一国外软件的加密防护研究(初级水准)

最新推荐文章于 2024-06-26 10:04:00 发布
最新推荐文章于 2024-06-26 10:04:00 发布
阅读量1.6k 收藏
点赞数
分类专栏: 汇编以及逆向工程 文章标签: 加密 reference mfc c user db2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackxinxu2100/article/details/6102422
版权

最近因为项目关系使用了一个国外软件,但是过了一段时间后发现Expired了,看来还得动手分析一下,结果发现这个软件的防护还是出奇的脆弱,只能得初级水准。
下面不妨以此为例分析一下其防护(此分析仅限技术研究,用于其它目的者责任自负)。
当你点击注册时,此软件报告: "Sorry, register failed, please try again."
使用wdasm进行静态分析看看,依照字符串定位方式,不难找到如下代码段:
* Reference To: MFC42u.Ordinal:18FF, Ord:18FFh
                                  |
:00401977 E884900000              Call 0040AA00
:0040197C 8B06                    mov eax, dword ptr [esi]
:0040197E 8B48F8                  mov ecx, dword ptr [eax-08]
:00401981 85C9                    test ecx, ecx
:00401983 7437                    je 004019BC
:00401985 51                      push ecx
:00401986 8BCC                    mov ecx, esp
:00401988 89642410                mov dword ptr [esp+10], esp
:0040198C 56                      push esi

* Reference To: MFC42u.Ordinal:0217, Ord:0217h
                                  |
:0040198D E844900000              Call 0040A9D6
:00401992 E8893B0000              call 00405520
:00401997 83C404                  add esp, 00000004
:0040199A 85C0                    test eax, eax
:0040199C 742A                    je 004019C8
:0040199E 6A00                    push 00000000

* Possible StringData Ref from Data Obj ->"Register Info"
                                  |
:004019A0 684C024100              push 0041024C

* Possible StringData Ref from Data Obj ->"Thank you for using XX "
                                        ->"Finder, register successfully!"
                                  |
:004019A5 68D0014100              push 004101D0
:004019AA 6A00                    push 00000000
:004019AC C7051811410001000000    mov dword ptr [00411118], 00000001

* Reference To: USER32.MessageBoxW, Ord:01C3h
                                  |
:004019B6 FF15B4C34000            Call dword ptr [0040C3B4]

* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:00401954(C), :00401983(C)
|
:004019BC 8BCB                    mov ecx, ebx

* Reference To: MFC42u.Ordinal:12EF, Ord:12EFh
                                  |
:004019BE E837900000              Call 0040A9FA
:004019C3 5F                      pop edi
:004019C4 5E                      pop esi
:004019C5 5B                      pop ebx
:004019C6 59                      pop ecx
:004019C7 C3                      ret

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0040199C(C)
|
:004019C8 6A00                    push 00000000

* Possible StringData Ref from Data Obj ->"Register Info"
                                  |
:004019CA 684C024100              push 0041024C

* Possible StringData Ref from Data Obj ->"Sorry, register failed, please "
                                        ->"try again."
                                  |
:004019CF 687C014100              push 0041017C
:004019D4 6A00                    push 00000000

* Reference To: USER32.MessageBoxW, Ord:01C3h
                                  |
:004019D6 FF15B4C34000            Call dword ptr [0040C3B4]
:004019DC 5F                      pop edi
:004019DD 5E                      pop esi
:004019DE 5B                      pop ebx
:004019DF 59                      pop ecx
:004019E0 C3                      ret

通过分析明显发现可疑跳转:
:0040199C 742A                    je 004019C8

另外发现下面2个函数为注册码校验函数:
:0040198D E844900000              Call 0040A9D6
:00401992 E8893B0000              call 00405520

对这2个函数的调用进行全局查找,不难发现如下代码:
* Possible StringData Ref from Data Obj ->"Settings"
                                  |
:00401D21 68F8004100              push 004100F8
:00401D26 51                      push ecx
:00401D27 8BCE                    mov ecx, esi

* Reference To: MFC42u.Ordinal:0DBD, Ord:0DBDh
                                  |
:00401D29 E8B48C0000              Call 0040A9E2
:00401D2E 51                      push ecx
:00401D2F 8D542410                lea edx, dword ptr [esp+10]
:00401D33 8BCC                    mov ecx, esp
:00401D35 8964240C                mov dword ptr [esp+0C], esp
:00401D39 52                      push edx
:00401D3A C784246002000001000000  mov dword ptr [esp+00000260], 00000001
:00401D45 C786D000000001000000    mov dword ptr [esi+000000D0], 00000001

* Reference To: MFC42u.Ordinal:0217, Ord:0217h
                                  |
:00401D4F E8828C0000              Call 0040A9D6
:00401D54 E8C7370000              call 00405520
:00401D59 83C404                  add esp, 00000004
:00401D5C 85C0                    test eax, eax
:00401D5E 0F8586000000            jne 00401DEA
:00401D64 8BCE                    mov ecx, esi
:00401D66 8986D0000000            mov dword ptr [esi+000000D0], eax
:00401D6C E85F020000              call 00401FD0
:00401D71 8BD0                    mov edx, eax
:00401D73 B931000000              mov ecx, 00000031
:00401D78 33C0                    xor eax, eax
:00401D7A 8DBC248A010000          lea edi, dword ptr [esp+0000018A]
:00401D81 66C78424880100000000    mov word ptr [esp+00000188], 0000
:00401D8B 52                      push edx
:00401D8C F3                      repz
:00401D8D AB                      stosd
:00401D8E 66AB                    stosw
:00401D90 8D84248C010000          lea eax, dword ptr [esp+0000018C]

* Possible StringData Ref from Data Obj ->"%ld"
                                  |
:00401D97 68E4024100              push 004102E4
:00401D9C 50                      push eax
:00401D9D 8996C8000000            mov dword ptr [esi+000000C8], edx

* Reference To: USER32.wsprintfW, Ord:02ADh
                                  |
:00401DA3 FF15BCC34000            Call dword ptr [0040C3BC]
:00401DA9 83C40C                  add esp, 0000000C
:00401DAC 8DBECC000000            lea edi, dword ptr [esi+000000CC]
:00401DB2 8BCF                    mov ecx, edi

* Possible StringData Ref from Data Obj ->"This is a 14-day evaluation version, "
                                  |
:00401DB4 6898024100              push 00410298

* Reference To: MFC42u.Ordinal:035D, Ord:035Dh
                                  |
:00401DB9 E8E88B0000              Call 0040A9A6
:00401DBE 8D8C2488010000          lea ecx, dword ptr [esp+00000188]
:00401DC5 51                      push ecx
:00401DC6 8BCF                    mov ecx, edi

很明显,如下跳转极度可疑:
:00401D5E 0F8586000000            jne 00401DEA

这样全面分析一下,不难看出:
:0040199C 742A                    je 004019C8
是注册码输入验证失败后弹出message告知用户注册验证失败。

:00401D5E 0F8586000000            jne 00401DEA
是启动码注册码验证后的跳转。

 

通过动态调试验证后不难发现确实如此,只能为软件的作者脆弱的防护担忧了,呵呵。

JackxinXu2100
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
国外加密软件Password_Folder_1_0
06-28
国外加密软件Password_Folder_1_0
国外软件加密算法分析
soft_ice
08-31 1575
ere:00649163 B9B862C100              mov ecx, 00C162B8:00649168 47                      inc edi:00649169 E8C2961D00              call 00822830:0064916E 3BF8                    cmp edi, eax:00649170 0F
国外PDF加密软件
09-29
有很多软件都称可以给PDF加密,但没一个好用。发一个国外找到的PDF加密软件,VaySoft PDFtoEXE,可加时间,次数。很好用,已经在公司里用上了,加密后给客户。这个是正版没破解,可以用一个月,我是在虚拟机里运行。所以不破解也可以无限制使用下去,建议在虚拟中使用。
世界上最好的加密软件
编程爱好者
03-23 3100
前面好多文章中提到PGP加密软件,本站就转摘了一些内容给大家看看!(是总结性的一些东西,还带了最新版本的下载)PGP是目前最优秀,最安全的加密方式。这方面的代表软件是美国的PGP加密软件。这种软件的核心思想是利用逻辑分区保护文件,比如,逻辑分区E:是受PGP保护的硬盘分区,那么,每次打开这个分区的时候,需要输入密码才能打开这个分区,在这个分区内的文件是绝对安全的。不再需要这个分区时,可以把
盘点国内外24款加密软件对比:总有一款适合你(较全榜单)
最新发布
D26188866604的博客
06-26 1362
在中国,使用加密软件时,还应遵守国家关于信息安全的相关法律法规,确保数据安全的同时,也符合国家的监管要求。:VeraCrypt是TrueCrypt的继承者,它提供了强大的磁盘加密功能,支持多种加密算法和操作系统,适合需要高度安全性的用户。:作为Windows系统的一部分,BitLocker提供了集成的磁盘加密解决方案,易于管理和使用,适合需要系统级加密的用户。:7-Zip不仅是一个强大的文件压缩工具,它还支持AES-256加密,适合需要在压缩文件的同时保护数据安全的用户。
基于C#的软件加密、授权与注册
09-30
本资源介绍了基于本机特征信息(如CPU、主板、BIOS和MAC等) 的软件加密、授权与注册方法,货真价实、童叟无欺!原博客请参考:https://blog.csdn.net/C_xxy/article/details/127104009。
EXE一机一码打包加密大师
06-20
EXE一机一码打包加密大师可以打包加密保护EXE文件, 同时给EXE文件添加上一机一码认证, 或者静态密码, 不同的电脑打开加密后的文件需要输入不同的激活码才能正常使用, 保护文件安全.
ABB机器人程序加密软件
12-27
ABB机器人程序加密软件是专为保护ABB机器人系统中的程序模块而设计的一款安全工具。这款软件的主要功能是对ABB机器人的程序进行加密,以防止未经授权的访问和修改,确保知识产权的安全。在工业自动化领域,尤其是...
加密软件选型报告.doc
11-19
1. 针对性防护加密软件对象应包含Solidworks模型(三维、二维)、载荷计算数据、aotoCAD、Office文档、E-Mail邮件防护、系统等目前正在使用的软件、数据和信息系统; 2. 离线文件防护:针对出差、调试;对业主或...
文件加密软件(SecretShieldEncryption)v1.0.0.4英文官方版
07-28
Secret Shield Encryption是国外的一款非常出色的文件加密工具。软件功能强大,它依赖于PGP不对称公钥基础设施,这被认为是保护信息的最佳途径之一。除了提供强大的加密算法保护数据和争夺纯文本的可能性,SSE同时也作为加密密钥的创建者和管理者,它也可以导入现有的密钥。 如你的计算机里存放着很多隐私文件或者数据那么你就可以下载本软件使用了。
一款永久免费的小巧强大的加密软件
01-28
完全免费的功能强大的小巧的加密软件,可以加密文件,文件夹,目录,分区等。
国外冷门免杀加壳程序Pepsi Packer v2
12-04
国外冷门免杀加壳程序Pepsi Packer v2 好用简单的免杀壳
dnguard_trial加壳程序
09-15
最新dnguard_trial加壳程序,支持F 3.5
几种常用加壳软件图文详解
鸟儿飞的专栏
04-20 2万+
为了保护自己的软件不轻易被他人“借鉴”,有必要对软件进行一些加密保护,而这方面目前己有成熟的专业加密软件可选择。但不要太依赖壳的保护,大多数壳是可以被攻破的,还是在自身保护上下些功夫。加密软件比较多,但在强度与兼容性上做的好的并不多,这里向大家介绍几款常见的。    现在壳的发展一个趋势就是虚拟机保护,利用虚拟机保护后,能大大提高强度,因此建议尽可能使用此类技术保护软件。如Themida ,W
iconv转utf8乱码 linux,linux - iconv对UTF-8的任何编码 - Ubuntu问答
weixin_39907157的博客
05-12 409
问题描述我试图将iconv指向目录,并且无论当前编码如何,所有文件都将转换为UTF-8我正在使用此脚本,但您必须指定要使用的编码。如何使其自动检测当前编码?#!/bin/bashICONVBIN='/usr/bin/iconv' # path to iconv binaryif [ $# -lt 3 ]thenecho "$0 dir from_charset to_charset"exitfif...
一款免费开源的文件加密软件Veracpryt---文件、文件夹加密功能介绍
安当加密
01-05 7811
VeraCrypt是什么? 在工作生活上各种文件数据、资料越来越重要的今天,数据泄露(譬如电脑失窃、黑客攻击等)不仅仅是隐私上的问题,很多时候还会造成财产和其他不可预估的损失。因此我们除了要经常「备份文件」防止丢失之外,我们还应该对敏感、以及特别重要的文件进行「加密」以防随意被别人随意偷走查看或者拷贝。 VeraCrypt 是一款适用于Windows,Mac OSX 和 Linux 的免费开源磁盘加密软件。VeraCrypt的主要功能是可以对本地文件和磁盘进行加密,支持硬盘、U盘、移动硬盘等所有磁盘的.
加密保护软件 WinLicense常见问题整理大全(五)
weixin_34212762的博客
02-19 246
WinLicense具有和Themida同级别的保护功能以及授权管理功能。软件功能强大,使用灵活,开发者可以安全地发布软件的试用版和完全版。13.我换了新电脑,需要将WinLicense软件、客户、许可证等移动到新电脑,这些信息在哪?有关软件,客户,项目等的所有信息都存储在“winlicense.abs”文件中。你只需将该文件移动到新计算机的WinLicense主文件夹中即可。14.我想测试一下W...
几款软件加密/加壳工具的比较
热门推荐
dmz1981的专栏
02-05 4万+
几款.Net加密/加壳工具的比较 前言    使用过.NET的程序员都知道,.NET是一个巨大的跨时代进步,它开发效率高、功能强、界面观、耐用、新的语言C#已经提交为行业规范、CLR共公运行库资源丰富,这所有的特点标志着它成为主流编程语言是必然的。      可是它也有一个缺点,那就是编译好的程序集可以完全反编译成源代码,这给一些不法份子提供了很好的机会,试想想,您辛苦的劳动成果就这样给
Mac下批量转换文本编码到UTF8,无须软件
Jackxin Xu IT技术专栏
07-28 9995
转换文本编码是因为 iPhone 看中文电子书只支持Unicode (UTF-8)。之前有人发了 windows下转换文本编码的软件,就有不少朋友追问苹果系统下的转换软件,甚至有人因此感到讽刺,认为用iPhone 居然是windows 更顺。        事实是, Mac OS下不需要转换软件,───终端下一行命令就搞定了。        入正题:A. 文件名的编码:Mac的文件名本来就用Uni
非线性变换对信道加密技术研究
总体而言,这项研究为提升通信系统的安全性能提供了一种新的视角,特别是在面对日益复杂的网络威胁时,非线性变换对的信道加密技术有望成为一种强大的防护工具。通过深入理解和优化这些方法,未来有可能构建出更为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值