爆破vm代码关键点之某文本编辑辑xxxxEdit4.3.1(4480)的分析与爆破

查看 194|回复 10
作者:无闻无问   
官方介绍:身躯小巧,性能卓越,自定义功能完善,丰富的主题和脚本,完美的编码、大字符集字符显示,无论您是哪个级别的码农,它都会给您带来不一样的体验!此软件,未注册有30天左右的试用期,试用期满后,弹出未注册提示框,并且不能再使用软件。(如果下载尚在试用期,可调整系统时间,即可过期)


1.png (61.96 KB, 下载次数: 0)
下载附件
2020-11-14 11:42 上传

    一、分析前思考或准备:
    1.  重启验证,解决了它等于解决了注册问题。
    2.  关键代码被VM了,说明进入VM的地方即可能是关键的地方。
    3. 去除exe的重定位,防止随机基址影响分析(使PE工具CFF Explorer去除)。
    4.  X64dbg。
温馨提示:不同机器,不同版本X64dbg,文中部分内容可能不同!电脑内存要大,x64dbg这厮跟踪和分析数据特别吃内存……
    二、定位VM位置。
    1.内存布局中,找到VM段,下内存访问断点(同时注意记下vm段的基址)。然后运行程序,断在了这个VM段的地方。


2.png (47.79 KB, 下载次数: 0)
下载附件
2020-11-14 11:43 上传



3.png (34.14 KB, 下载次数: 0)
下载附件
2020-11-14 11:43 上传

    2.堆栈回溯,找VM入口(也可不用找)。在“调用堆栈”窗口中,找最近的一个用户模块的调用call。(如果堆栈显示较少,可右键,单击“显示可能的调用堆栈帧”显示更多调用)跟随过去,往下翻找(有点多)跳转到VM段的jmp大跳转……
应该是这里:


4.png (30.32 KB, 下载次数: 1)
下载附件
2020-11-14 11:44 上传

当然,也可在CPU窗口,右键,搜索-当前模块-命令,快键ctrl+shift+f,输入命令jmp  0x 00000001403C13AF即RIP暂停在VMP段处的地址。找到入口后,下好断点。
    3. 确定VM的出口,应该就是入口下方一大堆int3后的正常代码了。下好断点!


5.png (44.47 KB, 下载次数: 0)
下载附件
2020-11-14 11:46 上传

    4. 重复上面下vmp段内存断点的方法,找到第2、3次的VM入口点和出口点。分别是:


6.png (31.77 KB, 下载次数: 0)
下载附件
2020-11-14 11:47 上传

    三、确定程序注册的关键位置。
通过以上的操作知道,有3次进入VM段,说明这3个地方是作者不愿意破解者看到的,但哪一处才是重要的呢?我们既然3个地方出入口都下好了断点,重新运行一下,看看未注册提示框在哪一次出入VM的时候弹出,基本就可以确定那一次就是较为关键,可以优先分析突破的了(如果启动软件没有弹出到期未注册的提示框可以改系统时间让其弹出)。
    通过运行,可以发现,未注册过期提示框是在第2次VM出口后未进入第3次VM时弹出,由此基本可以确定关键的判断在第2次VM中了。切换断点窗口,禁用第1次出入口和第3次出入口的断点。仅保留第2次VM入口和出口的断点。
四、跟踪vm代码。
重新载入并运行程序,使之暂停在第2次VM入口点断点处,单步一次,进入VM中。切换到“跟踪”窗口,右键—启动运行跟踪,设置好跟踪文件保存位置。然后单击菜单“追踪”—“步进直到条件满足”。可将最大单步次数设置到最大。


7.png (44.83 KB, 下载次数: 0)
下载附件
2020-11-14 11:48 上传

设置好了,单击确定,然后静静等吧(时间取决于电脑性能)……


8.png (19.97 KB, 下载次数: 0)
下载附件
2020-11-14 11:49 上传

等到暂停在第2次VM出口的断点处,约3A14ED行记录。切换到“跟踪”窗口,右击,停止运行跟踪……在跟踪记录的结尾不远处,我们看到一个非常有趣的注册表键,这个键就是记录使用期的:[table][tr][td]  3A14DF  

宋体, 断点

冥界3大法王   

@无闻无问 @无闻无问  @无闻无问
不要成品 不要成品  不要成品 ,重要的事情说三次。
只求等价原装货。
yiwai2012   

写的很不错 学习了 不过这个排版看着头疼
tanyuan   

呃呃。。。
cpujazz   

大佬nb,手刚VM
wapjwsy   

大佬nb,手刚VM
无闻无问
OP
  


冥界3大法王 发表于 2020-11-14 12:40
@无闻无问 @无闻无问  @无闻无问
不要成品 不要成品  不要成品 ,重要的事情说三次。
只求等价原装货。{ ...

官网下,老大
鸭子咯咯哒~   

学习了。。
moive005   

学习一下,多谢大佬分享。
无闻无问
OP
  

师傅好吊,那个时间还没有学VM,现在已经炉火纯青了。差距越来越大。
您需要登录后才可以回帖 登录 | 立即注册

返回顶部