Geekly Articles each Day

TurboLaunch 5.1.3セキュリティ研究

TurboLaunch 5.1.3を簡単に保護するか、3つの方法で破壊します(パッチ、スニファー、keygen)。



対象 :TurboLaunch 5.1.3
ツール :OllyDbg 1.10、Dup2(パッチ作成用)、OllyDbg用CodeRipperプラグイン、Delphi 7(keygen作成用)

退屈な夜だったので、「掘り下げて」みたいプログラムを探していました。 最初に、1バイトを編集してAWBackuper 4.0からトライアルを削除しましたが、それは非常に面白くないように思われ、それから長い間(約4年)コンピューターにあったプログラムを思い出しました-これはSavard SoftwareのTurboLaunchでした。 Keygenが存在します(おそらく10程度)が、それらのいずれにも小さなニュアンスは見られません(全体的には重要な役割を果たしませんが)、それについては少し後になります。

そして、始めましょう...

パッチ

初心者にとっては一番簡単だからです。
犠牲者をOllyDbgにロードします(その後、olya、ollyのみ)。 開始してnag-windowが表示されたら、[登録コードを入力]をクリックします
画像

名前(DimitarSerg)と「正直に購入した」コード1234567890を入力します
非常に奇妙ですが、次のメッセージが表示されます。
画像

テキスト文字列でメッセージテキストを探しましょう。 RMB->検索->すべての参照テキスト文字列。

私たちは見つけます:
画像

もう少し高く、00529CD3からのジャンプ 、つまりそこから来ました。
素晴らしい、そこにあるものを見てみましょう:

「クラシック」:
CALL TurboLau.0053AEB0
TEST AL,AL
JE @TurboLau_00529D99

したがって、チェックがあり、テストの結果に応じてジャンプします。
以下の行があります。

00529D1A |. BA F49D5200 MOV EDX,TurboLau.00529DF4 ; ASCII "REGISTERED TO: "
そしてそのような:
00529D3B |. 68 0C9E5200 PUSH TurboLau.00529E0C ; ASCII "Thank you for registering! Be sure to check out our web site for updated versions of TurboLaunch and other programs written by "

それでは、00529CCCをご覧ください|。 E8 DF110100 CALL TurboLau.0053AEB0
別の呼び出しがあり、登録手順に類似した何かの中にあります。 さて、それなしでできるのに、なぜ検証手順が必要なのでしょうか?!

そのため、540628での登録手順の最初に、「クラシック」パッチを作成します
xor eax,eax // EAX
inc eax // EAX = EAX +1
Retn // return

変更を保存します。 RMB->実行可能ファイルにコピー->すべての変更->ファイルを保存します

TurboLaunch1.exeなどの新しい名前で保存します
喜んでいますが、見返りにこれを取得します:
画像

ああああ。 整合性チェック。 まあ、神は彼女と一緒にいる:
デバッガーでプログラムをリロードし、ブレークポイントを設定してMessageBoxA関数を呼び出します
bp MessageBoxA

「メインスレッドの呼び出しスタック」ウィンドウで、どこから来たのかを確認します。
画像

RMB-> Show Callを実行し、アドレスで検索します
00450CA4 |. E8 8F75FBFF CALL <JMP.&user32.MessageBoxA> ; \MessageBoxA

上にスクロールして確認してください:
00450C7B |> \84DB TEST BL,BL
00450C7D |. 74 60 JE SHORT TurboLau.00450CDF

もう一度確認してください。
条件付き遷移を無条件に変更し(JE-> JMP)、変更を保存して開始します。 やあ、プログラムが始まる。

購入を求めるウィンドウが表示されなくなったため、[About]ウィンドウに「Registered to」と表示されます。
一般的に、誰かのために登録された、それは良いことです。

Dup2またはuPPPでパッチを作成しても問題はありません。

シリアル番号を検索します。

上記のように、正しい/間違ったシリアル番号に関するメッセージは、結果に応じて形成されます

00529CD1 |. 84C0 TEST AL,AL

そして、上記の行は次のとおりです。
00529CCC |. E8 DF110100 CALL TurboLau.0053AEB0
生成手順全体がここで行われるのは論理的です...

私たちは見ます:
0053AEB0 /$ 8B90 68010000 MOV EDX,DWORD PTR DS:[EAX+168]
0053AEB6 |. 8B80 64010000 MOV EAX,DWORD PTR DS:[EAX+164]
0053AEBC |. E8 67570000 CALL TurboLau.00540628
0053AEC1 \. C3 RETN

0053AEB0にブレークポイントを設定し、名前/登録番号を入力すると、ここで停止し、入力されたデータが読み取られていることを確認します。つまり、最も興味深いのはCALL TurboLau.00540628です。

F7に沿ってトレースし、読み取り、いくつかの変換、他の操作などを確認します。 など、その結果、この手順に注意と忍耐の数分を与えた場合、命令の実行中に

00540758 |. 8B45 F4 MOV EAX,DWORD PTR SS:[EBP-C]

表示されます:
スタックSS:[0012F1AC] = 00C66E8C、(ASCII「D1F74F-5L3GRT-3WDULJ」)
うーん、正しいシリアル番号ですか?! DimitarSergという名前とシリアル番号D1F74F-5L3GRT-3WDULJを試します。このプログラムは買収を祝福します。

シリアル番号は平文で表示されるため、スニファーシリーズはバタンと書かれています。00540758の直後にあるアドレスのEAXレジスター、つまり0054075Bを調べるだけです。

スニファーシリーズの記述方法については説明しませんが、AT4REチームにはSerial Sniffer Creatorのようなツールがあり、使用できます。次のようになります。
画像

しかし、Unicodeでシリアル番号を盗聴せず、インターフェイスに頻繁に不具合があるため、お勧めしません。
スニファーを作成するためのいくつかの例(テンプレート)が公開されているため、アセンブラーまたはDelphiは手作業で「完成」します。

Keygen

もちろん、最も興味深いのはもちろん、keygenを書くことです。
上で説明したように、生成手順全体は00540628から始まります
登録データ、トレースを入力します。 この場所に注意してください:
画像

この呼び出しをご覧ください。 名前、計算に対して実行されるいくつかの操作が表示されます。 計算の最初の部分が行われ、その結果は少し後で使用されることを事前に言います。 私はアセンブラの「素晴らしい仕様」ではないので、CodeRipperプラグインを使用します。

2つのkeygenメソッドを示します。Delphiのインラインアセンブラコードと、pascalの完全に翻訳されたコードです。

Copy Source | Copy HTML
  1. プロシージャ GenClick( ダミー :ポインタ;送信者:PControl);
  2. var NameBuffer、SerNum:ストリング;
  3. len、sn_tmp: integer ;
  4. 始める
  5. Nm.Text <> ''の 場合、開始
  6. NameBuffer:= Nm.Text;
  7. len:=長さ(Nm.Text);
  8. ASM
  9. プッシュ
  10. mov ECX、NameBuffer
  11. mov EBX、len
  12. @ TurboLau_0053F42E:
  13. XOR EAX、EAX
  14. MOV AL、BYTE PTR DS:[ECX]
  15. SHL EAX、8
  16. XOR EDX、EAX
  17. MOV EAX、8
  18. @ TurboLau_0053F43C:
  19. テストDH、080h
  20. JE @ TurboLau_0053F44B
  21. EDX、EDXを追加
  22. XOR EDX、01021h
  23. JMP @ TurboLau_0053F44D
  24. @ TurboLau_0053F44B:
  25. EDX、EDXを追加
  26. @ TurboLau_0053F44D:
  27. 12月
  28. JNZ @ TurboLau_0053F43C
  29. INC ECX
  30. 12月 ebx
  31. JNZ @ TurboLau_0053F42E
  32. MOV EAX、EDX
  33. EAX、0FFFFh
  34. mov sn_tmp、EAX
  35. ポパド
  36. 終了
  37. Edit.text:= Int2Hex((sn_tmp)、4);
  38. 終わり
  39. 他に
  40. Edit.Text:= '名前を入力してください' ;
  41. 終了 ;


手順を個別に持ってきたのはなぜですか? 私にとっては簡単だった、私はすぐにリッピングされたコードの正しい動作を見ることができます。 たとえば、名前がDimitarSergの場合sn_tmp = E330

さて、もう一度、技術的な問題:アドレス5406BCから540752までのCodeRipperプラグインを使用します(これは大きな生成サイクルであることがわかります)。 私が注意したいのは、いくつかの呼び出しです。 CodeRipperは「; <= Jump / Call Address Not Resolved」と書き込みます。それらのほとんどは不要で、削除できますが、ここでは
005406EE |。 E8 F52DECFF || CALL TurboLau.004034E8
以下の理由により、この呼び出しは削除できません。

Copy Source | Copy HTML
  1. @ TurboLau_004034E8:
  2. プッシュEBX
  3. XOR EBX、EBX
  4. IMUL EDX、DWORD PTR DS:[EBX + 0542008h]、08088405h
  5. INC EDX
  6. MOV DWORD PTR DS:[EBX + 0542008h]、EDX
  7. MUL EDX
  8. MOV EAX、EDX
  9. POP EBX
  10. Retn


これは(当時は知りませんでしたが)これは標準のランダムであり、DWORD PTR DS:[EBX + 0542008h](sn_tmpもあります)-これはRandomSeedです。

そして、リッピングされたコードでは、別のプロシージャとして呼び出すのではなく、単に呼び出しの場所にコピーするだけです。フラグメントを次に示します。
Copy Source | Copy HTML
  1. @ TurboLau_005406E9:
  2. MOV EAX、021h
  3. //-> CALL @ TurboLau_004034E8; <=ジャンプ/解決されないアドレスを呼び出す
  4. //コンテンツを呼び出します
  5. プッシュEBX
  6. XOR EBX、EBX
  7. IMUL EDX、sn_tmp、08088405h
  8. INC EDX
  9. Mov sn_tmp、edx
  10. MUL EDX
  11. MOV EAX、EDX
  12. POP EBX
  13. MOV EBX、EAX
  14. INC EBX
  15. MOV AL、BYTE PTR SS:[EBP-0Dh]
  16. XOR AL、0FFh
  17. EAX、0FFh
  18. EBX、EAXを追加
  19. Dec Esi
  20. JNZ @ TurboLau_005406E9


私もラインに注意を払いたい
00540715 |。 BA 1C085400 | MOV EDX、TurboLau.0054081C; ASCII「GF2DSA38HJKL7M4NZXCV5BY9UPT6R1EWQ40I1CP7Z7GOEPQLZ」

登録コードは直接依存しているため、「キー」と呼ぶことができます。 アドレス0054081Cの文字列へのポインタがedxレジスタに書き込まれます。
Asmov挿入と純粋なPascalを備えたDelphi keygenの完全なソースコードが添付されており、そこには複雑なものは何もありません。

さて、そして私が物語を始めたのは、これらすべての世代の後、私たちは止まらず、踏みつけていくつかの名前/ニックネームなどを見る

当然、これは原始的なブラックリストです。
Copy Source | Copy HTML
  1. @ TurboLau_005407C4:
  2. MOV EAX、DWORD PTR SS:[EBP-4]; ブラックリスト検証サイクル
  3. MOV EDX、DWORD PTR DS:[ESI]
  4. CALL @ TurboLau_00405030
  5. JNZ @ TurboLau_005407D4
  6. XOR EBX、EBX
  7. JMP @ TurboLau_005407DA
  8. @ TurboLau_005407D4:
  9. ESIを追加 、4
  10. 12月エディ
  11. JNZ @ TurboLau_005407C4


Nitrogen / TSRh TeaM、REVENGE Crew、FiGHTiNG FOR FUN、TEAM VIRILITYなどの興味深いニックネーム... ヒントが得られると思います。
合計44名。 問題なく手動でコピーアンドペーストし、型の文字列配列にハンマーで打ち込む
BlackList:文字列=(...)の配列[0..43]。生成時に、目的の名前がブラックリストにあるかどうかを確認します。 (ファイルBlackList.txtも添付します)。

「完全な幸福」のために、asmを挿入したコードをpascalに変換します。

Copy Source | Copy HTML
  1. // ...
  2. var
  3. ブラックリスト:文字列の配列[ 0 .. 43 ] =( 'zircon / pc97'、 'freeware'、 'registered user'、 <br/> 'NuZ''c97'、 'Registered'、 'kOUGER![CB4] '、' Cosmo Cramer 1997 '、' Cosmo Cramer MJ13 '、 <br/> ' MJ13 Forever '、' cH / Phrozen Crew '、' Everybody '、' iCEMAN [uCF] '、' pank '、' Henry Pan '、 <br/> 'iTR [CORE]'、 'mpbaer'、 'C​​ORE / JES'、 'C​​hen Borchang'、 'n03l'、 'ODIN 97'、 'lgb / cORE''97'、 <br/> 'MCC '、' blastsoft '、' CORE / DrRhui '、' Vizion / CORE '、' TEAM ViRiLiTY '、' Nambulu '、' NuZPc97 '、 <br/> ' Weazel '、' Phrozen Crew '、' TEAM VIRILITY '、' x3u '、' Reg Name '、' FiGHTiNG FOR FUN '、' RaSCaL [TMG] '、 <br/> ' Nitros ^ 21 '、' TEAM TSRH '、' ttdown.com '、' Nitrogen / TSRh TeaM '、'無料プログラム '、' REVENGE Crew '、 <br/> ' Vladimir Kasho '、' Alexej Melnikov '、' Seth W. Hinshaw ' ;
  4. // ...
  5. プロシージャ生成;
  6. ヴァール
  7. NameBuffer、SerNum: ストリング ;
  8. EDX、EAX、len、 iab 、tmp1: 整数 ;
  9. テキスト名: PChar ;
  10. 始める
  11. len:= GetWindowTextLengthA( TxtNameHwnd );
  12. len> 1の場合
  13. 始める
  14. {名前入力からテキストを取得}
  15. GetMem( テキスト名、len + 1 );
  16. GetWindowTextA( TxtNameHwnd、PAnsiChar(テキスト名 )、len + 1 );
  17. {シリアルを生成}
  18. KeyStr:= 'GF2DSA38HJKL7M4NZXCV5BY9UPT6R1EWQ40I1CP' ;
  19. NameBuffer:= String( Textname );
  20. SerNum:= '' ;
  21. ランダム化
  22. EDX:= 0 ;
  23. for i := 1からlen do
  24. 始める
  25. EDX:= EDX xor( ord(NameBuffer [i] )shl 8 );
  26. EAX:= 8 ;
  27. 一方、EAX <> 0
  28. 始める;
  29. if( EDX shr 8 and $ 0FF )> = $ 80
  30. それから
  31. EDX:= EDX shl 1 xor $ 1021
  32. 他に
  33. EDX:= EDX shl 1 ;
  34. dec( EAX );
  35. 終わり;
  36. 終わり;
  37. RandSeed:= EDXおよび$ 0FFFF;
  38. i := 1 ;
  39. i <> $ 13 do
  40. 始める
  41. a := 0 ;
  42. b := $ 13 - i ;
  43. b > 0の場合
  44. 始める
  45. 一方、 b > 0
  46. 始める
  47. a :=ランダム( 33 );
  48. inc( a );
  49. i > lenの場合
  50. tmp1:= ord( NameBuffer [i mod len]
  51. 他に
  52. tmp1:= ord( NameBuffer [i] );
  53. tmp1:= tmp1 xor $ 0FFおよび$ 0FF;
  54. a := a + tmp1;
  55. dec( b );
  56. 終わり;
  57. 終わり;
  58. 一方 > 21ドル
  59. 始める
  60. a := a-$ 21 ;
  61. 終わり;
  62. SerNum:= SerNum + KeyStr [ a ];
  63. inc( i );
  64. 終わり;
  65. 挿入( '-'、SerNum、7 );
  66. 挿入( 「-」、SerNum、14 );
  67. iの場合 := 0から43
  68. 始める
  69. NameBuffer = Black List [ i ]の場合
  70. 始める
  71. SerNum:= 'BLACKLISTED NAME' ;
  72. 休憩
  73. 他の終わり;
  74. 終わり;
  75. {結果を表示}
  76. SetWindowTextA( TxtSerialHwnd、PChar(SerNum ));
  77. FreeMem( テキスト名、len + 1 );
  78. 終わり
  79. その他
  80. { 表示エラー}
  81. SetWindowText( TxtSerialHwnd、 '不十分な文字..' );
  82. 終わり;

その結果、私はそのようなkeygenを得ました:
画像

サイズ36.5 Kb(アンパック)。このような小さなkeygenサイズは、DelphiのライブラリであるKOL(Key Objects Library)を使用して実現されます。WinApiを使用してロゴを貼り付け、xm / v2mトラックを追加することもできますkeygen and did)、しかし、私のアドバイスは-Delphiでkeygenを記述する場合はVCLを使用しないでください... 400kb以上-これはkeygenのサイズではありません!
純粋なアセンブラーが好きな人-Masm(Fasm、Tasm)を手に。

これが私の話の終わりであり、誰かがこの記事から何かを得ることを願っています。

Source: https://habr.com/ru/post/J132843/

More articles:


All Articles