原文:https://www.pediy.com/kssd/pediy08/pediy8-481.htm
【文章标题】: ASPr带壳调试+内存校验完整分析+Inline Loader[Delphi开源]+语音使用录象
【文章作者】: wynney
【作者主页】: http://ReverserCracker.Spaces.Live.Com
【软件名称】: Tail4win 2.7
【软件大小】: 765K
【使用工具】: Delphi 7、OD
【下载地址】: http://74530.cn/3800hk/Files.rar
【加壳方式】: ASProtect 2.3 SKE build 05.14 Beta
【作者声明】: Dup2、KeyMake、Inline Loader对比
--------------------------------------------------------------------------------
【详细过程】
一、前言
呵呵,昨天才发现有这么个活动,参加玩玩吧,重在参与嘛:)文章中既有调试又有壳的分析又有编程又有工具,还真不知道应该发到哪个区去
像ASPr一类猛壳加壳的软件会有内存校验,一般的补丁工具制作的内存补丁,一是表现得很不稳定,导致补丁无效,二是被ASPr
检测到,提示Protection Error:45之类的错误
当然你若想用Dup2、KeyMake来做ASPr的内存补丁,也可以!那就还需要填上躲避校验值的补丁数据,比较麻烦,但是这个相对于一些老鸟而言是很简单的事了。于是,本人就写了个补丁制作工具,只需填写补丁数据[不需要原始数据,不需要设置跳过校验]即可,也不会被内存校验到。不足的是开有杀毒软件会导致补丁不够稳定[在某些机器上测试有此情况,我的机器上却没有]。
二、带壳调试
带壳动态调试最起码的要求是目标程序能够在OD下正常的跑得起来。
1、未注册启动就有个注册框
2、注册框上提示“You have 30 day(s) left”
3、看注册方式是重启验证
4、假注册试试,提示“Serial is not valid, please input again”
既然如此,我们就从注册框入手
5、忽略除了INT3和指定异常之外的所有异常、OD载入
6、F9两次中断在INT3异常,Alt+M在Code段F9中断在OEP
7、搜索所有参考文本字符串
文本字符串参考位于 Tail4win:
地址 反汇编 文本字符串
004D843C mov edx,Tail4win.004D858 ASCII "Trial expired, please register."
004D8448 push Tail4win.004D85A8 ASCII "You have "
004D845E push Tail4win.004D85BC ASCII " day(s) left"
004D84B5 mov edx,Tail4win.004D85D ASCII "This copy is licensed to "
004D84DB push Tail4win.004D85F8 ASCII "You hava not register. This copy left "
004D84F8 push Tail4win.004D8628 ASCII " days to use."
004D86FD push Tail4win.004D8724 ASCII "System Error"
004D8702 push Tail4win.004D8734 ASCII "Form create error, please send mail to support@withdata.com!"
004D88DA mov edx,Tail4win.004D8A0 ASCII "can not open "
004D8A24 push Tail4win.004D8A98 ASCII "OutputDebugString"
004D8B82 mov edx,Tail4win.004D8C1 ASCII "\Software\withdata\tail4win\recent"
004D8B92 mov edx,Tail4win.004D8C4 ASCII "loadlines"
004D8B97 mov eax,Tail4win.004D8C5 ASCII "Software\withdata\tail4win"
004D8BBA mov edx,Tail4win.004D8C8 ASCII "editor"
004D8BBF mov eax,Tail4win.004D8C5 ASCII "Software\withdata\tail4win"
004D8BE6 mov edx,Tail4win.004D8C9 ASCII "notepad"
004D8D0D mov edx,Tail4win.004D8D7 ASCII "This copy is licensed to "
文本字符串参考位于 Tail4win:
地址 反汇编 文本字符串
004D2ADF push Tail4win.004D2B40 ASCII "Registration"
004D2AE4 push Tail4win.004D2B50 ASCII "Thank you for your registration!"
004D2B01 push Tail4win.004D2B40 ASCII "Registration"
004D2B06 push Tail4win.004D2B74 ASCII "Serial is not valid, please input again!"
从上面的信息可以看出,一是通过注册表实现重启验证[Software\withdata\tail4win],二是我们找到了2中的提示
8、双击004D8448来到这里,因为是带壳调试,所有我们要下的断点必须都是硬件断点。
004D841D E8 F6A5FFFF call Tail4win.004D2A18 ; 这里是关键Call,下硬件执行断点
004D8422 84C0 test al,al ; 跳转是受al的限制的,al为1才可以实现跳转
004D8424 75 66 jnz short Tail4win.004D848C
004D8426 8B45 F8 mov eax,dword ptr ss:[ebp-8]
004D8429 8BB0 34030000 mov esi,dword ptr ds:[eax+334]
004D842F 85F6 test esi,esi
004D8431 75 15 jnz short Tail4win.004D8448
004D8433 8B45 F8 mov eax,dword ptr ss:[ebp-8]
004D8436 8B80 14030000 mov eax,dword ptr ds:[eax+314]
004D843C BA 80854D00 mov edx,Tail4win.004D8580 ; ASCII "Trial expired, please register."
004D8441 E8 D69AF8FF call Tail4win.00461F1C
004D8446 EB 39 jmp short Tail4win.004D8481
004D8448 68 A8854D00 push Tail4win.004D85A8 ; ASCII "You have "
004D844D 8BC6 mov eax,esi
004D844F 33D2 xor edx,edx
004D8451 52 push edx
004D8452 50 push eax
004D8453 8D45 F0 lea eax,dword ptr ss:[ebp-10]
004D8456 E8 910CF3FF call Tail4win.004090EC
004D845B FF75 F0 push dword ptr ss:[ebp-10]
004D845E 68 BC854D00 push Tail4win.004D85BC ; ASCII " day(s) left"
004D8463 8D45 F4 lea eax,dword ptr ss:[ebp-C]
9、忽略所有异常,重新加载,F9中断在004D841D,F7进入
004D2A18 53 push ebx
004D2A19 56 push esi
004D2A1A 57 push edi
004D2A1B 83C4 F8 add esp,-8
004D2A1E 8BF0 mov esi,eax
004D2A20 33DB xor ebx,ebx
004D2A22 8D86 28030000 lea eax,dword ptr ds:[esi+328]
004D2A28 50 push eax
004D2A29 8D86 24030000 lea eax,dword ptr ds:[esi+324]
004D2A2F 50 push eax
004D2A30 6A 00 push 0
004D2A32 E8 25FDFFFF call Tail4win.004D275C
004D2A37 8BBE 24030000 mov edi,dword ptr ds:[esi+324]
004D2A3D 85FF test edi,edi
004D2A3F 74 1E je short Tail4win.004D2A5F
004D2A41 8BC7 mov eax,edi
004D2A43 E8 806EF3FF call Tail4win.004098C8
004D2A48 85C0 test eax,eax
004D2A4A 76 13 jbe short Tail4win.004D2A5F
004D2A4C 54 push esp
004D2A4D 8D86 2C030000 lea eax,dword ptr ds:[esi+32C]
004D2A53 50 push eax
004D2A54 6A 00 push 0
004D2A56 E8 19FDFFFF call Tail4win.004D2774
004D2A5B B3 01 mov bl,1 ; 如果这里实现,bl就是1
004D2A5D EB 1B jmp short Tail4win.004D2A7A
004D2A5F 8D86 34030000 lea eax,dword ptr ds:[esi+334]
004D2A65 50 push eax
004D2A66 8D86 30030000 lea eax,dword ptr ds:[esi+330]
004D2A6C 50 push eax
004D2A6D 6A 00 push 0
004D2A6F E8 F8FCFFFF call Tail4win.004D276C
004D2A74 84C0 test al,al
004D2A76 74 02 je short Tail4win.004D2A7A
004D2A78 33DB xor ebx,ebx ; 如果这里实现,ebx被清0
004D2A7A 8BC3 mov eax,ebx ; 赋值给eax
004D2A7C 59 pop ecx
004D2A7D 5A pop edx
004D2A7E 5F pop edi
004D2A7F 5E pop esi
004D2A80 5B pop ebx
004D2A81 C3 retn
很明显这上面的代码就相当于一个if条件语句。跟踪发现004D2A78被实现,也就是说eax会被赋值为0,即al=0,自然就要求注册了。
10、OK,我们来检测下,看这里是否是重启验证的关键,删除硬件执行断点和所有断点,在004D2A7A下硬件执行断点,重载,F9
中断第1次
ebx=00000000
eax=00000001
手动更改ebx为1
继续F9
中断第2次
ebx=00000000
eax=00000001
手动更改ebx为1
继续F9
程序运行,注册框没有出现,OK,点Help-->About Tail4win,显示“This copy is licensed to”[注册表里没有注册名]
11、看来这个地方是关键改之
004D2A7A B0 01 mov al,1 ; 赋值1给al,eax摆脱ebx的控制
如果想让其显示注册名,自己就伪造个注册表吧:)
12、使用Dup2和KeyMak制作补丁发现
补丁不是无效就是提示Error,于是便有了下文:)
三、ASPr内存校验完整分析
既然上面我们提到了ASPr内存校验的问题,那么我们就一并分析了吧。
第一部分前言,我们说过被检测到会提示Protection Error:45,那就OK
1、设置忽略除了内存访问和指定异常之外的所有异常。F9运行,中断在第1次内存异常处,别管了
2、搜索所有参考文本字符串
文本字符串参考位于 00F70000..00FC1FFF
地址 反汇编 文本字符串
00FAC9CB push 0FAC9F0 ASCII "Protection Error"
00FACA9F mov edx,0FACAFC ASCII "90"
00FACDEF push 0FACE14 ASCII "103"
00FAD289 push 0FAD330 ASCII "42"
00FAD4EB push 0FAD520 ASCII "151"
00FADAED push 0FADD50 ASCII "85"
00FADB07 push 0FADD50 ASCII "85"
00FADC87 push 0FADD60 ASCII "55"
00FADCE6 push 0FADD70 ASCII "57"
00FADD2A push 0FADD80 ASCII "60"
00FADE83 push 0FADF18 ASCII "45" ;双击来到代码处
00FADEF0 push 0FADF28 ASCII "34"
00FAE4CE push 0FAE638 ASCII "100"
00FAE5FE add byte ptr ds:[eax],al (初始 CPU 选择)
00FAE6B0 push 0FAE6D4 ASCII "150"
00FAE7DC push 0FAE84C ASCII "170"
3、看到了上面的45号错误了吧
00FADE70 E8 A36CFDFF call 00F84B18
00FADE75 8BE8 mov ebp,eax
00FADE77 892D D495FB00 mov dword ptr ds:[FB95D4],ebp
00FADE7D 3B6C24 28 cmp ebp,dword ptr ss:[esp+28] ; 先在这里下he断点
00FADE81 74 0C je short 00FADE8F ; 如被检测到这里肯定没有跳
00FADE83 68 18DFFA00 push 0FADF18 ; ASCII "45"
00FADE88 E8 FB79FDFF call 00F85888
4、在00FADE7D下好硬件执行断点后,我们忽略所有异常,重载,F9运行中断在00FADE7D,先来探探情况
堆栈 ss:[0012FF5C]=5E2582B0,ebp=5E2582B0
按这个值比较,00FADE81是会跳的,因为我们这样调试并没有影响到内存校验嘛。那么5E2582B0就是内存校验值了。OK,情况明了
我们在数据窗中转存一下0012FF5C看看
0012FF14 B0 82 25 5E D0 C0 06 01 皞%^欣 ;这里也有校验值
0012FF1C 1F 2C F7 00 55 4B F8 00 ,?UK?
0012FF24 00 10 00 00 00 80 0E 00 ....€.
0012FF2C 00 7C FB 00 75 DE FA 00 .|?u搡.
0012FF34 00 00 00 00 00 00 40 00 ......@.
0012FF3C 00 00 00 00 00 10 00 00 .......
0012FF44 00 00 00 00 00 00 00 00 ........
0012FF4C 00 00 00 00 00 00 00 00 ........
0012FF54 00 00 00 00 00 9E 0D 00 .....?.
0012FF5C B0 82 25 5E 00 00 00 00 皞%^.... ;校验值
5、我们删除所有的断点包括刚才的硬件执行断点,重新在00FADE70下硬件执行断点,重载,F9中断在00FADE70,继续探探情况
00FADE70 E8 A36CFDFF call 00F84B18 ; 这里就是计算校验值的了
00FADE75 8BE8 mov ebp,eax ; 给eax返回5E2582B0校验值
00FADE77 892D D495FB00 mov dword ptr ds:[FB95D4],ebp ; ebp里也是校验值
6、我们来做一个小实验,重载,F9
00FADE70 E8 A36CFDFF call 00F84B18 ; F8,注意观察转存中的0012FF14和0012FF5C
00FADE75 8BE8 mov ebp,eax ; 手动给eax清0
00FADE77 892D D495FB00 mov dword ptr ds:[FB95D4],ebp ; 0,0
00FADE7D 3B6C24 28 cmp ebp,dword ptr ss:[esp+28] ; 0,5E2582B0
00FADE81 74 0C je short 00FADE8F ; 没跳,让人高兴的在后面
00FADE83 68 18DFFA00 push 0FADF18 ; ASCII "45"
00FADE88 E8 FB79FDFF call 00F85888 ; 提示Protection Error:45
需要注意的是,在我们手动更改eax=0的时候,0012FF14和0012FF5C里面的值是没变的,都是校验值。
7、OK,那我们可以大胆的假设性[也是有事实根据的]分析一下
1)、若ASPr检测到内存校验,那么00FADE70 call 00F84B18将会给eax返回为0或者是除了正确校验值之外的其他值
2)、若ASPr没有检测到,那么一切如常
分析完了,我们就有必要到00FADE70 call 00F84B18去看看了
有的朋友可能会说,那我把00FADE81改成jmp不就不管什么情况都可以跳过内存校验吗?呵呵,你不要忘了,壳也有自身校验的,这也是为什么我们在使用补区段法的时候,还要修改Route Check的缘故了
如果在内存补丁当中这样去设置
那么将会出现这样的错误提示
8、重载,F9,F7
00F84B18 53 push ebx
00F84B19 56 push esi
00F84B1A 57 push edi
00F84B1B 8BFA mov edi,edx
00F84B1D 8BF0 mov esi,eax
00F84B1F B2 01 mov dl,1
00F84B21 A1 20F8F700 mov eax,dword ptr ds:[F7F820]
00F84B26 E8 B9E0FEFF call 00F72BE4
00F84B2B 8BD8 mov ebx,eax
00F84B2D 8BC3 mov eax,ebx
00F84B2F 8B10 mov edx,dword ptr ds:[eax]
00F84B31 FF12 call dword ptr ds:[edx]
00F84B33 8BD6 mov edx,esi
00F84B35 8BCF mov ecx,edi
00F84B37 8BC3 mov eax,ebx
00F84B39 8B30 mov esi,dword ptr ds:[eax]
00F84B3B FF56 04 call dword ptr ds:[esi+4]
00F84B3E 8BC3 mov eax,ebx
00F84B40 8B10 mov edx,dword ptr ds:[eax]
00F84B42 FF52 08 call dword ptr ds:[edx+8]
00F84B45 8BC3 mov eax,ebx
00F84B47 8B10 mov edx,dword ptr ds:[eax]
00F84B49 FF52 0C call dword ptr ds:[edx+C]
00F84B4C 8B30 mov esi,dword ptr ds:[eax]
00F84B4E 8BC3 mov eax,ebx
00F84B50 E8 BFE0FEFF call 00F72C14 ; 这里给0012FF14赋校验值
00F84B55 8BC6 mov eax,esi ; 正常情况下esi里的值是校验值
00F84B57 5F pop edi ; 需要注意的是在这整个过程当中0012FF5C始终没变,都是校验值
00F84B58 5E pop esi
00F84B59 5B pop ebx
00F84B5A C3 retn
上面我们分析了,通过改跳转是行不通的,调试发现call 00F84B18里面的值是不会被检测的
9、重载,F9,F7,修改之
00F84B18 8B4424 2C mov eax,dword ptr ss:[esp+2C] ; [esp+2C]=0012FF5C
00F84B1C C3 retn ; 回去吧
00F84B1D 8BF0 mov esi,eax
00F84B1F B2 01 mov dl,1
00F84B21 A1 20F8F700 mov eax,dword ptr ds:[F7F820]
即从00F84B18开始的原始数据
53 56 57 8B FA
改之
8B 44 24 2C C3
在Dup2或者keymake里面这样设置之后,就不会被检测到了,但会有1%的不稳定性,呵呵,带壳的内存补丁基本上都会遇到这样的问题。
好啦,到此为止,ASPr的内存校验算是分析完了。
四、补丁工具的功能
功能 :
1、可以根据用户输入的数据信息,生成相对应的补丁
2、支持用户对数据的添加、修改、删除功能
3、双击要修改的数据即可对原数据进行编辑
4、支持数据排序功能,用户只需拖曳相应数据即可
5、支持自动添加连续数据功能
6、支持查看窗体名功能
7、支持工程文件保存、打开功能
8、增加了目标文件拖曳功能
9、增加了工程文件拖曳功能
10、增加了窗体捕捉功能
11、增加了用户个人信息设置
后期更新:
1、增加补丁程序和原程序整合为一个程序功能
2、增加多个连续数据的支持
3、增加补丁样式的选择
其他特点:
1、水纹效果
2、无标题栏拖曳效果
为了程序的美化等因素,使用了大量的第3方控件
关于补丁工具的演示请看演示录象
建议:最好不要使用“用户个人信息设置”,因为这样会影响到补丁的启动速度。
五、几款补丁工具的对比
几款补丁工具的对比可以看演示录象,一看就一目了然:)
六、补丁工具原理
就目前流行的几种补丁工具来看,都是使用通过查找进程名来定位目标程序,再通过目标地址利用原始数据对比来
进行Patch补丁数据。然后经过本人测试发现,对付像ASPr一类的通过内存校验来完成反Loader功能的壳而言,此方法会被检测到。
于是本人转换了种方式看下文
主程序部分:把事先写好的补丁模块以资源形式加入到主程序中,根据用户填写的补丁信息生成一个ini文件,然后把ini文件
捆绑到释放的补丁模块末尾,所以用PEID给补丁查壳是Borland Delphi 6.0 - 7.0 [Overlay]
补丁部分:补丁程序释放捆绑在末尾的ini文件,再读取ini文件内的信息对目标程序进行补丁。 本补丁是通过窗体
名定位目标程序并非常规补丁工具那样使用的是进程名来定位,这样就基本可以逃过壳的内存检测了。
经测试,若开有杀毒软件,会导致出现Dup2和KeyMake一样的不稳定情况,但是,不会有错误提示
七、源码
先看下流程图吧
主程序源码