吾愛破解 - LCG - LSG |安卓破解|病毒分析|huihengkj.com

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 16841|回復: 213

[原創] 某某云網絡驗證脫殼

    [復制鏈接]
樓主
YouSuohai 發表于 2020-9-8 16:58 回帖獎勵
#0x00 狹路相逢
"偶然"碰到了一個網絡驗證,廣告語寫著"全新的虛擬機架構,虛擬機超強變異,讓您的軟件難以分析", 看上去好像很好玩, 于是我(emmm)就弄了幾個極速模式的樣本分析看看, 見識一下這個全新的虛擬機架構, 至于是啥網絡驗證,這次我就不點名了, 本文也不提供樣本。

**以下討論的是該網絡驗證基于極速模式加密的樣本**

#0x01 貓捉老鼠
根據描述,還可以加密64位文件,但是加密后的文件打開運行卻是32位程序,猜測有把原程序寫到硬盤的操作。由于其嚴酷的拉黑機制(反調試 - -!)(你干點啥它都拉黑你, 這就是所謂的超強的反調試, 但其實根本沒啥用),考慮先不用調試器,繞路走,用某劍監視其程序操作,部分關鍵操作如下。

寫出Registration.tmp 猜測跟解密相關


寫出exe,猜測是登錄后釋放的原exe


轉到目錄下查看,發現一個43k大小的exe,不符合加密前exe大小。


但是,在...目錄下發現了一個很可疑的exe


復制出來運行提示未經授權運行,估計它就是我們要找的原程序了。



#0x02 林中小屋


監控發現原程序讀取了Registration.tmp


用x32dbg看一下,發現這入口一股濃濃的ThemIDA味(這網絡驗證是Themida的作者寫的?)


運行起來CE搜一遍字符串,這確實是WinLicense沒錯,


把Registration.tmp和原程序復制出來,回滾虛擬機快照后,再把Registration.tmp放回去,發現可以直接運行原程序。(但是無法再次運行,會提示未經授權運行。并且更換機器做同樣的操作也無法運行。



根據以上行為特征,可以大致猜出該網絡驗證的流程:
**發送卡號并上傳機器碼 -> 驗證通過 -> 下發鎖定機器碼以及運行次數為1的key ->釋放原程序(WL授權加密) -> 運行原程序**
雖然下發的key回滾快照可以一直使用,用監控程序監視它讀寫了哪些注冊表和文件,再統統刪掉也可以無限使用,但是它鎖定了機器碼,總歸是不方便。為了速戰速決, 考慮脫殼

#0x03 舊事重提


到達OEP以后修一下IAT,處理下虛擬機內部的pause就能脫下來了。這里不提供腳本,只講下到達OEP和修IAT的思路。
OEP的話,用祖傳VirtualProtect大法。VirtualProtect下斷,運行,看到代碼段(401000)出現兩次后,執行到返回,取消斷點。




對代碼段下內存執行斷點。


再運行一次就到OEP了。


OEP雖然被虛擬化了,但是可以不修。
WL沒有抹掉原來的IAT表,而是隨機將部分IAT填充到自己的殼代碼了,圖中下劃線為白色的就是被殼抽取的IAT。


這里使用的是x32dbg,擼腳本也方便。修復腳本基本思路為:
逐個獲取IAT表里的pointer,用mod.isexport判斷是否為1,不為1說明被抽取或者為該pointer為0,如果是被抽取,記錄當前cip和csp,將cip設置為取得的pointer,并且對csp-4設置硬件寫斷點,run 3-5次并判斷mod.isexport,為1則將[csp-4]寫到IAT表對應的位置,并將cip和csp設置回去。
需要注意,ExitProcess貌似被WL特殊照顧,無法用這種辦法取得,沒想到修復辦法,就只能手動填充了。暫時沒發現其他的IAT有這種問題,圖中47C294處就是腳本無法修復的ExitProcess。


修復完IAT,記得掃描一遍內存,處理掉所有的pause,jmp或者全部nop都可以,特征如圖


全部處理完,就能運行了。



**以下討論的是該網絡驗證基于極限模式加密的樣本**

#0x04 黑洞的極限運動

上面說的是極速模式下的樣本,那極限模式的樣本呢?嘗試按照以上方法脫下來以后,跨平臺運行會崩潰。
推測極限模式是WinLicense的全保護,不過問題不大。多分析分析也能脫下來。
該極限模式樣本有兩種防dump(不知道有沒有更多防dump,只加了兩個虛擬化水印)

一種是在到達OEP前加密存儲kernel32.dll的基址,然后虛擬化水印會讀取基址+隨機偏移,因為不同機子以及重啟后系統dll基址會改變的關系,程序會崩潰。OEP虛擬化也會用這種防dump。


另外一種是運行到該處水印代碼后,虛擬機將代碼解密寫回原來的位置。


虛擬機運行完畢后。


過kernel32基址的防dump,可以分配一塊跟當時一樣地址的內存,WL只讀取,并沒有對里面的值做校驗,如果有其他dll占用了也可以直接過。
另一種防dump,可以把存放在WL區段的VirtualProtect 地址,修改到自己代碼的FF25 ,如果不巧,程序IAT沒有VirtualProtect,就得自己加上了。


#0x05 夢一場

!!!!所以這里根本沒有什么所謂的超強虛擬機, 全新的虛擬機架構?搞半天就是用WinLicense做了個授權, 我好像是來找自寫虛擬殼來著,怎么最后在脫WinLicense了。

后續將會提供脫殼腳本以及特征,方便大家研究學習。

免費評分

參與人數 104吾愛幣 +105 熱心值 +94 收起 理由
wheat123 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
wushisai + 1 + 1 用心討論,共獲提升!
綿羊 + 1 我很贊同!
LF905 + 1 + 1 我很贊同!
Trisscute + 1 + 1 熱心回復!
sandubuhan + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
IMRE + 1 + 1 熱心回復!
馬愛國 + 1 + 1 謝謝@Thanks!
春天里的丶覺覺 + 1 我很贊同!
yeechou + 1 + 1 用心討論,共獲提升!
迷魂 + 1 + 1 謝謝@Thanks!
悵廖廓 + 1 我很贊同!
Daihui + 1 + 1 熱心回復!
anlovedong + 1 + 1 謝謝@Thanks!
xlcomputer + 2 + 1 謝謝@Thanks!
青丕_ + 1 + 1 我很贊同!
wangyuyan + 1 + 1 已經處理,感謝您對吾愛破解論壇的支持!
xutao423 + 1 + 1 熱心回復!
N0LL + 1 + 1 熱心回復!
Dom-Lewis + 1 + 1 用心討論,共獲提升!
wzhj85 + 1 + 1 用心討論,共獲提升!
鬼刀一開 + 1 + 1 我很贊同!
是隨風啊 + 1 謝謝@Thanks!
晨曦照相 + 1 + 1 我很贊同!
__不說 + 1 + 1 我很贊同!
wws天池 + 1 + 1 我很贊同!
www77543 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
victos + 1 + 1 熱心回復!
18269055653 + 1 謝謝@Thanks!
Royal_zya + 1 + 1 謝謝@Thanks!
youxiu8 + 1 + 1 用心討論,共獲提升!
wuliwuli + 1 熱心回復!
0615 + 1 + 1 用心討論,共獲提升!
靈魂丶伴奏 + 1 + 1 用心討論,共獲提升!
liujing1 + 1 + 1 我很贊同!
1119014032 + 1 + 1 謝謝@Thanks!
IsToken + 1 + 1 用心討論,共獲提升!
Sinaan + 1 謝謝@Thanks!
hacker-v + 1 + 1 我很贊同!
NGUlyb + 1 + 1 我很贊同!
navy + 1 用心討論,共獲提升!
dedegoodboy + 1 + 1 用心討論,共獲提升!
wyb1109_2008 + 1 熱心回復!
125733578 + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
fengbolee + 1 + 1 用心討論,共獲提升!
dagege_memeda + 1 + 1 已經處理,感謝您對吾愛破解論壇的支持!
hinome + 1 + 1 我很贊同!
w111zs + 1 + 1 我很贊同!
Donghui891227 + 1 + 1 謝謝@Thanks!
ALCATEL + 1 + 1 我很贊同!
CrazyNut + 3 + 1 tql
YWM2017 + 3 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
wasdzjh + 1 + 1 這根本不是新人,是大佬啊
app740520 + 1 + 1 謝謝@Thanks!
cpujazz + 1 + 1 我很贊同!
南冥的小鯤 + 1 + 1 用心討論,共獲提升!
jingklxdd + 1 + 1 謝謝@Thanks!
邱淑貞 + 1 + 1 我很贊同!
srfsk + 1 + 1 謝謝@Thanks!
zxzxzxzx329 + 1 + 1 熱心回復!
supercug + 1 + 1 謝謝@Thanks!
silence2540 + 1 + 1 我很贊同!
H.Ra + 1 + 1 我很贊同!臥虎藏龍
q5879335 + 1 + 1 我很贊同!
zsq + 1 + 1 謝謝@Thanks!
vanwee + 1 + 1 熱心回復!
you920928 + 1 + 1 用心討論,共獲提升!
azcolf + 1 + 1 用心討論,共獲提升!
schedule + 1 用心討論,共獲提升!
hgfty1 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
遛你玩528 + 1 + 1 謝謝@Thanks!
cpj1203 + 1 + 1 謝謝@Thanks!
heju + 1 + 1 謝謝@Thanks!
cuit_zx + 1 + 1 謝謝@Thanks!
江影影 + 1 + 1 熱心回復!
獨行風云 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
tiangaoyang + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
gaosld + 1 + 1 熱心回復!
大佬學破解 + 1 + 1 感謝大佬的腳本 秒脫卓越云 秒破
笙若 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
fenglianyun + 1 + 1 我很贊同!
生有涯知無涯 + 1 + 1 流下了沒有技術的眼淚
Mr_zhaohy + 1 用心討論,共獲提升!
絕無神 + 1 + 1 我很贊同!
Majestry + 1 我很贊同!
luzhiyao + 2 歡迎分析討論交流,吾愛破解論壇有你更精彩!
jone110 + 1 用心討論,共獲提升!
plasd + 1 謝謝@Thanks!
小哥9527 + 1 + 1 熱心回復!
讓你先跑39米 + 1 + 1 熱心回復!
二娃 + 2 + 1 我很贊同!
殠尛偉 + 1 + 1 技術不錯。
alicc + 1 + 1 熱心回復!
叮當東東當當 + 1 + 1 謝謝@Thanks!
Psyber + 1 謝謝@Thanks!
netCheney + 1 + 1 樓主要逆天的強大了。。。
xwc28 + 1 + 1 靜觀后續精彩分析!
L的追夢人生 + 1 + 1 熱心回復!
FLY-one + 1 + 1 熱心回復!
天真Aro + 1 今天注冊,就獲得這么多威望精華了

查看全部評分

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

推薦
Sound 發表于 2020-9-8 19:48
這個用的wl跟upx一樣看起來像是2.x
具體 看不出來是哪個版本的
另外wl的netlicense在官網有說明文檔
新人第一帖加精鼓勵下
Ps:自寫虛擬機 可以搞搞Sprotect。
推薦
董督秀 發表于 2020-9-9 07:43
這個帖子關鍵在于分析提取授權文件和源程序,脫殼是其次……wl腳本論壇都有的。另外,一般情況下,論壇的那個腳本通殺1.8-2.4的wl殼。
順帶一提……如果是wl3.0的殼,就不好說了……原作者不確定是否更新脫wl3.0的腳本。
4#
MZA1220 發表于 2020-9-8 17:30
5#
禁止套娃 發表于 2020-9-8 17:33
lz分析的是卓越云???這會是誰的小號呢
6#
liujieboss 發表于 2020-9-8 17:42
學習學習
7#
phenix21 發表于 2020-9-8 17:49
研究學習一下
8#
sujiufz 發表于 2020-9-8 17:49
大佬何必用小號來懟呢。。不方便嗎?
9#
吃半個饅頭 發表于 2020-9-8 17:51
樓主分析的很到位,學習一下。
10#
寒韻冰晶 發表于 2020-9-8 17:57
前來學習了
11#
yAYa 發表于 2020-9-8 18:20
我知道你是誰了,師傅。
12#
crack1 發表于 2020-9-8 18:41
tql ....又一位大佬啊。。
您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:本版塊禁止灌水或回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|處罰記錄|聯系我們|吾愛破解 - LCG - LSG ( )

GMT+8, 2020-10-24 18:45

Powered by Discuz!

500彩票邀请码Copyright © 2001-2020, Tencent Cloud.

快速回復 返回頂部 返回列表

500彩票邀請碼-彩經網