逆向工程与软件破解

软件保护方式

1. 功能限制
2. 时间限制

• 运行时长限制
• 使用日期限制
• 使用次数限制

3. 警告窗口

分析工具

1. 静态分析工具

• IDA
• W32Dasm
• lordPE
• Resource Hacker

2. 动态分析工具

• OllyDbg
• WinDbg

对抗分析技术

1. 反静态分析技术

• 花指令
• 自修改代码技术
• 多态技术
• 变形技术
• 虚拟机保护技术

2. 反动态分析技术

• 检测调试状态
• 检测用户态调试器
• 检测内核态调试器
• 其他方法：父进程检测；StartupInfo 结构；时间差；通过Trap Flag检测

3. 发现调试器后的处理

• 程序自身退出
• 向调试器窗口发送消息使调试器退出
• 使调试器窗口不可用
• 终止调试器进程

PE文件格式基础

加壳脱壳

实验一：软件破解

对象

crack.exe，28.0 KB

• 无保护措施：无壳、未加密、无反调试措施
• 用户名至少要5个字节
• 输入错误验证码时输出：“Bad Boy!”

爆破

查找显示注册结果相关代码

当输入错误验证码时，程序会输出“Bad Boy”，因此我们将程序拖入IDA，以流程图显示函数内部的跳转。查找“Bad Boy”字符串，我们可以定位到显示注册结果的相关代码：

查找注册码验证相关代码

用鼠标选中程序分支点，按空格切换回汇编指令界面

可以看到，这条指令位于PE文件的.text节，并且IDA已经自动将地址转换为运行时的内存地址VA:004010F9

修改程序跳转

• 现在关闭IDA，换用OllyDbg进行动态调试来看看程序时如何分支跳转的Ctrl+G直接跳到由IDA得到的VA:004010F9处查看那条引起程序分支的关键指令
• 选中这条指令，按F2设置断点，再按F9运行程序，这时候控制权会回到程序，OllyDbg暂时挂起。到程序提示输入名字和序列号，随意输入（名字大于五个字节），点击ok后，OllyDbg会重新中断程序，收回控制权，如图：
  

• 验证函数的返回值存于EAX寄存器中，if语句通过以下两条指令执行

  cmp eax,ecx
  jnz xxxxxxx

• 也就是说，当序列号输入错误时，EAX中的值为0，跳转将被执行。
  如果我们把jnz这条指令修改为jz，那么整个程序的逻辑就会反过来。
  双击jnz这条指令，将其改为jz，单击”汇编”将其写入内存
  
  可以看到此时程序执行了相反的路径

• 上面只是在内存中修改程序，我们还需要在二进制文件中也修改相应的字节，这里考察VA与文件地址之间的关系

• 用LordPE打开.exe文件，查看PE文件的节信息
  
  根据VA与文件地址的换算公式：

  文件偏移地址 = VA - Image Base - 节偏移
              = 0x004010F9 - 0x00400000 - 0
              = 0x10F9

也就是说，这条指令在PE文件中位于10F9字节处，使用010Editer打开crack.exe，将这一字节的75(JNZ)`改为74(JZ)`，保存后重新执行，破解成功！

编写注册机

查找显示注册结果相关代码

通过查找字符串“good boy”等，我们可以找到显示注册结果的相关代码

查找注册码验证相关代码

因为检测密钥是否正确时会将结果返回到EAX寄存器中，因此，在检测密钥前必然会对EAX寄存器清空，由此我们可以找到注册码验证的相关代码。

根据注册码验证代码编写注册机

分析上图算法，按tab键转换为高级语言

for ( i = 0; i < v6; v12 = v10 )
  v10 = (v6 + v12) * lpStringa[i++];
if ( (v12 ^ 0xA9F9FA) == atoi(v15) )
  MessageBoxA(hDlg, aTerimaKasihKer, aGoodBoy, 0);

可以看出，生成注册码主要在for循环中完成，之后将生成的注册码与输入相比较，判断是否正确。
所以，只要能弄明白v6，v12，v10，v15的含义，我们就可以轻松的编写注册机。
打开ollybdg，在进入循环之前设下断点，动态调试程序

004010CC  |> /8B4D 10       |mov ecx,[arg.3]  //此时ecx为name
004010CF  |.  8B55 0C       |mov edx,[arg.2]  //edx为0x1908
004010D2  |.  03D3          |add edx,ebx      //edx加上name的长度（ebx）
004010D4  |.  0FBE0C08      |movsx ecx,byte ptr ds:[eax+ecx]  //ecx=61h
004010D8  |.  0FAFCA        |imul ecx,edx     //61h(a) * edx
004010DB  |.  40            |inc eax          //eax加1（初始为0）
004010DC  |.  894D 0C       |mov [arg.2],ecx
004010DF  |.  3BC3          |cmp eax,ebx      //循环是否结束

arg.3为输入的name，arg.2初始为0x1908，ebx为name的长度，eax每次循环加1直到等于长度
因此，我们可以对参数的含义进行解释如下

v12 = 6408;   //0x1908
v10 = 6408;   //0x1908
v6 = len(name);
v12 = input_serial;
for ( i = 0; i < v6; i++ ){
  v12 = v10；
  v10 = (v6 + v12) * lpStringa[i];
}
if ((v12 ^ 0xA9F9FA) == atoi(v15)){
  MessageBoxA(hDlg, aTerimaKasihKer, aGoodBoy, 0);
}

可见，v12^0xA9F9FA的结果即是正确的注册码，我们编写一个简单的程序帮助我们生成注册码：

#include <iostream>
#include<stdio.h>

using namespace::std;
int main(){
	int v12;
	int v10 = 6408;   //0x1908
	string name;
	cout << "请输入name:  ";
	cin >> name;
	int len = name.size();
	for(int i = 0; i < len+1; i++ ){
  		v12 = v10;
  		v10 = (len + v12) * name[i];
	}
 	cout<<"\n"<<"注册码为:  "<<(v12 ^ 0xA9F9FA)<<endl;
 	return 0;
}

计算出”testname”的对应注册码

注册成功！

实验二：软件反动态调试技术分析

对象

CrackMe1.exe 1641.0 KB
无保护措施：无壳、未加密、无反调试措施
使用OllyDbg对该程序进行调试时，程序会自动退出

要求

1. 分析CrackMe1.exe是如何通过父进程检测实现反OllyDbg调试的
2. 分析除父进程检测外，该程序用到的反动态调试技术

实验三：加花加密反调试技术分析

对象

CrackMe2.exe 9.00 KB
保护措施：部分加花、部分加密、简单反调试
根据(提示)[https://res.cloudinary.com/dozyfkbg3/raw/upload/v1553779403/%E8%BD%AF%E4%BB%B6%E7%A0%B4%E8%A7%A3/Crackme2%E6%8F%90%E7%A4%BA.docx]分析该程序

内容

1. 加壳脱壳深入理解
2. 尝试手动脱壳
3. 分析CrackMe2.exe中花指令
4. 分析CrackMe2.exe中的被加密的函数的功能
5. 分析CrackMe2.exe中的反调试手段
6. 分析CrackMe2.exe中混合的64位代码的功能