抖音爬蟲教程-逆向分析-使用關鍵字進行功能破解
備注
只是學習交流討論,切勿其它用途,
前言
此次分享以實際案例進行講解,涉及:
- 暴力破解
- 真實注冊碼尋找
- 注冊機撰寫
- 去除軟體暗樁等知識點
工具準備
x64dbg
Windows 的開源二進制除錯器,用于惡意軟體分析和對沒有源代碼的可執行檔案進行反向工程,
- 官網
https://x64dbg.com/
Winhex
WinHex 本質上是一個通用十六進制編輯器,專為最低級別的資料處理而設計,作為計算機系統犯罪學(取證)調查的多功能工具,用于資料恢復和 IT 安全 - 在日常使用和緊急情況中,
- 官網
http://www.x-ways.net/winhex/index-m.html
keymaker2
KeyMake是一款功能強大的注冊機撰寫器,該軟體采用匯編模板為核心,可方便用戶省去復雜的指令演算法,從而快速制作出所需的注冊機!
- 下載地址
https://tool.pediy.com/index-detail-103.htm
OllyDbg
Ollydbg是一款專業的反匯編除錯工具,主要用于一些應用程式的編譯操作,軟體最擅長分析函式程序、回圈陳述句、API呼叫、函式中引數的數目和import表等等
- 下載地址
https://tool.pediy.com/index-detail-1.htm
暴力破解
此節講解如何通過修改匯編代碼來跳程序式驗證部分(俗稱打補丁)的形式來過掉程式的最終校驗
- 所用工具:
x64dbg
外加中文搜索插件(簡體中文關鍵字:需搜索中文字串) - 將要分析的程式用x64dbg載入
- 點擊x64dbg運行按鈕,運行程式,讓其運行,使其可載入更多的資訊用于分析,之后使用字串搜索工具進行搜索
- 根據關鍵字查找有用資訊
發現一些注冊判斷跳轉,并在跳轉處下斷點,使其可以中斷進行分析 - 注冊資訊沒有填寫齊全判斷
- 想不管輸入什么都不提示“注冊資訊沒有填寫齊全”這個提示就要使00510465處的跳轉不成立,
因原je為等于轉移,但出現不等于時跳轉不執行,故需二進制編輯廢除此跳轉, 0051047F處的跳轉成立,因原jne為不等于轉移,但出現不等于時跳轉不執行,故需將其修改為jmp無條件轉移指令
注意:因之前在je指令處下載過斷點,若想修改指令需洗掉此處斷點 - 注冊碼正確,感謝你的注冊!判斷
- 想不管輸入什么都提示“注冊碼正確,感謝你的注冊!”這個提示就要使00510543處的跳轉不成立,
因原jne為不等于時轉移,但出現等于時跳轉不執行,故需二進制編輯廢除此跳轉
注意:此方法廢除跳轉指令后,其背景顏色變灰,顯示資訊為跳轉不會執行 - 運行測驗
修改完畢,填寫任意注冊資訊,點擊注冊
填寫任意資訊,提示注冊成功,顯示已注冊
真實注冊碼尋找
思路:在軟體運行時監測記憶體資料,查詢是否有敏感或可利用資訊
所用工具:Winhex
- 運行軟體點擊注冊
訂單號:112233
注冊碼:china123study
- 打開Winhex進行分析
注冊機撰寫
在關鍵判斷("注冊碼正確,感謝你的注冊!")處發現EDX存在正確的注冊碼與所輸入的注冊碼進行對比,導致正確的注冊碼泄露,根據這一特點讀取EDX資料,利用軟體自身算碼機制計算出正確的注冊碼并調取使用
所用工具:x64dbg、keymaker2
- 關鍵點
可在0051053E處下斷點讀取EDX資料 - 因EDX資料在記憶體內,估使用keymaker2制作記憶體注冊機進行讀取資料
- 自身注冊碼對比機制泄露正確的注冊碼
- 使用keymaker2讀取記憶體資料,制作注冊機
- 使用生成的注冊機在記憶體資料中讀取出正確的注冊碼
暗樁
所用工具:x64dbg、od、winhex
- 注冊判斷通過會在本機存盤注冊資料檔案“hdwlz.dll”,其保存在“C:\Windows\system32”目錄
- 因系統防護原因導致它寫入注冊資訊失敗,進一步驗證了其注冊機制
- 切換環境成功寫入
- 查看寫入的資料
對比發現寫入的是訂單資訊 - 關閉程式后,發現注冊檔案被洗掉,暗樁出現
- 因洗掉檔案使用的是DeleteFile函式,使用OD分析函式進行分析
- 發現有兩次參考該洗掉功能
- 在這兩次呼叫處下斷點進行分析
先上尋找在程式入口處下個斷點
- 關閉程式,查看斷點分析
關閉時,成功斷在入口處
- 步過分析到讀取hdwlz.dll檔案訂單資訊點
- 步過分析到對比處
取EAX資料與0x1CD6D0做比較
- 其中EAX資料未訂單號的十進制資訊
- 關鍵跳轉大于1CD6D0(1890000)跳轉不洗掉注冊檔案,小于1CD6D0(1890000)跳轉不執行洗掉注冊檔案
總結
- 訂單號需大于1CD6D0(1890000)才不會觸發暗樁洗掉注冊檔案(但程式關閉時執行判斷)
解決辦法: - 注冊時填寫的訂單號大于1890000
- 或修改005181D3處的關鍵跳轉使其必跳JG改為JMP
TiToData:專業的短視頻、直播資料介面服務平臺,網址: TiToData
覆寫主流平臺:抖音,快手,小紅書,TikTok,YouTube
轉載請註明出處,本文鏈接:https://www.uj5u.com/shujuku/233873.html
標籤:其他
上一篇:抖音資料采集SDK