 |
马甲透视SVKP 1.3x 之Registry Medic2.98
http://www.hacker.com.cn/
2008-6-2 2:12:39
黑客防线
马甲透视SVKP 1.3x 之Registry Medic 【目 标】: Registry Medic 2.98 【工 具】:OllyDbg 1.1b(DIY版) 【任 务】:不脱马甲,巧妙注册 【操作平台】:WINDOWS 2000 ADV sp2 【作 者】:loveboom[DFCG] 【相关链接】:www.skycn.com(好像是这里 |
安装后,先看看情况,发现没注册成功有提示,看到这里我高兴了一会儿,但很快就让我苦了,看完大概信息后,像上篇一样,看看它的个头,应该又是delphi的程序,用peid扫描一下,报告说是svkp1.3x加的壳,我本来再用上篇的方法,打开DEDE选转存进程,打开进程窗口了,我还以为我的眼有问题呢,找呀找,怎么就是看不到Registry Medic的进程呢(这里请教高手,在2k下面用什么方法隐藏进程的?不解ing.)这样我的A计划就落空了。看来SVKP的壳果然有“水平”,但我们就此停手吗?当然不是了,要不我下面怎么凑到一篇文章呀。用peid的扫描进程功能,看看能不能看到RM(Register Medic)的进程同时想证实它是用DELPHI编写的,结果当然是没有了。看到这里我苦笑两声,不会吧,这个壳这么利害。第二次有打退堂豉的心里了,好险呀!怎么办公室里“下雨”了(“经FBI证实是“吓”出汉”).这样B计划也行不通,还好我手里还有好“武器”,用OD的Attach看看终于看到目标了,也许这里有朋友会说,直接attach不说行了。我不推荐的说,因为有时attach后就会发现怎么目标不能动了.这样的话,你想输入注册信息也不给。所以我换另外一种方法,用OD加载,并让RM运行,运行后看看cpu窗口里,怎么这么黑(我设置背影为黑色),什么代码也没有呀,怎么办呢,只要能调试就可能有办法嘛(引用tDasm大侠的名言)。现在按ALT+V+T也就是打开线程窗口: Threads Ident Entry Data block Last error Status Priority User time System time 0000062C 00559000 7FFDE000 ERROR_NOT_ENOUGH_M Active 32 + 0 1.3593 s 0.2656 s 00000630 77E67532 7FFDC000 ERROR_SUCCESS (000 Active 32 + 0 0.0000 s 0.0000 s 0000072C 77E67532 7FFDD000 ERROR_SUCCESS (000 Active 32 + 0 0.0000 s 0.0000 s 00000744 77E67532 7FFDB000 ERROR_SUCCESS (000 Active 32 + 0 0.0000 s 0.0000 s 在第一栏上,也就是那个红色的(因为每次打开的值肯定是不同的,所以你看到值和我贴出的不同是正常现象),双击,这样来到了系统Dll中: 77F840AF C2 2800 RETN 28 //来到这里 77F840B2 > B8 2B000000 MOV EAX,2B 77F840B7 8D5424 04 LEA EDX,DWORD PTR SS:[ESP+4] 现在右键-->view->点module ‘RegMedic’这样就到了程序的“地盘”,现在AC分析一下代码先,分析完毕,流程清楚很多了。再次右键查找所有字符串参考(怎么弄,晕倒#!@%*&),打开参考后我们就找注册失败的字符串,这样找到这里: 004E2301 |. BA 14254E00 MOV EDX,RegMedic.004E2514 // ASCII "Registration failed. Please try again!" 现在向上找到入口点(不是程序的入口点哦): 004E2294 /$Content$nbsp; 55 PUSH EBP //这里就是起源 004E2295 |. 8BEC MOV EBP,ESP 004E2297 |. B9 05000000 MOV ECX,5 004E229C |> 6A 00 /PUSH 0 //一般Delphi的程序看到这样的东西就可以知道多数我们按button的时候它会这里的 004E229E |. 6A 00 |PUSH 0 004E22A0 |. 49 |DEC ECX 004E22A1 |.^ 75 F9 \JNZ SHORT RegMedic.004E229C 004E22A3 |. 51 PUSH ECX 看到了起源就在起源处下断. 现在进入RM并进行注册,按注册后程序就会停下了: 004E22A4 |. 53 PUSH EBX 004E22A5 |. 8955 F8 MOV DWORD PTR SS:[EBP-8],EDX // ebp-8=假码012345678901234567890123456789012 004E22A8 |. 8945 FC MOV DWORD PTR SS:[EBP-4],EAX // ebp-4=’bmd2chen@tom.com’ 004E22AB |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] // eax=bmd2chen@tom.com 004E22AE |. E8 291EF2FF CALL RegMedic.004040DC 004E22B3 |. 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8] // 假码入eax 004E22B6 |. E8 211EF2FF CALL RegMedic.004040DC 004E22BB |. 33C0 XOR EAX,EAX 004E22BD |. 55 PUSH EBP 004E22BE |. 68 FF244E00 PUSH RegMedic.004E24FF 004E22C3 |. 64:FF30 PUSH DWORD PTR FS:[EAX] 004E22C6 |. 64:8920 MOV DWORD PTR FS:[EAX],ESP 004E22C9 |. E8 06AAFAFF CALL RegMedic.0048CCD4 004E22CE |. 8D55 F4 LEA EDX,DWORD PTR SS:[EBP-C] 004E22D1 |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] // eax=’bmd2chen@tom.com’ 004E22D4 |. E8 9F66F2FF CALL RegMedic.00408978 004E22D9 |. 8D55 F0 LEA EDX,DWORD PTR SS:[EBP-10] 004E22DC |. 8B45 F8 MOV EAX,DWORD PTR SS:[EBP-8] // eax=假码 004E22DF |. E8 9466F2FF CALL RegMedic.00408978 004E22E4 |. 8B45 F0 MOV EAX,DWORD PTR SS:[EBP-10] 004E22E7 |. E8 3C1CF2FF CALL RegMedic.00403F28 // 获取假码长度 004E22EC |. 83F8 21 CMP EAX,21 // 如果够21(DEC 33)位就跳 004E22EF |. 74 52 JE SHORT RegMedic.004E2343 // 这是第一条路,注册码为21(DEC 33)位的情况,我第一次也就跟它 004E22F1 |. 8B45 F0 MOV EAX,DWORD PTR SS:[EBP-10] // eax=假码,这里是第二次路 004E22F4 |. E8 2F1CF2FF CALL RegMedic.00403F28 // 这里取假码长度 004E22F9 |. 83F8 27 CMP EAX,27 004E22FC |. 74 45 JE SHORT RegMedic.004E2343 // 如果长度为27的话就跳,也就是说注册长度只能为22或27要不就over 004E22FE |. 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14] 004E2301 |. BA 14254E00 MOV EDX,RegMedic.004E2514 // ASCII "Registration failed. Please try again!" 004E2306 |. E8 351AF2FF CALL RegMedic.00403D40 004E230B |. 6A 30 PUSH 30 004E230D |. 8D55 E8 LEA EDX,DWORD PTR SS:[EBP-18] 004E2310 |. A1 E0C94F00 MOV EAX,DWORD PTR DS:[4FC9E0] 004E2315 |. 8B00 MOV EAX,DWORD PTR DS:[EAX] 004E2317 |. E8 94C8F6FF CALL RegMedic.0044EBB0 004E231C |. 8B45 E8 MOV EAX,DWORD PTR SS:[EBP-18] 004E231F |. E8 C81DF2FF CALL RegMedic.004040EC 004E2324 |. 50 PUSH EAX 004E2325 |. 8B45 EC MOV EAX,DWORD PTR SS:[EBP-14] 004E2328 |. E8 BF1DF2FF CALL RegMedic.004040EC 004E232D |. 50 PUSH EAX 004E232E |. A1 E0C94F00 MOV EAX,DWORD PTR DS:[4FC9E0] 004E2333 |. 8B00 MOV EAX,DWORD PTR DS:[EAX] 004E2335 |. 8B40 24 MOV EAX,DWORD PTR DS:[EAX+24] 004E2338 |. 50 PUSH EAX 004E2339 |. E8 7250F2FF CALL RegMedic.004073B0 004E233E |. E9 A1010000 JMP RegMedic.004E24E4 004E2343 |> 8B45 F0 MOV EAX,DWORD PTR SS:[EBP-10] // 假码入eax 004E2346 |. E8 DD1BF2FF CALL RegMedic.00403F28 // 获取假码长度 004E234B |. 83F8 27 CMP EAX,27 004E234E |. 75 64 JNZ SHORT RegMedic.004E23B4 // 如果不等于27位就跳 004E2350 |. BB 01000000 MOV EBX,1 004E2355 |. 8D45 EC LEA EAX,DWORD PTR SS:[EBP-14] 004E2358 |. E8 4B19F2FF CALL RegMedic.00403CA8 004E235D |. 83FB 23 CMP EBX,23 004E2360 |. 7D 26 JGE SHORT RegMedic.004E2388 004E2362 |> 8D45 E4 /LEA EAX,DWORD PTR SS:[EBP-1C] 004E2365 |. 50 |PUSH EAX 004E2366 |. B9 05000000 |MOV ECX,5 004E236B |. 8BD3 |MOV EDX,EBX 004E236D |. 8B45 F0 |MOV EAX,DWORD PTR SS:[EBP-10] 004E2370 |. E8 BB1DF2FF |CALL RegMedic.00404130 004E2375 |. 8B55 E4 |MOV EDX,DWORD PTR SS:[EBP-1C] // 取假码的前5位 004E2378 |. 8D45 EC |LEA EAX,DWORD PTR SS:[EBP-14] …… 继续到这里: 004E23AC |. 8B55 EC MOV EDX,DWORD PTR SS:[EBP-14] 004E23AF |. E8 8C19F2FF CALL RegMedic.00403D40 004E23B4 |> 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] // 用户名入EAX,EAX=’lovebom@tom.com’ 004E23B7 |. E8 6C1BF2FF CALL RegMedic.00403F28 // 获取用户名长度 004E23BC |. 83F8 06 CMP EAX,6 // 判断用户名长度是否小于6 004E23BF |. 0F8C F0000000 JL RegMedic.004E24B5 // 是就跳下去,下面会告诉你,你的用户名长度必须大于6位 004E23C5 |. 8B45 F0 MOV EAX,DWORD PTR SS:[EBP-10] // 假码入eax 004E23C8 |. E8 5B1BF2FF CALL RegMedic.00403F28 // 再次取假码长度 004E23CD |. 83F8 21 CMP EAX,21 // 判断假码长度是否小于21 004E23D0 |. 7C 1D JL SHORT RegMedic.004E23EF 004E23D2 |. 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] // 如果不小于21的话就不跳 004E23D5 |. E8 CE0A0000 CALL RegMedic.004E2EA8 //这里可以跟进看看,不过不是很要紧 进入后,我大概看了一下,没什么好东西: 004E2EAB |. 83C4 F4 ADD ESP,-0C 004E2EAE |. 8945 FC MOV DWORD PTR SS:[EBP-4],EAX // ebp-4=’bmd2chen@tom.com’ 004E2EB1 |. 8B45 FC MOV EAX,DWORD PTR SS:[EBP-4] 004E2EB4 |. E8 2312F2FF CALL RegMedic.004040DC 004E2EB9 |. 33C0 XOR EAX,EAX 004E2EBB |. 55 PUSH EBP 004E2EBC |. 68 482F4E00 PUSH RegMedic.004E2F48 004E2EC1 |. 64:FF30 PUSH DWORD PTR FS:[EAX] 004E2EC4 |. 64:8920 MOV DWORD PTR FS:[EAX],ESP 004E2EC7 |. C645 FB 00 MOV BYTE PTR SS:[EBP-5],0 004E2ECB |. B2 01 MOV DL,1 004E2ECD |. A1 30FC4000 MOV EAX,DWORD PTR DS:[40FC30] 004E2ED2 |. E8 7900F2FF CALL RegMedic.00402F50 004E2ED7 |. 8945 F4 MOV DWORD PTR SS:[EBP-C],EAX 004E2EDA |. 33C0 XOR EAX,EAX 004E2EDC |. 55 PUSH EBP 004E2EDD |. 68 2B2F4E00 PUSH RegMedic.004E2F2B 004E2EE2 |. 64:FF30 PUSH DWORD PTR FS:[EAX] 004E2EE5 |. 64:8920 MOV DWORD PTR FS:[EAX],ESP 004E2EE8 |. BA 602F4E00 MOV EDX,RegMedic.004E2F60 // ASCII "Cindy J. Leonheardt" 004E2EED |. 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] 004E2EF0 |. 8B08 MOV ECX,DWORD PTR DS:[EAX] 004E2EF2 |. FF51 34 CALL DWORD PTR DS:[ECX+34] 004E2EF5 |. BA 7C2F4E00 MOV EDX,RegMedic.004E2F7C // ASCII "[DJ]neo" 004E2EFA |. 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] 004E2EFD |. 8B08 MOV ECX,DWORD PTR DS:[EAX] 004E2EFF |. FF51 34 CALL DWORD PTR DS:[ECX+34] 004E2F02 |. 8B55 FC MOV EDX,DWORD PTR SS:[EBP-4] // 用户名再入edx中 004E2F05 |. 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C] 004E2F08 |. 8B08 MOV ECX,DWORD PTR DS:[EAX] …… 看完后回到这里继续: 004E23DA |. 84C0 TEST AL,AL // 这里就是比较了 004E23DC |. 75 11 JNZ SHORT RegMedic.004E23EF // 这里不能跳一跳就over了 004E23DE |. 8B55 F4 MOV EDX,DWORD PTR SS:[EBP-C] // 没跳的话就来这里继续,用户名入EDX 004E23E1 |. B8 44254E00 MOV EAX,RegMedic.004E2544 ☆004E23E6 |. E8 291EF2FF CALL RegMedic.00404214 // 这个CALL用于判断用户名里有没有字符"@",没有就over, 跟进看看 00404214 /$Content$nbsp; 85C0 TEST EAX,EAX 00404216 |. 74 40 JE SHORT RegMedic.00404258 00404218 |. 85D2 TEST EDX,EDX // 比较有没有输入用户名,没有就跳去over处 0040421A |. 74 31 JE SHORT RegMedic.0040424D 0040421C |. 53 PUSH EBX 0040421D |. 56 PUSH ESI 0040421E |. 57 PUSH EDI 0040421F |. 89C6 MOV ESI,EAX 00404221 |. 89D7 MOV EDI,EDX // 用户名入edi 00404223 |. 8B4F FC MOV ECX,DWORD PTR DS:[EDI-4] // 用户名长度入ecx 00404226 |. 57 PUSH EDI // 用户名入栈 00404227 |. 8B56 FC MOV EDX,DWORD PTR DS:[ESI-4] 0040422A |. 4A DEC EDX 0040422B |. 78 1B JS SHORT RegMedic.00404248 0040422D |. 8A06 MOV AL,BYTE PTR DS:[ESI] 0040422F |. 46 INC ESI 00404230 |. 29D1 SUB ECX,EDX 00404232 |. 7E 14 JLE SHORT RegMedic.00404248 00404234 |> F2:AE /REPNE SCAS BYTE PTR ES:[EDI] // 判断用户名里有没有@字符没有就完了 00404236 |. 75 10 |JNZ SHORT RegMedic.00404248 // 这里跳就完了 00404238 |. 89CB |MOV EBX,ECX 0040423A |. 56 |PUSH ESI 0040423B |. 57 |PUSH EDI // push @字后面的字符串 0040423C |. 89D1 |MOV ECX,EDX 0040423E |. F3:A6 |REPE CMPS BYTE PTR ES:[EDI],BYTE PTR DS> 00404240 |. 5F |POP EDI 00404241 |. 5E |POP ESI 00404242 |. 74 0C |JE SHORT RegMedic.00404250 |
所属分类: 加密解密 所属专题:
相关黑客文章
- 2008-04-05[黑客编程] 《加密解密 技术内幕》汇编中参..
- 2008-04-05[黑客编程] 《加密解密 技术内幕》如何通过..
- 2008-04-03[黑客编程] 《加密解密 技术内幕》 COM 原..
- 2008-04-03[黑客编程] 《加密解密 技术内幕》 完全用..
- 2008-04-03[黑客编程] 《加密解密 技术内幕》在Visua..
- 2008-04-03[黑客编程] 《加密解密 技术内幕》 在Visu..
- 2008-04-03[黑客编程] 《加密解密 技术内幕》8.8 如何..
- 2008-04-02[黑客编程] 《加密解密 技术内幕》8.7 未公..
- 2008-04-02[黑客编程] 《加密解密 技术内幕》8.6 关于..
- 2008-04-02[黑客编程] 《加密解密 技术内幕》8.5 关于..
