR ECX,ECX
0225D12B    PUSH ESI
0225D12C    MOV ESI,EDX                             ; esi = urf8 szName
0225D12E    MOV DWORD PTR SS:[EBP-0x4],ECX          ; unset
0225D131    PUSH EDI                                ; this
0225D132    LEA EDI,DWORD PTR DS:[ESI+0x1]          ; edi = esi+1
0225D135    MOV AL,BYTE PTR DS:[ESI]                ; do{ al = szName[esi]
0225D137    INC ESI                                 ; ++esi
0225D138    TEST AL,AL                              ; }
0225D13A  ^ JNZ SHORT 010Edito.0225D135             ; while(al != 0) ;
0225D13C    SUB ESI,EDI                             ; esi = len(name)
0225D13E    XOR EDI,EDI                             ; edi = 0
0225D140    TEST ESI,ESI
0225D142    JLE 010Edito.0225D238                   ; if(len(name) <= 0) return 0
0225D148    PUSH EBX
0225D149    MOV EBX,DWORD PTR SS:[EBP+0x14]
0225D14C    MOV DWORD PTR SS:[EBP-0x10],ECX         ; unset
0225D14F    MOV DWORD PTR SS:[EBP-0xC],ECX          ; unset
0225D152    MOV ECX,DWORD PTR SS:[EBP+0x10]         ; ecx = 0
0225D155    SHL EBX,0x4
0225D158    SUB EBX,DWORD PTR SS:[EBP+0x14]         ;ebx = (calc2<<0x4) - calc2
0225D15B    SHL ECX,0x4
0225D15E    ADD ECX,DWORD PTR SS:[EBP+0x10]
0225D161    MOV DWORD PTR SS:[EBP-0x8],ECX          ; unset
0225D164    MOVZX EAX,BYTE PTR DS:[EDI+EDX]         ; do{ eax = name[edi]
0225D168    PUSH EAX
0225D169    CALL DWORD PTR DS:[<&MSVCR120.toupper>] ; msvcr120.toupper
0225D16F    MOV EDX,EAX                             ; edx = eax = upper(name[0])
0225D171    ADD ESP,0x4
0225D174    MOV ECX,DWORD PTR DS:[EDX*4+0x3D04148]
0225D17B    ADD ECX,DWORD PTR SS:[EBP-0x4]          ; ecx = g_array[4 * upper(name[0]) ] + [ebp-4]
0225D17E    CMP DWORD PTR SS:[EBP+0xC],0x0
0225D182    JE SHORT 010Edito.0225D1CE              ; if(arg1 == 0) jmp
0225D184    LEA EAX,DWORD PTR DS:[EDX+0xD]          ; if(arg1 != 0){
0225D187    AND EAX,0xFF                            	; eax = ( upper(name[0]) + 0xD ) & 0xFF
0225D18C    XOR ECX,DWORD PTR DS:[EAX*4+0x3D04148]  	; ecx ^= g_array[eax * 4]
0225D193    LEA EAX,DWORD PTR DS:[EDX+0x2F]
0225D196    AND EAX,0xFF                            	; eax = ( upper(name[0]) + 0x2F ) & 0xFF
0225D19B    IMUL ECX,DWORD PTR DS:[EAX*4+0x3D04148] 	; ecx *= g_array[eax * 4]
0225D1A3    MOV EAX,DWORD PTR SS:[EBP-0x8]
0225D1A6    MOVZX EAX,AL                            	; eax = [ebp-8] & 0xFF
0225D1A9    ADD ECX,DWORD PTR DS:[EAX*4+0x3D04148]  	; ecx += g_array[eax * 4]
0225D1B0    MOVZX EAX,BL                            	; eax = ebx & 0xFF
0225D1B3    ADD ECX,DWORD PTR DS:[EAX*4+0x3D04148]  	; ecx += g_array[eax * 4]
0225D1BA    MOV EAX,DWORD PTR SS:[EBP-0xC]
0225D1BD    MOVZX EAX,AL                            	; eax = [ebp-0xc] & 0xFF
0225D1C0    ADD ECX,DWORD PTR DS:[EAX*4+0x3D04148]  	; ecx += g_array[eax * 4]
0225D1C7    MOV EAX,ECX                             	; eax = ecx
0225D1C9    MOV DWORD PTR SS:[EBP-0x4],EAX          	; [ebp-4] = eax
0225D1CC    JMP SHORT 010Edito.0225D216             ; }
0225D1CE    LEA EAX,DWORD PTR DS:[EDX+0x3F]         ; else{
0225D1D1    AND EAX,0xFF                            	; eax = (upper(name[edi) + 0x3F) & 0xFF
0225D1D6    XOR ECX,DWORD PTR DS:[EAX*4+0x3D04148]  	; ecx ^= g_array[eax * 4]
0225D1DD    LEA EAX,DWORD PTR DS:[EDX+0x17]
0225D1E0    AND EAX,0xFF                            	; eax = (upper(name[edi) + 0x17) & 0xFF
0225D1E5    IMUL ECX,DWORD PTR DS:[EAX*4+0x3D04148] 	; ecx *= g_array[eax * 4]
0225D1ED    MOV EAX,DWORD PTR SS:[EBP-0x8]
0225D1F0    MOVZX EAX,AL                            	; eax = [EBP-0x8] & 0xFF
0225D1F3    ADD ECX,DWORD PTR DS:[EAX*4+0x3D04148]  	; ecx += g_array[eax * 4]
0225D1FA    MOVZX EAX,BL                            	; eax = bl & 0xFF
0225D1FD    ADD ECX,DWORD PTR DS:[EAX*4+0x3D04148]  	; ecx += g_array[eax * 4]
0225D204    MOV EAX,DWORD PTR SS:[EBP-0x10]
0225D207    MOVZX EAX,AL                            	; eax = [EBP-0x10] & 0xFF
0225D20A    ADD ECX,DWORD PTR DS:[EAX*4+0x3D04148]  	; ecx += g_array[eax * 4]
0225D211    MOV EAX,ECX                             	; eax = ecx
0225D213    MOV DWORD PTR SS:[EBP-0x4],ECX          	; [ebp-4] = ecx  }
0225D216    ADD DWORD PTR SS:[EBP-0xC],0x13         ; [ebp-c] += 0x13
0225D21A    INC EDI                                 ; ++edi
0225D21B    ADD DWORD PTR SS:[EBP-0x8],0x9          ; [ebp-8] += 9
0225D21F    ADD EBX,0xD                             ; ebx += 0xD
0225D222    ADD DWORD PTR SS:[EBP-0x10],0x7         ; [ebp-0x10] += 7
0225D226    MOV EDX,DWORD PTR SS:[EBP+0x8]          ; edx = [ebp+8]
0225D229    CMP EDI,ESI                             ; }
0225D22B  ^ JL 010Edito.0225D164                    ; while(edi < len(name))
0225D231    POP EBX
0225D232    POP EDI
0225D233    POP ESI
0225D234    MOV ESP,EBP
0225D236    POP EBP
0225D237    RETN
0225D238    POP EDI
0225D239    MOV EAX,ECX
0225D23B    POP ESI
0225D23C    MOV ESP,EBP
0225D23E    POP EBP
0225D23F    RETN

这个函数在计算时用到了一个全局数组,实现注册机就需要在OD中数据窗口把数组以DWORD的形式拷贝下来。

代码验证:

DWORD calc3(char* pName, DWORD dwArg1 /*=1*/, DWORD dwArg2 /*=0*/, DWORD dwCalc2)
{
	int nLenName = strlen(pName);
	DWORD ebx = (dwCalc2 << 0x4) - dwCalc2;
	DWORD eax = 0, ecx = 0, edx;
	DWORD loc_4 = 0, loc_8 = 0, loc_c = 0, loc_10 = 0;

	for (int i = 0; i < nLenName; ++i)
	{
		edx = upper(pName[i]);
		ecx = g_array[edx] + loc_4;
		if (dwArg1 != 0)
		{
			eax = (edx + 0xD) & 0xFF;
			ecx ^= g_array[eax];

			eax = (edx + 0x2F) & 0xFF;
			ecx *= g_array[eax];

			eax = loc_8 & 0xFF;
			ecx += g_array[eax];

			eax = ebx & 0xFF;
			ecx += g_array[eax];

			eax = loc_c & 0xFF;
			ecx += g_array[eax];

			eax = ecx;
			loc_4 = eax;
		}
		else
		{
			eax = (edx + 0x3F) & 0xFF;
			ecx ^= g_array[eax];

			eax = (edx + 0x17) & 0xFF;
			ecx *= g_array[eax];

			eax = loc_8 & 0xFF;
			ecx += g_array[eax];

			eax = ebx & 0xFF;
			ecx += g_array[eax];

			eax = loc_10 & 0xFF;
			ecx += g_array[eax];

			eax = ecx;
			loc_4 = eax;
		}

		//printf("	eax: 0x%X\n", eax);

		loc_c += 0x13;
		loc_8 += 0x9;
		ebx += 0xD;
		loc_10 += 0x7;

	}
	return eax;
}

在这里插入图片描述

至此,3个计算函数都已经实现了。

修改第二个call

之后,还有对于这个验证码的验证过程。

0225DDBB    MOV EDX,EAX                      ; edx = calc3
0225DDBD    ADD ESP,0x10
0225DDC0    CMP BYTE PTR SS:[EBP-0x20],DL
0225DDC3    JNZ 010Edito.0225DE4A            ; if( serial[4] != dl)
0225DDC9    MOV ECX,EDX
0225DDCB    SHR ECX,0x8
0225DDCE    CMP BH,CL
0225DDD0    JNZ SHORT 010Edito.0225DE4A      ; || bh != cl (serial[5] != (edx>>8) & 0xFF)
0225DDD2    MOV ECX,EDX
0225DDD4    SHR ECX,0x10
0225DDD7    CMP BYTE PTR SS:[EBP-0x1E],CL    ; || serial[6] != (edx>>0x10) & 0xFF
0225DDDA    JNZ SHORT 010Edito.0225DE4A
0225DDDC    SHR EAX,0x18
0225DDDF    CMP BYTE PTR SS:[EBP-0x1D],AL
0225DDE2    JNZ SHORT 010Edito.0225DE4A      ; || serial[7] != (eax>>0x18) & 0xFF
0225DDE4    CMP BL,0x9C
0225DDE7    JNZ SHORT 010Edito.0225DDF8      ; || (serial[3] != [0x9C, 0xFC, 0xAC])  return 0xE7
0225DDE9    MOV EAX,DWORD PTR SS:[EBP+0x8]
0225DDEC    CMP EAX,DWORD PTR DS:[EDI+0x1C]
0225DDEF    JBE SHORT 010Edito.0225DE43      ; else if(arg0 <= [this+0x1C]) return 0x2D!!!!!!!!!!!!!!!
0225DDF1    MOV ESI,0x4E
0225DDF6    JMP SHORT 010Edito.0225DE4F      ; return 0x4E

需要满足以下几点:

  • serial[4] == calc3 & 0xFF
  • serial[5] == (calc3>>8) & 0xFF
  • serial[6] == (calc3>>0x10) & 0xFF
  • serial[7] == (calc3>>0x18) & 0xFF
  • serial[3] == 0x9C || 0xFC || 0xAC
  • calc1 >= 9

所以上面的代码,尤其是calc2生成随机序列号字节的部分,还需要满足这几个条件,而且因为calc1, calc3都涉及serial[6]calc2,calc3都涉及serial[5], serial[7],所以calc3中需要重新生成这几个序列号字节。

DWORD Obj::calc2(DWORD dwArg)
{
	DWORD eax = 0;
	BYTE k1 = 0, k7 = 0, k2 = 0, k5 = 0;

	srand(time(NULL));
	while (1)
	{
		k1 = rand() % 0xFF;
		k7 = rand() % 0xFF;
		k2 = rand() % 0xFF;
		k5 = rand() % 0xFF;
		dwArg = ((k1 ^ k7 & 0xFF) * 0x100 + k2 ^ k5 & 0xFF) & 0xFFFF;
		eax = (((dwArg ^ 0x7892) + 0x4D30) ^ 0x3421) & 0xFFFF;
		if (eax % 0xB == 0
			&& eax / 0xB <= 0x3E8)
		{

			eax /= 0xB;
			dwCalc2 = eax;

			dwCalc3 = calc3(name, 1, 0, dwCalc2);


			/***********************************
			*	serial[5],serial[7]与calc3冲突
			*************************************/
			if (
				((dwCalc3 >> 0x18) & 0xFF) != k7
				|| ((dwCalc3 >> 0x8) & 0xFF) != k5)
			{
				continue;
			}


			serial[1] = k1;
			serial[7] = k7;
			serial[2] = k2;
			serial[5] = k5;

			serial[4] = dwCalc3 & 0xFF;
			serial[5] = (dwCalc3 >> 0x8) & 0xFF;
			serial[6] = (dwCalc3 >> 0x10) & 0xFF;

			/********************************
			*	serial[6],calc3与calc1冲突
			*********************************/
			while (1)
			{
				dwCalc1 = calc1(serial[0] ^ serial[6]);
				if (dwCalc1 >= 9)
				{
					break;
				}
				serial[0] = rand() % 0xFF;
			}

			break;
		}
	}

	return eax;
}

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-32uMnm7q-1573782008059)(010Editor逆向.assets/1573734143844.png)]

在这里插入图片描述

3. 网络验证分析

注册成功一段时间后,再次注册会发生网络验证失败的情况。OD跟踪,check2中以及主流程中各有一处条件跳转,打补丁改为jmp即可通过网络验证。

4. 小结

010Editor其实有3种算法,由serial[3]是0x9C,0xAC,0xFC判断,这里只分析了0x9C一种情况。

网络验证部分也可以跳进关键函数分析数据包,自己搭建服务器通过验证,当然比较复杂。

010Editor汉化版+下载+注册码+模板bug
书山有路勤为径,学海无涯苦作舟
03-06 1万+
是因为安装的Chrome插件造成的问题,关闭插件即可。最后我上传了资源,提示一直–csdn资源上传中断。去手动下载版本较低的模板文件。希望对大家有所帮助!
逆向工程】x64dbg逆向扫雷及QT编写游戏辅助
L2510408497的博客
06-14 3837
x64dbg逆向扫雷及QT编写游戏辅助 网上的X64dbg新手入门的教程很少,因为自己也是个新手菜狗并且直接跳过了OD用的X64dbg,所以想记录一下方便后来想直接上手X64dbg的萌新,把过程写下来也是想加深一遍理解,用QT编写辅助是因为最近在学QT# 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些
010Edit-8.0加密算法分析-附代码
qq_40591440的博客
12-05 1384
此次目标 主要分析算法部分。因此这里不再阐述如何找到这个算法,直接上代码。 OD分析代码 代码如下显示 022FDC5D 8A5D DF mov bl,byte ptr ss:[ebp-0x21] ; bl = k[3] 022FDC60 8A7D E1 mov bh,byte ptr ss:[ebp-0x1F] ; bh = k[5] 022FDC63 80FB 9C
逆向分析-010editor算法
简单起个名字的博客
10-22 1148
系统环境:win10 64位 工具:吾爱专用OD、IDA 分析目标 1.暴力破解,去注册弹窗 2.分析算法,写注册机 3.去网络验证 具体分析过程 2.1 过弹窗检测 输入伪码 Username:123456 Password:11223344556677889900 弹窗了。由于我自己之前分析过适合破解新手的160个crackme练手.chm的前三个程序并且也写出了注册机。 我自己在吾爱也发了贴,ID:赤坂理子 所以这里有两个思路,一个是下API断点,和字符串搜索。 下API断点首先要使用工
精选资源
逆向分析-010Editor代码
12-04
逆向分析是软件安全领域中的一个重要分支,它涉及到对已编译程序的理解和解析,以了解其内部工作原理...通过深入学习和实践,你可以掌握使用010Editor进行逆向分析和软件安全研究的方法,提升你在这一领域的专业能力。
010 Editor逆向分析文档
qq_42167033的博客
05-18 1919
文章目录一、010 Editor 介绍二、010 Editor 破解注册码截图三、010 Editor 暴力破解分析1.分析思路:2.具体操作:四、010 Editor 算法分析1.分析方法:2.具体操作:3.算法总结:3.注册机总结4.网络验证分析 一、010 Editor 介绍 010 Editor是非常好用的16进制编辑器 主要功能如下: a. 16进制修改 b. 文本修改 c. 模板解析各种文件格式 d. 对比文件 二、010 Editor 破解注册码截图 三、010 Editor
010editor逆向过程
2303_79822944的博客
03-08 2853
随便输一下,然后点check Licese,这里因为看过了别人的笔记,所以我知道这里调用的是createwindowExW API,所以成功断住,实际这一步只是为了更熟悉下xdbg,更聪明的办法是通过查找字符串找到逻辑点。很奇葩,改了时间后不知道为什么还是显示可用,但是刚改时间点开14的版本,就会显示试用期到期,再打开8的版本却不会,这时再打开14的版本也不会显示到期,怪。这里的话,在验证时,会有弹窗,所以建议在打开后附加到进程,再给可能的API下断点,然后追踪调用堆,向上追溯可能的判断逻辑点。
逆向分析-010Editor
热门推荐
Nattevak
12-02 1万+
一、需实现的功能 二、分析思路 Vs2013 -> 12.0
【翻译】Qt内部机制及逆向
学习备忘录
08-07 5901
标 题: 【翻译】Qt内部机制及逆向 作 者: zouzhin 时 间: 2011-04-30,15:51:44 链 接: http://bbs.pediy.com/showthread.php?t=133181 【翻译】Qt内部机制及逆向 原作者:Daniel Pistelli ; 翻   译:zouzhin 参加看雪有很长一段时间了,一直无所贡献,真是有愧各位同坛好友。前不久
Qt+Windows逆向分析源码,读取微信用户信息
03-17
Windows下逆向分析源码,界面使用Qt,进程和读取内存使用Windows方法,
逆向破解 QT编写的扫雷辅助及源代码
07-08
https://blog.youkuaiyun.com/L2510408497/article/details/117910540
QT框架软件及其中tcp/udp网络逆向分析要点记录
最新发布
Denny_Chen_的博客
05-25 1299
前一段时间有逆向分析一个windows系统上QT5的软件,要获取其中显示界面中对应数据生成方式。在分析过程中额外去了解QT框架的相关知识是必不可少的,最主要的一点是信号和槽函数怎么对应起来,以及QT中自封装的数据结构怎么处理。框架分析的难点是除了分析基本功能外,还得分析框架自身的API和框架常见的特征,只有这样才能更好地定位功能代码,但只要分析一次,后面如果是碰到相同的框架,则能很快上手。下面对QT框架分析心得做个简单记录。
qt android 逆向,[原创]QTrace动态逆向分析Android程序
weixin_39951181的博客
05-27 617
QTrace动态逆向分析Android程序一、QTrace概述QTrace是Android软件动态分析工具,它就像一个X光扫描仪,实时打印一个类中所有函数的执行情况(比如函数堆,相关变量等), 同时还可以用UML序列图的方式展示程序的执行情况。可以借助QTrace来分析混淆的程序, 可以在混淆代码中快速的定位到相关的代码, 并理清代码的运行逻辑。(注:要动态分析程序,首先要保证程序可以Debu...
逆向工程】QT编写PE结构分析工具 附源码
L2510408497的博客
06-25 1555
最近连肝几日,把PE结构学了点毛皮,想自己编写一个PE结构的分析工具,这对理解PE格式和相关的PE编程还是大有脾益滴,因此就不使用微软的ImageHlp库提供的API了。 框架还是采用QT框架。 PE结构分析工具最终效果二级目录三级目录 最终效果 二级目录 三级目录 ...
Qt-C++-信号槽-调用形式-逆向分析-槽函数定位
插件开发
01-31 1149
从上面的源码可知,如果需要真正的逆向定位槽函数,关键在于找到qt_static_metacall函数,找到qt_meta_stringdata_QtConnect所在位置可知槽函数的源码名称。qt_static_metacall函数是当前类对象槽函数的上级函数,可以根据此特征,在一些有提示的按钮上,快速找到此函数。信号槽是一种观察者模式的实现。是Qt的核心骨架之一。按序号索引上级函数。如有疑问,敬请留言。
qt android .so反编译,Qt5 程序初步逆向分析+解析脚本
weixin_42467518的博客
05-26 1235
[C++] 纯文本查看 复制代码// moc_tsignal.cpp#include #include #if !defined(Q_MOC_OUTPUT_REVISION)#error "The header file 'tsignal.h' doesn't include ."#elif Q_MOC_OUTPUT_REVISION != 67#error "This file was gene...
010 Editor体验
happylzs2008的专栏
05-18 832
010 Editor体验 https://www.cnblogs.com/vendanner/p/4939444.html https://www.cnblogs.com/TJTO/p/11470294.html   源代码的我们现在拥有各式各样的IDE和编辑器可以去查看,但二进制文件对于大多数软件只能做到显示16进制,而不能按照文件类型的格式去显示。今天我们就用dex文件让010 show。   安装软件:   http://www.sweetscape.com/010editor/  .
关于QT逆向
caichengji1的博客
10-19 7019
QT弹框几个函数:     QWidget         show      QDialog        exec        open
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值