[Windows]Sublime Text 4143注册分析

查看 201|回复 11
作者:xqyqx   
看到论坛里已经有很多朋友分析过如何爆破它了,但好像还没有分析注册过程的
分析对象是x64的版本4143:
https://download.sublimetext.com/sublime_text_build_4143_x64_setup.exe
使用工具:
  • x64dbg
  • winhex
  • openssl

    寻找注册过程函数
    我们可以从关于对话框中的Unregistered入手


    win1.png (32.85 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:08 上传

    打开x64dbg,载入sublime_text.exe,运行,搜索=>当前模块=>字符串,过滤Unresgistered


    win2.png (147.92 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:08 上传

    双击来到代码段,向上查找,发现有一个跳转跳过Registered to,前面比较了[rsi+5]的值
    那么我们在此处下断点,找到[rsi+5]的地址,在此处下写入断点


    win3.png (562.23 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:08 上传



    win4.png (562.54 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:08 上传

    随便在网上找一组没被软件本身屏蔽的注册码(可以被服务器屏蔽),然后断开网络,将注册码输入,点击注册,断下来了,可以发现框出来的函数决定了是否将标志位设置为1


    win5.png (547.09 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:08 上传

    分析注册过程
    进入刚才那个函数,下断点,断开网络,输入假码注册:
    ----- BEGIN LICENSE -----
    52pojie
    Unlimited User License
    EA7E-8888
    88888888888888888888888888888888
    88888888888888888888888888888888
    88888888888888888888888888888888
    88888888888888888888888888888888
    88888888888888888888888888888888
    88888888888888888888888888888888
    88888888888888888888888888888888
    88888888888888888888888888888888
    ------ END LICENSE ------
    断下来了,我们可以发现函数最开始对[7FF6A2AC8670]往后0xA0个字节的每个字节异或FD,然后拼接出了一个der格式的rsa公钥


    win6.png (559 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:08 上传



    key.png (293.3 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:08 上传

    继续往后,可以发现这个函数前传递了我们输入的假码和公钥,很有可能是注册的关键函数,进去看看


    win7.png (588.19 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:08 上传

    函数中一共只有两个跳转,图中第一个被设置断点的函数前传递了EA7E,猜测可能是校验输入的产品编号是否正确
    而下面框出来的函数,很有可能是注册验证的函数,前面传递了rsa公钥、假码的前三行(注册信息)、以及假码的剩余部分(注册码),并且下面将eax的值传入esi,而下面有一个jmp跳过了一段不可能运行的代码xor esi,esi,说明程序是不希望esi的值为0的,此时我们观察寄存器,运行完“注册函数”后,eax的值为0,那么esi的值也将为0,此时我们将eax的值改为1试试,结果注册成功了,更加验证了那个函数是注册函数


    win8.png (600.24 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:08 上传

    进入注册函数,下断点,断开网络,再次输入假码
    可以看见函数最开始准备进行一个sha1运算


    win9.png (602.41 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:08 上传

    下面的一个决定函数返回值关键跳转前的函数,被传入了0x80,假码的剩余部分(注册码),以及一段16进制数据,我们尝试将假码的前三行(注册信息)进行sha1运算,恰好就是这段16进制数据,这个函数很有可能就在进行rsa验签


    win10.png (521.24 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:08 上传

    综上,可以逆推出注册码的生成过程:
    注册信息=>sha1哈希运算=>rsa私钥签名
    网验去除
    回到刚才设置[rcx+5]的地方,可以发现上面有一个判断会跳过本地注册验证,进入框出的函数内


    win11.png (551.4 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:08 上传

    发现了"/license_notification",“?n=”等字符串,应该就是网验了,把他们干掉就行


    win12.png (573.77 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:08 上传

    同时发现使用假码注册后一段时间会重新变成未注册,怀疑也是网验,搜索字符串“?n=”,果然还有一个"/check/",干掉就行


    win13.png (566.12 KB, 下载次数: 0)
    下载附件
    2022-12-24 16:09 上传

    修改方法
    1.直接爆破(sublime merge与之类似)
    首先去掉网验
    直接将刚刚签名函数的返回值强制设为1即可
    即将函数的开头修补为:
    mov eax,1
    retn
    然后输入任意符合格式的注册码即可
    2.替换公钥,制作注册机
    首先去掉网验
    用openssl生成一对der格式的公私钥(为了保证大小一致,e尽量也选17),用winhex将公钥全部异或FD,写入sublime_text.exe,然后还要注意程序由一处校验了rsa公钥的sha256的几位,将这些改成自己的公钥的sha256相应的几位即可


    sha256.png (548.16 KB, 下载次数: 0)
    下载附件
    2022-12-24 17:21 上传

    然后写个程序,将注册信息进行一个sha1的rsa签名即可(不能用中文用户名)


    keygen.png (86.86 KB, 下载次数: 0)
    下载附件
    2022-12-24 17:24 上传

    补个成功图(我看其他破解都不能显示username,以上两种方法均能显示username):


    success.png (37.61 KB, 下载次数: 0)
    下载附件
    2022-12-24 19:02 上传

    下载次数, 函数

  • xqyqx
    OP
      


    涛之雨 发表于 2022-12-24 23:07
    我选择patch时直接改,话说为什么没见到dll劫持通杀的

    其实文章里爆破那个思路我就拿大白做了个dll劫持,这个特征码同时支持text和merge,输入任意假码即可注册成功


    patch.png (37.66 KB, 下载次数: 0)
    下载附件
    2022-12-24 23:10 上传



    patch2.png (13 KB, 下载次数: 0)
    下载附件
    2022-12-24 23:10 上传

    xqyqx
    OP
      


    江男 发表于 2022-12-28 17:02
    跟着一步一步走,也没能走下来,哎~
    第一处,去除网验是把跳转nop掉?为什么我没关闭网络的情况下也没执行 ...

    要去除网验的话其实直接把那个url字符串改成空就行了
    要修改返回值的注册函数是这个:7FF6A29F678D,也就是将esi的值置为1


    win8.png (600.24 KB, 下载次数: 0)
    下载附件
    2022-12-28 18:58 上传

    shengchiqie   

    谢谢分享,学习了
    jiangzhikuan   

    感谢分享~
    wkxq   

    分析的很详细!
    wgz001   

    学习了
    666
    忆江南   

    非常感谢楼主的分享!周末快乐!
    Toast   

    感谢楼主的分享!周末快乐!
    MagicalYu   

    谢谢分享,学习了
    您需要登录后才可以回帖 登录 | 立即注册

    返回顶部