新疆时时彩走势图开奖加入收藏  |  设为首页  |  联系我们
网站首页 公司概况 公司文化 新闻动态 加密狗展示 工作坏境 招贤纳士 精诚合作 在线留言
新闻中心
公司新闻
行业资讯
 
地    址:广东省深圳市地王大厦38层8801号。
客服QQ1:4642967
客服QQ2:5915307
手    机:13528540969(刘先生)
邮    箱:4642967@qq.com
网    址:/a/
新闻中心 当前位置:首页 >> 新闻中心 >> 公司新闻

|阿拉丁HASP加密狗破解

发表时间:2018-05-09    来源:不详    浏览次数:21

用OD加载,停在入口,入口处代码就不贴上来了,直接F8,N次之后来到下面的代码,感觉有用,于是F7跟进
00401614  |.  68 D4E54000            push APP.0040E5D4                              ;  ASCII "EN"
00401619  |.  8B55 E8                     mov edx,[local.6]
0040161C  |.  52                              push edx
0040161D  |.  E8 8E230000           call <jmp.&user_dll.sui_In>               ;这个CALL只要一执行,就死掉,所以必须跟进
00401622  |.  8945 EC               mov [local.5],eax
00401625  |.  8B45 EC               mov eax,[local.5]
00401628  |>  8B4D F4               mov ecx,[local.3]
0040162B  |.  64:890D 00000000      mov fs:[0],ecx
00401632  |.  8B4D E4               mov ecx,[local.7]
00401635  |.  E8 C72D0000           call APP.00404401
0040163A  |.  8BE5                  mov esp,ebp
0040163C  |.  5D                    pop ebp
0040163D  \.  C3                    retn

跟进后出现下面的代码,看第一行,就是0040161D 处调用的函数,再看右面的注释,心跳加快,InitSystem,从名字上你都能猜想它会干什么,对,读狗的相关代码就应该在这儿初始化(当然还要初始化其他信息),继续跟进
--------------------------------------------------------------------------------------------------------
004039B0   $- FF25 C8554000         jmp ds:[<&user_In>]             ;  InitSystem
004039B6   $- FF25 C4554000         jmp ds:[<&user_Star>]         ;  StartProgram
004039BC   $- FF25 C0554000         jmp ds:[<&user_Mai>]      
004039C2   $- FF25 AC544000         jmp ds:[<&XXX_DLL.#3>] 
004039C8   $- FF25 A8544000         jmp ds:[<&XXX_DLL.#47>]
再次F7之后是一系列的IsBadReadPtr,都是一些初始化代码,离读狗还有一段距离,于是继续痛苦按F8
00EF5940 >  55                      push ebp       ;InitSystem函数
00EF5941    8BEC                    mov ebp,esp
……
00EF5973    FF15 1072F000           call ds:[<&KERNEL32.IsBadWritePtr>]            ; kernel32.IsBadWritePtr
00EF5979    85C0                    test eax,eax
00EF597B    75 35                   jnz short user_dll.00EF59B2
00EF597D    837D 10 00              cmp dword ptr ss:[ebp+10],0
00EF5981    74 26                   je short user_dll.00EF59A9
00EF5983    6A 01                   push 1
00EF5985    8B55 10                 mov edx,ss:[ebp+10]
00EF5988    52                      push edx
00EF5989    FF15 1472F000           call ds:[<&KERNEL32.IsBadReadPtr>]             ; kernel32.IsBadReadPtr
00EF598F    85C0                    test eax,eax
00EF5991    75 16                   jnz short user_dll.00EF59A9
00EF5993    68 04010000             push 104
00EF5998    8B45 10                 mov eax,ss:[ebp+10]
00EF599B    50                      push eax
00EF599C    68 583AF100             push user_dll.00F13A58
00EF59A1    FF15 1872F000           call ds:[<&KERNEL32.lstrcpynW>]                ; kernel32.lstrcpynW

上面代码执行结束后迅速来到下面代码,注释处的CALL执行就死,跟进
--------------------------------------------------------------------------------------------------------
00EF5D8A    6A 03                   push 3
00EF5D8C    68 10000100             push 10010                                    
00EF5D91    8B15 9C3EF100           mov edx,ds:[F13E9C]                           
00EF5D97    83C2 12                 add edx,12
00EF5D9A    52                      push edx
00EF5D9B    68 D80CF100             push user_dll.00F10CD8                         
00EF5DA0    A1 9C3EF100             mov eax,ds:[F13E9C]
00EF5DA5    8B88 2C0F0000           mov ecx,ds:[eax+F2C]
00EF5DAB    51                      push ecx
00EF5DAC    E8 45E70000             call <jmp.&XXX_dll.#66_UserMessage>     
00EF5DB1    EB 15                   jmp short user_dll.00EF5DC8
00EF5DB3    E8 580B0000             call user_dll.00EF6910      ;该CALL执行就死掉,读狗函数在这里
00EF5DB8    85C0                    test eax,eax
00EF5DBA    74 0C                   je short user_dll.00EF5DC8

跟进后一直按F8,遇到CALL user_dll.00XXXXXX字样的要格外小心,果然执行到某个CALL的时候死掉,只好记住地址,重设断点,重新来,继续跟进死掉的CALL。由于这儿一直是寻找读狗函数,所以不再贴代码了,大家只看思路,无用代码太多,会扰乱思路.
不厌其烦的重复上述过程突然发现下面代码,相信仅仅函数名足以让你兴奋
-------------------------------------------------------------------------------------------------------
00EF6EB8    51                      push ecx
00EF6EB9    68 680AF100             push user_dll.00F10A68                         
00EF6EBE    8B15 9C3EF100           mov edx,ds:[F13E9C]                           
00EF6EC4    83C2 12                 add edx,12
00EF6EC7    52                      push edx
00EF6EC8    E8 85D70000             call <jmp.&HLK_dll.#13_hlk_LogIn>  ;LogIn,登录狗
00EF6ECD    85C0                    test eax,eax        ;判断返回值,如是0
00EF6ECF    0F84 B2000000           je user_dll.00EF6F87      ;跳走,死掉
00EF6ED5    C705 6C3EF100 01000000  mov dword ptr ds:[F13E6C],1
00EF6EDF    E8 5CD70000             call <jmp.&HLK_dll.#10_hlk_Avail>    ;读另一个数据,为ReadDong做准备,虽然
00EF6EE4    85C0                    test eax,eax        ;不知道读什么,但返回值如是0
00EF6EE6    0F84 9B000000           je user_dll.00EF6F87      ;跳走,死掉
00EF6EEC    8D85 5CFFFFFF           lea eax,ss:[ebp-A4]
00EF6EF2    50                      push eax
00EF6EF3    E8 54D70000             call <jmp.&HLK_dll.#15_hlk_ReadDong>  ;再读
00EF6EF8    85C0                    test eax,eax        ;判断返回值,如是0
00EF6EFA    0F84 87000000           je user_dll.00EF6F87      ;OVER
00EF6F00    B9 2848F100             mov ecx,user_dll.00F14828      ;判断ECX是否为0,跟踪发现该值是狗的编号
00EF6F05    85C9                    test ecx,ecx        ;是0与否,不影响程序运行
00EF6F07    74 2B                   je short user_dll.00EF6F34
00EF6F09    8D55 98                 lea edx,ss:[ebp-68]        ;该地址存放狗的编号
00EF6F0C    85D2                    test edx,edx
00EF6F0E    74 16                   je short user_dll.00EF6F26
00EF6F10    6A 06                   push 6
00EF6F12    8D45 98                 lea eax,ss:[ebp-68]
00EF6F15    50                      push eax
00EF6F16    68 2848F100             push user_dll.00F14828
00EF6F1B    FF15 E875F000           call ds:[<&MSVCR71.strncpy>]                ; MSVCR71.strncpy
只要把00EF6ECF、00EF6EE6、00EF6EFA三处的je改为jne即可跳过狗的检查。我毫不犹豫的就改了,运行,然而并没有出现预想的兴奋的事情。出现一个错误提示“没有发现可选文件”。、“可选文件”是什么意思,到软件安装目录查看,有个OPTION文件夹,里面有很多文件,用UltraEdit打开,看不懂呵呵
将改文件夹中的文件所有文件删除,带狗运行,出现同样的提示;
恢复文件,运行正常。由此可见,解密那些文件需要狗中的数据,大家知道HASP狗用的是AES,难道狗中存放着AES密码??带着这样的疑问跟踪程序,来到下面代码

00EF723F    8B8D 68F6FFFF           mov ecx,ss:[ebp-998]  ;压入的三个参数意义就不说明了,因为没必要
00EF7245    51                      push ecx
00EF7246    8D95 64F8FFFF           lea edx,ss:[ebp-79C]
00EF724C    52                      push edx
00EF724D    8D85 BCFAFFFF           lea eax,ss:[ebp-544]
00EF7253    50                      push eax
00EF7254    E8 47180000             call user_dll.00EF8AA0      ;该函数执行完后,EDX会出现一些明码,明码信息

大概为APPLICAITON=XXX;OPTION=XXX.....是不是很像文件启动需要检查的选项?所以要弄懂解密算法,必须跟进
00EF8B3E    68 5038F100             push user_dll.00F13850                         
00EF8B43    E8 14BD0000             call <jmp.&XXX_DLL.#100_ExtendPathName>  ; 获取文件完整路径
00EF8B48    6A 00                   push 0
00EF8B4A    8D85 70FFFFFF           lea eax,ss:[ebp-90]
00EF8B50    50                      push eax
00EF8B51    8D8D 68FDFFFF           lea ecx,ss:[ebp-298]
00EF8B57    51                      push ecx
00EF8B58    E8 63BC0000             call <jmp.&XXX_DLL.#47_MakeSString>
00EF8B5D    50                      push eax
00EF8B5E    FF15 0872F000           call ds:[<&KERNEL32.OpenFile>]                 ; 打开文件
00EF8B64    8985 54FDFFFF           mov ss:[ebp-2AC],eax
00EF8B6A    83BD 54FDFFFF FF        cmp dword ptr ss:[ebp-2AC],-1
00EF8B71    74 55                   je short user_dll.00EF8BC8
00EF8B73    8B95 50FDFFFF           mov edx,ss:[ebp-2B0]
00EF8B79    52                      push edx
00EF8B7A    8B85 60FDFFFF           mov eax,ss:[ebp-2A0]        ;存放读入数据的缓冲区,关键(后面破解用上)
00EF8B80    50                      push eax
00EF8B81    8B8D 54FDFFFF           mov ecx,ss:[ebp-2AC]
00EF8B87    51                      push ecx
00EF8B88    FF15 F071F000           call ds:[<&KERNEL32._hread>]                   ; 读文件,ebp-2A0为存放读入数据的缓冲区
00EF8B8E    3B85 50FDFFFF           cmp eax,ss:[ebp-2B0]
00EF8B94    75 19                   jnz short user_dll.00EF8BAF
00EF8B96    8B55 10                 mov edx,ss:[ebp+10]
00EF8B99    52                      push edx
00EF8B9A    8B85 64FDFFFF           mov eax,ss:[ebp-29C]
00EF8BA0    50                      push eax
00EF8BA1    8B8D 60FDFFFF           mov ecx,ss:[ebp-2A0]         ;存放解密后的数据,和读入缓冲区地址相同
00EF8BA7    51                      push ecx
00EF8BA8    E8 B1BA0000             call <jmp.&HLK_dll.#12_hlk_Crypt>       ;对读入的数据进行解密,须弄懂算法 
00EF8BAD    EB 0A                   jmp short user_dll.00EF8BB9
00EF8BAF    C785 64FDFFFF 00000000  mov dword ptr ss:[ebp-29C],0
00EF8BB9    8B95 54FDFFFF           mov edx,ss:[ebp-2AC]
00EF8BBF    52                      push edx
00EF8BC0    FF15 F471F000           call ds:[<&KERNEL32._lclose>]                  ; 关闭文件
00EF8BC6    EB 0A                   jmp short user_dll.00EF8BD2
00EF8BC8    C785 64FDFFFF 00000000  mov dword ptr ss:[ebp-29C],0       ;后面的函数不做解释了,只需知道解密后的 
00EF8BD2    8B85 60FDFFFF           mov eax,ss:[ebp-2A0]         ;数据存放在ebp-2A0 
00EF8BD8    0385 64FDFFFF           add eax,ss:[ebp-29C]
00EF8BDE    C600 00                 mov byte ptr ds:[eax],0
00EF8BE1    8B4D 08                 mov ecx,ss:[ebp+8]
00EF8BE4    8B95 60FDFFFF           mov edx,ss:[ebp-2A0]
00EF8BEA    8911                    mov ds:[ecx],edx
00EF8BEC    8B85 64FDFFFF           mov eax,ss:[ebp-29C]
00EF8BF2    8B4D FC                 mov ecx,ss:[ebp-4]
00EF8BF5    E8 E8C30000             call user_dll.00F04FE2
00EF8BFA    8BE5                    mov esp,ebp
00EF8BFC    5D                      pop ebp
00EF8BFD    C3                      retn
--------------------------------------------------------------------------------------------------------
为了得到解密后的数据,跟进00EF8BA8处的call <jmp.&HLK_dll.#12_hlk_Crypt>,看看到底是什么算法。可是乐观的情绪又受打击,该函数有大量的花指令,换个思维,为什么不能用程序本身的代码进行解密呢!!!
   对,就让程序自身帮我们干活!说干就干,在步骤13的00EF723F处设断,反复运行程序,每执行一次查看ebp-2A0处的值,并dump出来,另存为16进制文件,这些文件就是解密过的文件,将其覆盖原来的加密文件。剩下要做的就是跳过上面代码中的解密模块(_hlk_Crypt)。
   这个很简单,来到00EF8B8E 处,即程序刚进行完_hread之后,将该处的代码cmp eax,ss:[ebp-2B0]改为jmp 00EF8BB9然后汇编。由于_hread函数和_hlk_Crypt函数用的是同一个缓冲区,所以_hread函数执行完毕后,ebp-2A0处的已解密数据就可顺利为后续程序使用了。
经过上面修改后,F9,程序顺利启动!!!!


新疆时时彩走势图开奖关闭窗口】 【打印本页】 【收藏页面
下一篇:没有了
Copyright (c) 2013 - 2016 加密狗破解网 Inc. All Rights Reserved 备案号:粤ICP备08125688号 版权所有:加密狗破解网
青海十一选五走势图今日 炸金花在qq游戏里叫什么 天津11选5中奖规则 快乐十分20选8技巧 足球推荐
彩票网上购买 二八杠绝技的微博 十一月二十八号北京十一选五开奖结果 北京赛车pk10开将直播 炸金花