吾愛破解 - LCG - LSG |安卓破解|病毒分析|huihengkj.com

 找回密碼
 注冊[Register]

QQ登錄

500彩票邀请码只需一步,快速開始

搜索
查看: 3642|回復: 87

[原創] 爆破vm代碼關鍵點之某文本編輯輯xxxxEdit4.3.1(4480)的分析與爆破

  [復制鏈接]
樓主
無聞無問 發表于 2020-11-14 12:19 回帖獎勵
本帖最后由 無聞無問 于 2020-11-14 12:19 編輯

官方介紹:身軀小巧,性能卓越,自定義功能完善,豐富的主題和腳本,完美的編碼、大字符集字符顯示,無論您是哪個級別的碼農,它都會給您帶來不一樣的體驗!此軟件,未注冊有30天左右的試用期,試用期滿后,彈出未注冊提示框,并且不能再使用軟件。(如果下載尚在試用期,可調整系統時間,即可過期)



    一、分析前思考或準備:
    1.  重啟驗證,解決了它等于解決了注冊問題。
    2.  關鍵代碼被VM了,說明進入VM的地方即可能是關鍵的地方。
    3. 去除exe的重定位,防止隨機基址影響分析(使PE工具CFF Explorer去除)。
    4.  X64dbg
溫馨提示:不同機器,不同版本X64dbg,文中部分內容可能不同!電腦內存要大,x64dbg這廝跟蹤和分析數據特別吃內存……
    二、定位VM位置。
    1.內存布局中,找到VM段,下內存訪問斷點(同時注意記下vm段的基址)。然后運行程序,斷在了這個VM段的地方。




    2.堆棧回溯,找VM入口(也可不用找)。在“調用堆棧”窗口中,找最近的一個用戶模塊的調用call(如果堆棧顯示較少,可右鍵,單擊“顯示可能的調用堆棧幀”顯示更多調用)跟隨過去,往下翻找(有點多)跳轉到VM段的jmp大跳轉……
應該是這里:




當然,也可在CPU窗口,右鍵,搜索-當前模塊-命令,快鍵ctrl+shift+f,輸入命令jmp  0x 00000001403C13AFRIP暫停在VMP段處的地址。找到入口后,下好斷點。
    3. 確定VM的出口,應該就是入口下方一大堆int3后的正常代碼了。下好斷點!



    4. 重復上面下vmp段內存斷點的方法,找到第23次的VM入口點和出口點。分別是:




    三、確定程序注冊的關鍵位置。
通過以上的操作知道,有3次進入VM段,說明這3個地方是作者不愿意破解者看到的,但哪一處才是重要的呢?我們既然3個地方出入口都下好了斷點,重新運行一下,看看未注冊提示框在哪一次出入VM的時候彈出,基本就可以確定那一次就是較為關鍵,可以優先分析突破的了(如果啟動軟件沒有彈出到期未注冊的提示框可以改系統時間讓其彈出)
    通過運行,可以發現,未注冊過期提示框是在第2VM出口后未進入第3VM時彈出,由此基本可以確定關鍵的判斷在第2VM中了。切換斷點窗口,禁用第1次出入口和第3次出入口的斷點。僅保留第2VM入口和出口的斷點。
四、跟蹤vm代碼。
重新載入并運行程序,使之暫停在第2VM入口點斷點處,單步一次,進入VM中。切換到“跟蹤”窗口,右鍵啟動運行跟蹤,設置好跟蹤文件保存位置。然后單擊菜單“追蹤”“步進直到條件滿足”。可將最大單步次數設置到最大。



設置好了,單擊確定,然后靜靜等吧(時間取決于電腦性能)……



等到暫停在第2VM出口的斷點處,約3A14ED行記錄。切換到“跟蹤”窗口,右擊,停止運行跟蹤……在跟蹤記錄的結尾不遠處,我們看到一個非常有趣的注冊表鍵,這個鍵就是記錄使用期的:
  3A14DF    00000001403BF43B    5B    pop rbx    rbx:L"Software\\Classes\\ZQBKAF8AUWBZAFGAWAAT"  
    五、分析、查找可疑關鍵點。
在“跟蹤”窗口,右鍵,搜索常數,表達式中輸入:0000000000000040,靜靜等待搜索結果(時間取決于電腦性能)。
提示:為什么要搜索0x40,這是前輩們的總結,不清楚的可查看以下文章及有關vmp NAND(與非門)與EFLAGS標志位的文章,本帖也是參考以下前輩文章:
   
在結果“引用”窗口,下方篩選一下,andrax,rcx,注意rcx前有個空格……



接下來,就是體力活了……
逐行選中,右鍵,復制索引,切換到追蹤窗口,ctrl+G,粘貼索引,跳到位置處,在該行,右鍵,信息,查看raxrcx的具體值,如果rax40rcx246FFFFxxxx打頭的就要留意,下好斷點……
提示:其實可以在追蹤窗口中,選擇全部,右鍵復制選區,到文件,保存為文本或*.csv格式,利用其它軟件分析,但x64dbg可能有嚴重BUG,當追蹤數據達上十萬行時,寫入文件就會卡死,物理內存占用達95%左右。估計,大量申請了內存沒有及時釋放致后面操作沒法繼續……
全部篩選完可疑的行,下好斷點,然后重新運行程序,當and rax,rcx語句執行完,rax40時,嘗試將rax0……
通過反復排查,最終可確定以下兩處即為關鍵點:
00000001403B8663    |48:23C1   | and rax,rcx    | rax=40,rax=246========結果要0
00000001403B8B71    |48:23C1   |and rax,rcx     |40+RCX:FFFFFFFFFFFFFD68 ====結果要0
找到后,就可以HOOK了,找到以下空白地方補代碼:HOOK代碼及位置:
00000001401C8A98| 48:83F8 40                                        |cmp rax,40               
00000001401C8A9C| 0F85 C9FB1E00                                |jne everedit.1403B866B      
00000001401C8AA2| 48:81F9 46020000                           |cmp rcx,246               
00000001401C8AA9| 0F85 BCFB1E00                               |jne everedit.1403B866B      
00000001401C8AAF| B8 00000000                                   |mov eax,0                  
00000001401C8AB4| E9 B2FB1E00                                   |jmp everedit.1403B866B   
  
00000001401C8AB9| 48:83F8 40                                      |cmp rax,40               
00000001401C8ABD| 0F85 B6001F00                               |jne everedit.1403B8B79      
00000001401C8AC3| 48:81F9 68FDFFFF                           |cmp rcx,FFFFFFFFFFFFFD68   
00000001401C8ACA| 0F85 A9001F00                               |jne everedit.1403B8B79      
00000001401C8AD0| B8 00000000                                   |mov eax,0                 
00000001401C8AD5| E9 9F001F00                                    |jmp everedit.1403B8B79     
    二進制:
   48 83 F8 40 0F85 C9 FB 1E 00 48 81 F9 46 02 00 00 0F 85 BC FB 1E 00 B8 00 00 00 00 E9 B2 FB1E 00 48 83 F8 40 0F 85 B6 00 1F 00 48 81 F9 68 FD FF FF 0F 85 A9 00 1F 00 B800 00 00 00 E9 9F 00 1F 00




00000001403B866300000001403B8B71處下方的jmpxxxxxx,更改jmpHOOK地方。
  00000001403B8663    48:23C1    and rax,rcx  
  00000001403B8666    E9 2D04E1FF    jmp everedit.1401C8A98    jmpHOOK  
  00000001403B8B71    48:23C1    and rax,rcx  
  00000001403B8B74    E9 40FFE0FF    jmp everedit.1401C8AB9  
更改完畢后,右鍵補丁(ctrl+p)--全選修補文件。至此,爆破完成!效果如圖:










如果關于菜單,仍有未注冊提示,可修改注冊以下鍵值:  
    [HKEY_CURRENT_USER\Software\Classes\ZQBKAF8AVWBPAFIASWAT]
    @=hex:f7,2e,af,5f,00,00,00,00
    "Value"=dword:00000001
Value改為0,或直接刪除鍵值。
最后,由衷感謝前輩大神們在vmp分析征程上的無私奉獻。因為你們,使得我等小菜鳥也能簡單觸及一下令人望而生畏的vmp!心中萬分欣喜!謝謝你們!
同時,向本帖中涉及的軟件及作者說聲抱歉:拿你的軟件作為分析學習的對象!
在此也鄭重說明,本帖只是學習分析vmp用,請勿商業用途!請尊重作者勞動成果,如果喜歡,購買正版支持作者。
故不提供成品,敬請諒解!

免費評分

參與人數 48威望 +2 吾愛幣 +151 熱心值 +45 收起 理由
penglina + 1 謝謝@Thanks!
Bigcraft + 1 + 1 我很贊同!
Remedia + 1 + 1 我很贊同!
xiaoyu0814 + 1 謝謝@Thanks!
xukefei + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
我要學外掛 + 1 + 1 我很贊同!
fofawb + 1 用心討論,共獲提升!
楠城 + 1 熱心回復!
太陽王 + 1 我很贊同!
WAlitudealiy + 1 用心討論,共獲提升!
小呀小芹菜小Q + 1 + 1 熱心回復!
qq3bot + 1 + 1 謝謝@Thanks!
victos + 1 + 1 謝謝@Thanks!
杜昊 + 1 + 1 我很贊同!
evea + 1 + 1 謝謝@Thanks!
天山雪 + 1 + 1 用心討論,共獲提升!
linrunqing521 + 1 用心討論,共獲提升!
QGZZ + 1 + 1 我很贊同!
eec + 1 + 1 我很贊同!
zhoumeto + 1 + 1 用心討論,共獲提升!
azcolf + 1 + 1 用心討論,共獲提升!
dzj0821 + 1 + 1 用心討論,共獲提升!
MaxMadcc + 1 + 1 我很贊同!
Hmily + 2 + 100 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
Razuri + 1 + 1 大佬牛逼
Wzx157 + 1 謝謝@Thanks!
蘇紫方璇 + 2 + 1 用心討論,共獲提升!
三尺神明ins + 1 用心討論,共獲提升!
125733578 + 3 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
sumile + 2 + 1 我很贊同!
ming1332236 + 1 我很贊同!
uer + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
dangducluan + 1 + 1 謝謝@Thanks!
wmsuper + 3 + 1 謝謝@Thanks!
Sarina + 1 + 1 我很贊同!
金海湖 + 1 + 1 我很贊同!
LI266 + 1 熱心回復!
WGR + 1 我很贊同!
JFF + 1 + 1 大佬牛逼!
星辰丿 + 1 + 1 謝謝@Thanks!
我是在成器 + 1 用心討論,共獲提升!
小朋友呢 + 2 + 1 我很贊同!
FleTime + 3 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
冥界3大法王 + 4 + 1 求原裝貨,三叔~~
朱朱你墮落了 + 3 + 1 果然世上無難事,只要肯登攀!
yangyu5133712 + 1 熱心回復!
Link_Stark + 2 + 1 謝謝@Thanks!
cpujazz + 1 + 1 我很贊同!

查看全部評分

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

推薦
冥界3大法王 發表于 2020-11-14 12:40
@無聞無問 @無聞無問  @無聞無問
不要成品 不要成品  不要成品 ,重要的事情說三次。
只求等價原裝貨。

免費評分

參與人數 1吾愛幣 +1 熱心值 +1 收起 理由
無聞無問 + 1 + 1 用心討論,共獲提升!

查看全部評分

推薦
yiwai2012 發表于 2020-11-21 16:00
推薦
tanyuan 發表于 2020-11-14 12:37
推薦
yangyu5133712 發表于 2020-11-14 13:11
大佬真nb已經弄好了
3#
cpujazz 發表于 2020-11-14 12:39
大佬nb,手剛VM
5#
wapjwsy 發表于 2020-11-14 12:54
大佬nb,手剛VM
6#
 樓主| 無聞無問 發表于 2020-11-14 13:02 |樓主
冥界3大法王 發表于 2020-11-14 12:40
@無聞無問 @無聞無問  @無聞無問
不要成品 不要成品  不要成品 ,重要的事情說三次。
只求等價原裝貨。{ ...

官網下,老大
7#
鴨子咯咯噠~ 發表于 2020-11-14 13:03
學習了。。
8#
moive005 發表于 2020-11-14 13:05
學習一下,多謝大佬分享。
9#
朱朱你墮落了 發表于 2020-11-14 13:06
師傅好吊,那個時間還沒有學VM,現在已經爐火純青了。差距越來越大。

免費評分

參與人數 1吾愛幣 +1 熱心值 +1 收起 理由
無聞無問 + 1 + 1 用心討論,共獲提升!

查看全部評分

您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 警告:本版塊禁止灌水或回復與主題無關內容,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|處罰記錄|聯系我們|吾愛破解 - LCG - LSG ( )

GMT+8, 2020-11-27 01:35

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回復 返回頂部 返回列表

500彩票邀請碼-彩經網