ida静态分析/破解某软件的 时间限制

最新推荐文章于 2021-10-21 21:47:46 发布
最新推荐文章于 2021-10-21 21:47:46 发布
阅读量321 收藏
点赞数
原文链接:https://my.oschina.net/Draymond/blog/1017879
版权

【文章作者】: kusky
【作者邮箱】: p_168@163.com
【作者主页】: http://diylab.cnblogs.com
【作者QQ号】: 109427716
【软件名称】: 某视频监控软件
【软件大小】: 无
下载地址】: 无
【加壳方式】: 无
【保护方式】: 时间限制
【编写语言】: Borland c++ builder 1999
【使用工具】: ida pro
【操作平台】: windows xp
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
本文是本菜鸟对 ida 静态分析的一次实践。
与过去的静态分析利器 W32DASM相比, ida pro 最强悍的功能是库函数的识别。IDA PRO 用 library function, thunk 等标志把很多非手工编写的代码识别出来,大大节省了分析代码的精力。另外,IDA 甚至将一些手工编写的函数的函数名称也反编译出来。让人感叹:怎一个舒服了得!

闲话不叙。对于本文中所涉及ida 的使用的相关知识,如有感觉叙述不明白者,请参阅坛主《加密与解密》第三版 3.2.1--3.2.14  中的相关内容。

症状:程序运行一小时后,运行开始不正常。一些字符开始跳动。无其它提示。

思路:这种情况动态分析难度比较大,因为没有一个明确的提示或标志,不容易找到关键代码。从获取系统时间的 API 入手,寻找时间比较的相关代码。相对是一个比较可行的办法。
程序中进行时间比较,必然需要获取当前的时间。一般有两种办法,一种办法是获取当前的系统时间(getlocaltime)。一种办法是获取开机以来的时间(getticktime)。前者受修改系统时间的影响。后者不受修改时间的影响。

启动程序,直接将系统时间后移一小时,程序出现异常。说明修改系统时间可影响到程序对运行时间的判断。故寻找 API getlocaltime。

将程序用ida 载入。在 "functions window" 窗口( 找不到则 菜单 windows-> functions window 或 alt+ 1),查找时间相关的API。
找到函数 getlocaltime。在 getlocaltime 上右键,下断点。

http://up.2cto.com/Article/201012/20101217110951978.PNG
f9 运行程序,程序被断下来。
http://up.2cto.com/Article/201012/20101217110956352.PNG
上图中,code xref : 对此函数进行了调用的函数。绿色部分列举了两个。在函数名上右键,"jump to xref to operand "。可以看到共有四处调用:
http://up.2cto.com/Article/201012/20101217110956546.PNG
以上四处,第二处 Sysutils::CurrentYear 顾名思义,只能取到 年份,帮不考虑。其它的三处,需要继续上溯,直到用户代码。
http://up.2cto.com/Article/201012/20101217110956731.PNG
继续上溯对 now 的调用。
http://up.2cto.com/Article/201012/20101217110956396.PNG
可以看到调用比较多。通常情况下,我们需要对每一个进行跟踪。但这时我们看到了一个很感兴趣的东东: FormShow。笔者编写过 vb ,知道写图形界面程序的第一步就是 FormShow。估计 delphi 也是这样吧。不需要做艰难的决定。直接跟踪。双击“_TFNewGoMain_FormShow+33”。到达下面的界面。
http://up.2cto.com/Article/201012/20101217110956124.PNG
.text:00408E43 call    @Sysutils@Now$qqrv              ; Sysutils::Now(void)
.text:00408E48 fstp    dbl_CEEC9C
查阅手册得知,Sysutils::Now() 返回了一个浮点数值。整数部分保存1900年以来的天数,小数部分保存今天已经消逝的时间比例。在 delphi 语言中,浮点数是保存在浮点寄存器 fpu registers 中的。
fstp 指令的意思是将浮点数指令寄存器中的数据保存到 变量 dbl_CEEC9C 中。

右键 dbl_CEEC9C,选择 rename, 将变量dbl_CEEC9C 标记为 my_dbl_CEEC9_now,以方便识别。
现在我们对程序的设计思路比较清楚了。按现在的分析,程序在启动时记录了 系统时间。并不断地检查,如果超过了一小时,就开始捣乱。我们只需要找到读取my_dbl_CEEC9_now 的代码,就能跟踪到关键代码了。

右键 my_dbl_CEEC9_now ,"jump to xref operator",看到了如下的八处调用。
http://up.2cto.com/Article/201012/20101217110956137.PNGseover=this.style.cursor=pointer;this.οnclick=function(){window.open(http://up.2cto.com/Article/201012/20101217110956137.PNG)}}" border=0>
根据 type 列知道,对 my_dbl_CEEC9_now 的操作,有四处读(r),三处写(w),我们首先考虑 读的代码。
http://up.2cto.com/Article/201012/20101217110956148.PNG

幸运的是,我们第一次就到了合适的位置。见到了经典的比较和跳转。


以上三处代码:



.text:00404195 call    @Sysutils@Now$qqrv              ; Sysutils::Now(void)
.text:0040419A fstp    [ebp+var_380]                     ; 取当前时间
.text:004041A0 fld     my_dbl_CEEC9C_now             ;取启动时保存的时间
.text:004041A6 fadd    ds:dbl_404AA0

转载于:https://my.oschina.net/Draymond/blog/1017879

chupu2979
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
软件跳过自动检测试用期,解除软件试用期限制(Zeal anyday)
weixin_29958797的博客
07-22 5052
这个程序将去除一些演示软件和测试软件时间限制,例如TCPMAN3.0是一个Internet拨号软件,它允许你免费使用30天,超过此期限就必须重新安装软件。为了解除时间限制,你可以使用AnyDay程序代替TCPMAN启动(从TCPMAN目录),把系统时间改为ANYDAY.INI(由我们的设置程序AnyCfg.exe建立)中指定的日期,然后运行TCPMAN。之后,AnyDay退出,并恢复正确的系统时...
关于IDA Pro 的使用时间线
awfp80781的博客
08-05 148
关于IDA Pro 的使用时间线 使用ida 打开文件。 首先看到的事开始对话框,可以进行新建工作区,直接进入软件软件中执行打开操作),进入之前的存档。 new 新建工作区,选择一个需要反编译的文件。 选择文件的格式,pe 文件、还是ms-dos 文件,还是二进制文件,其他一般按默认配置。 go 直接进入工作区,可以拖动或者打开文件。 界面中主要窗口布局及功能 直...
逆向 - 用IDA破解adb时间限制
GitLqr的博客
10-21 2497
欢迎关注微信公众号:FSA全栈行动 ???? 一、场景 之前公司有个 TV 盒子项目,需要使用厂商提供的 adb 工具才能连接设备进行调试,厂商为了安全,就在 adb 工具里加了过期时间限制,现在 adb 工具过期了,问厂商要新的,不给,让我自己改电脑时间(内心 os:这么容易就绕过去了,当初还为了安全加过期时间?纯属恶心人)。今天,领导说还要再调试查查项目 bug,我静心一想,每次都这样改时间也不是个事儿,求人不如求己,既然厂商不给力,那我就自己来动手破解吧~ 二、实战 此次所需工具/条件如下: 神器
破解嵌入式软件质量难题:C/C++代码静态分析技术
07-04
嵌入式软件的开发由于受到微处理器、RAM/ROM、IO等硬件环境的影响,其调试、问题定位和测试验证都很难像桌面/服务器软件开发那样便捷,尤其在集成阶段经常会遇到一些棘手的问题。保证交付的产品稳定、可靠、安全是嵌入式设备开发企业的始终追求,其中涉及到诸如研发流程、周期、成本、认证等制约,如何在有限条件下,破解嵌入式软件质量的难题是软件开发与测试团队必须应对的挑战。本课程将以C/C++代码静态分析技术为出发点,带您了解各种运行时的错误,介绍如何快速查找和debug,甚至证明你的代码零缺陷的多种高级操作。此外,课程还将带领大家全面了解Polyspace的强大功能,为打造高安全完整性系统保驾护航。
DES逆向分析-IDA静态分析.pdf
05-04
逆向工程中,静态分析是一种不执行代码而分析程序的方法,其中使用IDA(Interactive Disassembler)是一种常用于逆向工程的工具。 #### 分析主函数思路 主函数的分析思路主要涉及到如何解读程序执行的主要逻辑。在...
IDA反编译软件-windows版本的
03-29
交互式反汇编器专业版(Interactive Disassembler Professional),人们常称其为IDA Pro,或简称为IDA,是总部位于比利时列日市(Liège)的Hex-Rayd公司的一款产品。开发IDA的是一位编程天才,名叫Ilfak Guilfanov。...
ida分析函数插件ida分析函数插件
10-10
ida分析函数插件
逆向分析-IDA pro恶意代码(Crackme.exe)静态逆向分析
最新发布
06-14
C++语言编写的简易移位加密程序,帮助初学者小试牛刀,练习IDA pro静态逆向分析
恶意软件分析工具IDA7
04-05
恶意软件分析工具IDA7
如何破解软件时间限制
11-22
如何破解软件时间限制第一破解时间限制软件原理:一般地共享软件要达到计算机用户使用次数或时间的目的,通常是在安装时将当前的时间标志或者用户使用软件的次数记录,隐蔽的存放在注册表或某个文件中。每次使用软件时都会提醒还可以使用软件多少次。如果我们能够找出软件从注册表中调用隐蔽的标志和记录位置,将时间标志和使用次数修改,就可以达到无限用得目的了.
RunAsDate.exe 破解软件时间限制
11-20
【神器2】 破解软件时间限制!收费软件无限试用!永久试用收费软件破解软件时间限制
各种试用软件破解时间限制程序
08-08
运行这个程序,在“打开程序”后的对话框里选择所要破解的试用程序文件,在要破解软件程序文件夹内会产生一个新的文件 格式是在原文件名后加一 (AT),就像是XXXXXX(AT).exe,点击“运行程序”就OK了。
破解时间限制软件的小工具
12-17
RunAsDate是一个用来破解时间限制软件的小工具,该软件的使用那是相当的简单,甚至还可以建立运行在特定日期时间的快捷方式,方便以后的使用。 备注:当您使用熟练后,可以删除目录下的RunAsDate_lng.ini,将还原软件原来的英文使用界面,更加绿色环保! 谢谢使用!
破解软件使用时间限制工具.rar
04-11
破解软件使用时间限制工具.rar Pirate是一款全新概念的软件,它使用的启动时间自动探测、软件运行自动跟踪、自动记录软件关闭时间等在已知的同类软件都没有 !其集中管理有使用期限软件的方法改变了一般传统的老套路,不拷贝启动文件、不修改原文件更能让您放心大胆使用,安全措施齐备,更令人无后顾之忧!在此提醒您尊重软件版权.软件中凝聚了开发者的劳动、智慧、时间和资金投入,本软件可让您有充分的时间评价一些共享软件,以便决择!如果利用本软件无限期的使用其它有偿软件,则与我开发Pirate的初衷背道而驰了!不过本软件是免费软件,如果您满意的话,可给我寄一张明信片,谢谢! 注意:(详见注意事项)在使用本软件时请经常备份注册表,本软件不会损害注册表,但一旦运行失败(Pirate有严密的检查措施,几乎不能失误,但选项不对时,就没办法了!详见注意事项),个别有时间限制共享软件可能在注册表中标记,以后将无法使用该软件! Pirate放到网上一天,danny chen(好像是陈大年)来信提出了不少宝贵意见,先采用了一条:一旦运行中意外关机或死机,再运行Pirate时将提示"系统时间可能有误"!!可能您的智商比danny chen高,给我一点灵感如何?谢谢!
IDA修改exe并保存运行
热门推荐
Onlyone_1314的博客
09-20 1万+
IDA修改hello.exe,使得程序hello.exe的输出由“Hello World!”改为“Reverse Me!” a)IDA打开hello.exe b)查看String Windows 查找到“hello world!” c) 单击鼠标右键-Graph View,切换为Graph View,展现各个结构之间的关系。 d)将判断指令JZ改为JNZ,这样当输入为true时,程序将跳转输出字符串Reserve Me! 需要设置IDA显示16进制机器码,即图中步骤2、3 之后IDA就会显示16
如何破解一个正版软件只有三十天的方法
zhang135687的博客
02-10 1万+
   破解正版软件的方法:在没安装之前,先把系统时间调制2020年(把时间往后调),这样就可以使用很长时间了。
机器码反编译c语言,[求助]怎么在IDA中修改汇编语言对应的机器码(64位系统)...
weixin_29149709的博客
05-19 1006
想通过ida逆向破除一个程序的时间限制,改限制比较简单,限定了一个固定的失效时间,比如2015年1月1日,只要改系统时间就能继续使用通过用ida将程序反汇编成类似c的伪代码如下反编译得到用c表示的伪代码v35 = -1;if ( v31 + 100 * v32 + 10000 * v30 > v34 )v35 = 0;return v35;需要跳过该if判断对应的汇编语句如下,因为对汇编不是...
7. OD-破解收费版限制天数的软件
墨痕诉清风的博客
02-28 7621
找到切入点字符串 <unregistered 但是about里面依然是未注册信息 我们以<Unregistered Veresion>做尝试继续查找字符串 查找到字符串下断点后,查看上一个跳转判断,因为如果此跳转不成立将不显示查找的字符串。 修改跳转的标志位设置为反 破解成功。 高级方法(高手) 推理: 如果自己写程序,肯定有一...
精通IDA静态分析与反汇编利器
本教程主要围绕IDA这一强大的反汇编器展开,旨在指导读者如何有效地使用IDA进行静态分析IDA是逆向工程领域内的首选工具,它提供了丰富的功能,帮助分析者理解二进制代码,尤其适用于处理加壳程序、无需寻找OEP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值