环境:windows xp
工具:
1、OllyDBG
2、exeinfo
3、IDA
0x00 查壳
加了UPX壳,那么就要脱壳了。可以使用单步法来脱壳。
UPX壳还是比较简单的,开头pushad,找个popad,然后就是jmp了。
然后就可以用OD来脱壳了。
0x01 分析
先运行一下程序,看看有什么东西。
随便输入些东西进去,弹出了提示输入错误的消息框。
OD载入,F9运行程序。然后随便输入点东西,弹出上面找个消息框。在OD中按F12暂停,Alt+F9运行到用户代码,然后点击消息框的确定。
程序停在这里
单步执行到函数返回。
记下这个401E86,然后在IDA打开这个脱壳后的程序。等待IDA分析完后,按G跳转,输入这个401E86
跳转完后就可以按F5进行分析了。
程序的流程主要如下:
一、程序根据输入的用户名进行处理:
(1)将输入的内容翻转再拼接一起,如输入:gnubd,将得到gnubddbung。
(2)读取HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion下的ProductID和RegisteredOwner的值,并且拼接到第(1)步的结果后面。
二、然后再进行类似md5值的计算:
用 smd5(input_username_2) 表示结果。
程序再对输入的序列号进行运行,用 calc(input_serial) 表示结果。
由于smd5(input_username_2)的结果是4个DWORD,即smd5_result[4],所以第57行处要求用户的输入也是4个DWORD,所以这里对输入的内容进行了限制,为0-9,A-F,a-f这样。
calc(input_serial)的结果也是4个DWORD,即calc_result[4],接下来就是第68行处进行smd5_result 和 calc_result 比较,全部相等就输出通过。
首先来分析一下这个smd5,我这里有个md5算法笔记,可以先看看普通md5的算法是怎样的。
看完之后比较这个程序的,可以发现是第54行处存在差异。填充后的消息在计算长度的时候把0x80也算上了,这样使得计算出来的值与普通的md5值不同,这个写出代码的难度不大,找个md5源码改一下就行了。
三、接下来看一看calc函数,也就是地址sub_401B90处的函数。
int __cdecl sub_401B90(int input_0, int constValue)
{int result; // eax@1int v3; // ebx@1unsigned int first; // esi@1unsigned int second; // edi@1unsigned __int64 v6; // rax@2int v7; // esi@2int v8; // edi@2unsigned __int64 v9; // rax@2result = input_0;v3 = constValue;first = *(_DWORD *)input_0; //输入的第一个值second = *(_DWORD *)(input_0 + 4);//输入的第二个值if ( constValue ){do{v6 = 2 * __PAIR__(second, first); // 这里注意可能存在 first<<1 发生进位,而 second<<1 丢失第31位LODWORD(v6) = ((unsigned __int8)(2 * first) | (second >> 31)) & 4;v7 = v6 | (second >> 31);v8 = HIDWORD(v6); // second<<1 | first>>31v9 = (unsigned __int64)(unsigned int)v6 << 11;// 第3位移动到了第14位LODWORD(v9) = v7 & 0x2000 ^ v9;v9 <<= 18; // 第14位移动到32位LODWORD(v9) = v7 & 0x80000000 ^ v9;v9 *= 2i64; // 将结果移动到了高32位的最后1位first = v9 ^ v7;second = HIDWORD(v9) ^ v8;--v3;}while ( v3 );result = input_0;}*(_DWORD *)result = first;*(_DWORD *)(result + 4) = second;return result;
}
因为上面是由ida分析得到的,v6和v9这些事int64类型的变量,分析起来可能比较难,所以为了简单理解,我将其拆分,v6的高32位为v6_h,v6低32位为v6_l,v9同理。
do{v6_l = first<<1; v6_h = second<<1 | first>>31;v6_l = first<<1 & 4 ; // 因为有个&4,所以找个second>>31可以忽略了,不影响结果v7 = v6_l | (second >> 31); // first<<1 | (second >> 31)v8 = v6_h; // second<<1 | (first >> 31)v9_l = v6_l << 11; // (first<<1 & 4)<<11v9_h = v6_l >> 21; // 0v9_l = v7 & 0x2000 ^ v9; // (first<<1 & 0x2000)^(first<<1 & 4)<<11v9_l <<= 18; // ((first<<1 & 0x2000)^(first<<1 & 4)<<11)<<18v9_h <<= 18; //0v9_l = v7 & 0x80000000 ^ v9; //(first<<1 & 0x80000000) ^((first<<1 & 0x2000)^(first<<1 & 4)<<11)<<18 v9_h = v9_l>>31; // & 0x80000000 后就只剩下最高1位了,左移1位就进入到了高32位的最低1位v9_l <<= 1; // & 0x80000000 后就只剩下最高1位了,左移1位就溢出了,变回0first = v9_l ^ v7; // 0 ^ (first<<1 | (second >> 31)) second = v9_h ^ v8;// ((first<<1 & 0x80000000) ^((first<<1 & 0x2000)^(first<<1 & 4)<<11)<<18)>>31 ^ (second<<1 | (first >> 31))--v3;}while ( v3 );
将输入的serial设为first,那么第一轮运算的结果为first_1,second_1,根据上面可得:
first_1 = v9_l ^ v7; // 0 ^ (first<<1 | (second >> 31))second_1 = v9_h ^ v8;// ((first<<1 & 0x80000000) ^((first<<1 & 0x2000)^(first<<1 & 4)<<11)<<18)>>31 ^ (second<<1 | (first >> 31))
用first.1表示first的第1位,first.32表示first第32位,
即:first.1 = first & 1,first.3 = first & 0x80000000。
根据上面可以逆推得到:
first = first_1>>1 | ((first_1.32 ^ first_1.14 ^ first_1.3^ second_1)&1)
second = first<<31 | (second_1>>1);
这个逆推得到的函数称为 rcalc,
所以只需将 rcalc(smd5(input_username)) 计算出来就好了。
